Governance und Compliance im Cloud Computing

1 3

Eingegangen: 29. Januar 2014 / Angenommen: 22. April 2014 / Online publiziert: 4. Mai 2014© Springer Fachmedien Wiesbaden 2014

Dr. K. Bagban ()Leiter IT-Strategie & Governance, OTTO GmbH & Co. KG,Hamburg, DeutschlandE-Mail: [email protected]

R. NebotLeiter Corporate IT-Architektur, OTTO GmbH & Co. KG,Hamburg, DeutschlandE-Mail: [email protected]

Governance und Compliance im Cloud Computing

Khaled Bagban · Ricardo Nebot

HMD (2014) 51:267–283DOI 10.1365/s40702-014-0049-5

Zusammenfassung Cloud Computing ist kein vorübergehendes Hype-Thema. Cloud Computing wird dauerhaft bleiben und Geschäftsmodelle, IT-Strukturen und Unternehmensprozesse nachhaltig verändern. Den Chancen dieser Innovation stehen zum Teil neuartige Risiken im Vergleich zu klassischen IT-Outsourcing-Vorhaben gegenüber, welche die Reputation von Unternehmen verletzen und wirtschaftliche Schäden nach sich ziehen können. Der vorliegende Beitrag befasst sich mit Da-tenschutz-, Vertrags-, Informationssicherheits- und Compliance-Risiken von Cloud Computing und zeigt Möglichkeiten auf, diese für das Unternehmen beherrschbar zu machen, um die Potenziale zu nutzen. Mit den Governance-Leitlinien und einem Cloud-Compliance-Prozessmodell werden praktische Gestaltungsempfehlungen für eine sichere Nutzung von Public Cloud-Services unterbreitet.

Schlüsselwörter Cloud Computing · Cloud Compliance · Cloud Governance · IT-Governance · IT-Compliance · Datenklassifizierung

268 K. Bagban, R. Nebot

1 3

1 Cloud Computing – bleibendes Paradigma mit neuen Anforderungen an die IT-Governance

Cloud Computing ist kein vorübergehendes Hype-Thema. Cloud Computing bleibt, und es ist davon auszugehen, dass seine Bedeutung zunehmen und es Geschäftsmodelle, IT-Strukturen und Unternehmensprozesse nachhaltig verändern wird. Dass dieser Verän-derungsprozess in vielen Unternehmen schon weit fortgeschritten ist, zeigt sich darin, dass Cloud-Lösungen bereits von vielen Fachbereichen – oftmals im Alleingang ohne die IT-Abteilung – eingesetzt werden. Vergleicht man Cloud-Projekte mit klassischen IT-Vorhaben, so überrascht diese Tatsache nicht: Langwierigen Anforderungsdefinitio-nen, intransparenten Aufwandsschätzungen, formalen Budget- und Investitionsanträ-gen und drohenden Priorisierungen gegen IT-Projekte anderer Fachbereiche stehen im Falle einer Cloud-Lösung eine einfache und kurzfristige Bereitstellung, benutzerfreund-liche Anpassungsmöglichkeiten ohne erforderliches IT-Detailwissen und zumeist deut-lich niedrigere Kosten gegenüber, die sich per Kreditkarte abrechnen lassen. Zudem werden innovative Dienstleistungen, wie etwa im Bereich Business Intelligence, Web Analytics oder Personalisierung, zunehmend nur noch als Cloud-Service angeboten, was vor allem für kleinere und mittelständische Unternehmen lukrativ erscheint, die hierfür keine Heerscharen interner IT-Spezialisten vorhalten können.

