Hürden auf dem Weg in die Cloud

Wie Cloud, Compliance und Sicherheit zusammenwachsen

Wie können Unternehmen und Organisationen mit besonders schützenswerten Daten Cloud-Services nutzen und dabei Gesetze und Richtlinien einhalten? Thorsten Pelka, Geschäftsführer der networks direkt GmbH, eines Unternehmens der direkt gruppe, hat im Gespräch mit Partnern und Kunden Antworten gesucht und gefunden.

Umfragen wie der Bitkom Cloud Monitor haben gezeigt, dass Compliance-Bedenken für viele Unternehmen immer noch ein Haupthindernis auf dem Weg in die Cloud sind. Thomas Doms, Principal Consultant, TÜV TRUST IT GmbH, betont: „Etwas bedenken heißt eigentlich, sich Gedanken zu machen und nicht nur zu befürchten, wie wir es häufig beim Thema Compliance und Cloudnutzung sehen.“ Tatsächlich zeigt die Erfahrung der direkt gruppe in der Zusammenarbeit mit ihren Partnern und Kunden: Mit dem richtigen Vorgehen sind Cloud und Compliance viel einfacher und schneller vereinbar, als den meisten Unternehmen bewusst ist.

„Cloud is the new normal – auch für Unternehmen. Datenschutz, Compliance und IT-Security müssen dafür ‚chancenorientiert’ gedacht werden“, gibt ein IT-Manager eines Versicherungsunternehmens zu Protokoll. Dabei hilft es allen Beteiligten enorm, auf Glorifizierung und Dämonisierung der Cloud zu verzichten und ihre Potenziale und Grenzen für das eigene Unternehmen anhand einiger sachlicher Fragen grundlegend zu klären:

  • Welche Prozesse im Unternehmen lassen sich mithilfe von Cloud-Technologien effizienter unterstützen?
  • Welche Anwendungen und Daten sind davon konkret betroffen?
  • Wie lassen sich daraus Regeln ableiten, die automatisch, wiederkehrend verwendet werden?
  • Welche Vorschriften sind relevant und wie wirken diese miteinander?
  • Welche Zertifikate und Testate sind geeignet, um den Stakeholdern das nötige Vertrauen in die Cloud-Nutzung zu geben?

Vier Stufen zum erfolgreichen Weg

Gemeinsam mit der TÜV TRUST IT haben Berater der direkt gruppe in den vergangenen Jahren ein vierstufiges Verfahren entwickelt, um diese und weitere Fragen zu beantworten, und damit bereits einer ganzen Reihe von Versicherungen, Pharma-Unternehmen und Verlagen erfolgreich den sicheren Weg in die Cloud gebahnt. Die Umsetzung dieses Best-Practice-Ansatzes lässt sich am Beispiel eines international agierenden Versicherungskonzerns verdeutlichen: Ziel des Projekts war der Aufbau einer Cloud-Umgebung bei Amazon Web Services (AWS), in der anschließend wichtige Anwendungen für Finanzen und Risikomanagement des Unternehmens betrieben werden sollten. Dabei legte das Unternehmen höchsten Wert auf hohe und sichere Verfügbarkeit und die Wahrung der Vertraulichkeit der Daten.


Das standardisierte Vorgehensmodell von der direkt gruppe und TÜV TRUST IT gliedert sich in vier Stufen:
  • Compliance Radar
    Ein Integrationsleitfaden mit Maßnahmen zur Abdeckung branchenüblicher Compliance-Anforderungen liegt bei Projektstart vor.
  • Individualisierung
    Der Integrationsleitfaden wird auf den Bedarf des Kunden zugeschnitten.
  • Orchestrierung
    Die Implementierung erfolgt gemäß den Anforderungen des Kunden.
  • Auditierung
    Offizielle Bestätigung, dass der Betrieb gesetzes- und regelkonform (compliant) zu den Anforderungen erfolgt.

Im Fall der Versicherung kam es im ersten Schritt nach dem Vorgehensmodell beim Compliance Radar (siehe Kasten) darauf an, aus der wachsenden Vielfalt von Regularien die in diesem Kontext relevanten herauszufiltern. Dabei lieferte der Integrationsleitfaden der direkt gruppe wichtige Hilfestellung, weil er neben grundsätzlichen Standards wie ISO-Normen und BSI-Grundschutz auch branchenspezifische Vorschriften wie Solvency II oder MaRisk berücksichtigt und um die AWS Best Practices ergänzt. Darüber hinaus sorgt der Compliance Radar für die kontinuierliche Aktualität des Leitfadens auch während des Betriebs der Cloud-Lösung.

In der Phase der Individualisierung identifizierten die Berater der direkt gruppe gemeinsam mit dem Kunden spezielle Anforderungen aus Prozessen und Applikationen des Unternehmens. Dazu wurden Abteilungen wie Konzern-Security, Datenschutz, Revision und Rechtsabteilung einbezogen und Schutzbedarfe für unterschiedliche Applikationen und Daten ermittelt. Als Ergebnis standen schließlich Dokumentationen individuell abgeleiteter Anforderungen und Maßnahmen zu ihrer Umsetzung zur Verfügung. Dabei fanden Konzern-Policies zu Informationssicherheit, Datenschutz und Compliance ebenso Eingang wie Anforderungen zu den betroffenen Applikationen. Darüber hinaus wurden einzelne Schutzbedarfe konkret definiert. Beispielsweise bedeutet „sehr hohe“ Verfügbarkeit, dass die Ausfallzeit vier Stunden pro Jahr nicht überschreiten darf.

Die Umsetzung der Anforderungen aus dem vom Kunden abgenommenen Implementierungsleitfaden erfolgte in der Orchestrierungsphase. Dabei stand die durchgängige Automatisierung technischer Maßnahmen im Vordergrund.

Revisionssicherheit mit minimalem Aufwand

Bei der abschließenden Auditierung geht es darum, den Mehrwert der getroffenen Maßnahmen dauerhaft zu sichern. Das geschieht durch regelmäßige Self-Assessments und externe Zertifizierung, beispielsweise durch die TÜV TRUST IT. Zur Vorbereitung auf diesen wichtigen Schritt wurden in allen Projektphasen die eingesetzten Verfahrensanweisungen und Checklisten angepasst und aktualisiert, um Compliance-Anforderungen zu erfüllen. Die eingesetzte Cloud Orchestration Platform protokolliert alle Aufträge, Zugriffe und Veränderungen automatisch. So entsteht mit minimalem Aufwand eine revisionsfähige Dokumentation als Basis der Zertifizierung.

Außerdem liefert die kontinuierliche Aktualisierung der Verfahren eine solide Grundlage für ein Testat oder ein Zertifikat zur compliancekonformen Informationsverarbeitung.


Lessons Learned:

  1. Kritische, versicherungsrelevante Anwendungen können sicher in die Cloud übertragen werden.
  2. Frühe Einbindung von Revision, Datenschutz und Sicherheit erspart späteren Umbau und damit verbundenen Mehraufwand.
  3. Technische Abläufe sollten durchgängig automatisiert werden, um manuelle Fehler und Mehraufwände zu vermeiden.
  4. Technische und organisatorische Maßnahmen müssen revisionssicher protokolliert werden, um den Aufwand für die Zertifizierung gering zu halten.
  5. Eine detaillierte Roadmap schafft Verbindlichkeit, wann entsprechende Reifegrade erreicht werden können.

Dieser Artikel erschien in der direkt informiert 03/2016. Weitere Artikel aus der Ausgabe lesen Sie hier: direkt informiert 03/2016, Schwerpunkt: Vertrauen

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.