Auf diese Weise rücken bisherige IT-Belange zunehmend in die Fachbereiche und prägen eine neue Form der Schatten-IT im Unternehmen aus, die besondere Anfor-derungen an die IT-Governance stellt. Die IT-Governance muss dabei einerseits sicherstellen, dass Cloud-Projekte die internen und externen Compliance-Anfor-derungen erfüllen. Andererseits müssen wirksame Governance-Verfahren etabliert werden, die eine nahtlose Integration von Cloud-Lösungen in die Kernsysteme des Unternehmens (z. B. CRM, ERP, Finanz- und Steuerungssysteme) gewährleisten. Erschwert wird dies dadurch, dass Cloud Computing noch ein recht junges Thema mit teils noch unerschlossenen Einsatzmöglichkeiten ist, denen undurchsichtige Risiken und offene Rechtsfragen gegenüber stehen (Gartner Inc. 2010, KPMG Wirt-schaftsprüfungsgesellschaft, Bundesverband Informationswirtschaft, Telekommu-nikation und neue Medien 2013). Zwar werden seine Chancen und Risiken bereits seit geraumer Zeit von Fachverbänden, in der Literatur sowie von Anbietern und Nutzern intensiv und zuweilen interessenbezogen diskutiert. Es verbleiben jedoch Grauzonen und berechtigte Sorgen um die Sicherheit von Kunden- und Unterneh-mensdaten, die verstärkt werden durch medienwirksame Eilmeldungen über Wiki-leaks, PRISM und Unternehmen, die eine unrechtmäßige Weitergabe ihrer Daten zu beklagen haben.

Vor diesem Hintergrund wurde ein Projekt initiiert, das die Chancen und Risiken von Cloud Computing umfassend untersucht und Lösungsmöglichkeiten für einen praktischen Einsatz in Unternehmen anbietet. Die Analyse zeigt, dass eine sichere Umsetzung von Cloud-Vorhaben nicht trivial ist, die damit verbundenen Risiken sich jedoch durch eine effektive IT-Governance beherrschen lassen.

Die Cloud-Governance besteht dabei erstens aus Leitlinien, die dabei unterstützen sollen, die unterschiedlichen Risiken von Cloud Computing in den Bereichen:

Governance und Compliance im Cloud Computing 269

1 3

● Datenschutz, ● Vertragsgestaltung, ● gesetzliche bzw. regulatorische Aspekte sowie ● IT-Sicherheit

zu erkennen, einzuschätzen und handhabbar zu machen. Aufgrund der Komplexi-tät und der hohen Innovationsgeschwindigkeit von Cloud-Lösungen können diese Leitlinien jedoch nur eine erste Orientierungshilfe bieten und bedürfen flankierender Maßnahmen. Daher ist zweitens ein Cloud-Governance-Prozess in der Organisation zu implementieren, der jedes einzelne Vorhaben sorgfältig und unter Einbindung relevanter Stakeholder im Unternehmen überprüft.

2 Anders als klassisches IT-Outsourcing

Bei der Vielzahl unterschiedlicher Cloud-Computing-Angebote stellt sich zunächst die Frage, wie diese sich unterscheiden und von bereits bekannten IT-Outsourcing-Verfahren und -Technologien abgrenzen.

Unter den zahlreichen Definitionen von Cloud Computing konnte sich bislang zwar keine allgemeingültige Begriffsbestimmung durchsetzen, jedoch wird in Fach-kreisen zunehmend auf die Definition des National Institute of Standards and Tech-nology (NIST; US-amerikanische Standardisierungsstelle) referenziert:

Cloud Computing ist ein Modell, das es erlaubt bei Bedarf jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechner-ressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder gerin-ger Serviceprovider-Interaktion zur Verfügung gestellt werden können (Natio-nal Institute of Standards and Technology 2011).

Gemäß dieser Definition charakterisieren folgende Eigenschaften einen Cloud-Ser-vice (Strauch et al. 2011):

● On-demand Self Service: Die Provisionierung der Ressourcen (z. B. Rechenleis-tung, Storage) läuft in der Regel automatisch ohne Interaktion mit dem Service-Anbieter ab.

● Broad Network Access: Die Services sind mit Standard-Mechanismen über das Netz verfügbar und nicht an bestimmte Client-Technologien gebunden.

● Resource Pooling: Die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich in der Regel viele Anwender bedienen können (sog. Multi-Tenant Modell). Dabei wissen die Nutzer zumeist nicht, wo die Ressourcen sich befin-den, sie können aber vertraglich den Speicherort, also zum Beispiel Region, Land oder Rechenzentrum, explizit festlegen.

● Rapid Elasticity: Die Services können schnell und elastisch zur Verfügung gestellt werden, in manchen Fällen auch automatisch – aus Nutzersicht scheinen die Ressourcen daher unbegrenzt zu sein.


1 3

Aus konzeptioneller Sicht lassen sich die vielfältigen Ausprägungsformen von Cloud Computing nach den drei Dimensionen Service-Ebene, Bereitstel-lungsmodell und Region (Sitz des Cloud-Anbieters) einordnen, die die Abb. 1 veranschaulicht.

Die Einteilung der Services in die drei Service-Ebenen Infrastructure as a Ser-vice (IaaS), Platform as a Service (PaaS) sowie Software as a Service (SaaS) hat sich weitgehend durchgesetzt. Allen drei Ebenen ist gemeinsam, dass die IT-Leistun-gen als Dienste („as a Service“) bereitgestellt werden (Strauch et al. 2011).

Bei IaaS werden IT-Ressourcen wie zum Beispiel Rechenleistung, Datenspeicher oder Netze als Dienst angeboten. Ein Cloud-Computing-Nutzer kauft diese virtuali-sierten und in hohem Maß standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Computing-Nutzer zum Beispiel Rechenleistung, Arbeitsspeicher und Datenspeicher mieten. Ein PaaS-Anbieter stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf der Plattform standardisierte Schnittstellen an, die von IT-Services des Kunden genutzt werden. So kann die Plattform zum Beispiel Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe als Services zur Verfügung stellen. Der Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber eigene Anwendungen auf der Plattform betreiben, für deren Entwicklung der Cloud-Computing-Anbieter in der Regel eigene Werkzeuge anbietet. Unter SaaS fallen dagegen sämtliche Software-Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen. Als Beispiele hierfür lassen sich etwa Vertriebs-anwendungen, Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen anführen (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien 2009).

Abb. 1 Dimensionen von Cloud Computing (nach BSI)


1 3

Der Begriff „as a Service“ wird noch für eine Vielzahl weiterer Angebote benutzt, wie zum Beispiel für „Business Process as a Service“, „Security as a Service“, so dass häufig auch von „XaaS“ gesprochen wird. Bei den einzelnen Service-Ebenen ist zu beachten, dass diese jeweils aufeinander aufbauen, d. h. PaaS umfasst gleichzeitig auch IaaS und SaaS beinhaltet auch PaaS und IaaS.

Hinsichtlich der Bereitstellung von Cloud Services lassen sich Private-, Public-, Hybrid- und Community-Cloud-Modelle unterscheiden. In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechen-zentrum der eigenen Institution oder einer fremden Institution stehen. Von einer Public Cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können und die Services von einem Anbieter zur Verfügung gestellt werden. Werden mehrere (Private und Public) Cloud-Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloud genannt. In einer Community Cloud wird die Infrastruktur von mehreren Institutio-nen geteilt, die ähnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden (Bundesverband Informations-wirtschaft, Telekommunikation und neue Medien 2010).

Die genannten Definitionen decken aber nicht alle Varianten von Cloud-Angebo-ten ab, was zu weiteren Definitionen wie „Virtual Private Cloud“ etc. führt. Während bei einer Private Cloud, bei der im Prinzip Anbieter und Nutzer identisch sind, der Nutzer die komplette Kontrolle über die genutzten Services hat, überträgt der Nutzer bei einer Public Cloud die Kontrolle an den Cloud-Computing-Anbieter.

Im Folgenden nur zwischen Private Cloud und Public Cloud unterschieden, die gemäß der obigen Definition die ganze Bandbreite von Cloud-Modellen darstel-len. Bei allen Modellen, die zwischen diesen Beiden liegen, muss hinterfragt werden, ob die Gefährdungen zum Beispiel durch gemeinsam genutzte Infrastrukturen eher denen einer Private Cloud oder einer Public Cloud ähneln.

Über die genannten Dimensionen können Cloud-Angebote nach geografischen Aspekten unterschieden werden, die maßgeblichen Einfluss auf die zu Grunde lie-gende Rechtsordnung und die geltenden Gesetze hat. Die regionale Angabe bezieht sich dabei auf die Lokation der Rechen- und Netzressourcen. „Deutsche Cloud“ bedeutet dementsprechend, dass die Server und Netze dieser Cloud ausschließlich in Rechenzentren in Deutschland stehen. Analog wird eine EU- oder US-amerikani-sche Cloud usw. definiert. Die nachfolgende Grafik veranschaulicht die bestehenden gesetzlichen Restriktionen im Umgang mit Daten nach Regionen (Abb. 2).

Aus den bisherigen Ausführungen werden bereits erste Gemeinsamkeiten und Unterschiede zum klassischen IT-Outsourcing deutlich. Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Das klassische IT-Outsourcing ist dabei zumeist so gestaltet, dass die komplette gemietete Infrastruktur exklusiv von einem Kunden genutzt wird, auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. Zudem werden Outsourcing-Verträge meistens über längere Lauf-zeiten abgeschlossen.


1 3

Im Gegensatz zu klassischem IT-Outsourcing weisen Cloud-Services beson-dere Eigenschaften auf, die im Rahmen der Ausgestaltung der IT-Governance und Compliance zu berücksichtigen sind (Bundesverband Informationswirtschaft, Tele-kommunikation und neue Medien 2010, Bundesamt für Sicherheit in der Informa-tionstechnik 2012):

● Aus wirtschaftlichen Gründen teilen sich in einer Cloud mehrere Nutzer eine gemeinsame Infrastruktur. Techniken zur Virtualisierung ermöglichen dabei, Datenbestände, die auf einer physischen Infrastruktur liegen, logisch voneinan-der zu trennen.

● Cloud Services sind dynamisch und dadurch innerhalb viel kürzerer Zeiträume skalierbar. So können Cloud-basierte Angebote sehr kurzfristig an den tatsäch-lichen Bedarf des Kunden angepasst werden – die Kosten werden dabei zumeist verbrauchsabhängig nach tatsächlicher Nutzung berechnet.

● Cloud Computing ermöglicht es, Rechenleistung und Daten auf mehrere Stand-orte zu verteilen, die geografisch über mehrere Länder verstreut sein können und damit unterschiedlichen gesetzlichen und regulatorischen Rahmenbedingungen unterliegen.

● An der Bereitstellung eines Cloud-Services können mehrere unterschiedliche Subdienstleister beteiligt sein (sog. „Cloud Chaining“), die sich wiederum an unterschiedlichen geografischen Standorten befinden können.

● Die Steuerung der in Anspruch genommenen Cloud Services erfolgt in der Regel durch den Cloud-Nutzer selbst. So kann dieser die genutzten Dienste auf seine Bedürfnisse zuschneiden und die genutzten Dienste und Ressourcen, zum Beispiel über Web-Oberflächen oder passende Schnittstellen, administrieren, wodurch keine Interaktion mit dem Cloud-Anbieter mehr erforderlich ist.

In der Summe führen diese Unterschiede im Gegensatz zum klassischen IT-Out-sourcing zu neuartigen Herausforderungen für die IT-Governance und bergen zahl-

Abb. 2 Potentielle Datenspeicherungsorte (nach Forrester Research 2012)


1 3

reiche Risiken mit teils gravierendem Schadenpotenzial für das Unternehmen. Die möglichen Schäden können grundsätzlich entweder finanzieller Art sein und/oder die Kundenbindung negativ beeinflussen. Beispiele sind etwa Reputationsschäden, Missbrauch vertraulicher bzw. unternehmenskritischer Daten, Verletzung recht-licher, regulatorischer und interner Vorgaben, wirtschaftliche Schäden, Gewähr-leistungs- und Haftungsschäden sowie Drittschäden durch die Einbindung von Subunternehmern.

Im Folgenden werden die wesentlichen Risiken von Cloud Computing dargestellt und Leitlinien formuliert, die einen kontrollierten und sicheren Umgang mit Cloud-Angeboten unterstützen sollen.

3 Datenschutz in der Cloud

Die Nutzung von Cloud Computing für die Speicherung und Verarbeitung von per-sonenbezogenen Daten kann zu einem Verstoß gegen geltende Vorgaben und Bestim-mungen sowie zu Reputationsschäden für das Unternehmen führen.

Werden personenbezogene Daten von einem in Deutschland ansässigen Unter-nehmen in Deutschland erhoben, so kommt das Bundesdatenschutzgesetz (BDSG) zur Anwendung, welches Vorgaben für die Auswahl der zulässigen Orte der Daten-verarbeitung macht. Nach dem BDSG gilt bei der Verarbeitung von personenbezoge-nen Daten prinzipiell ein Verbot mit Erlaubnisvorbehalt, d. h. nur wenn rechtliche Normen dies explizit zulassen bzw. anordnen oder wenn eine zweckgebundene Ein-verständniserklärung durch die Betroffen vorliegt, ist eine Verarbeitung personen-bezogener Daten rechtlich zulässig (Christman et al. 2010).

Für die Einhaltung des Datenschutzes ist nach dem BDSG das Unternehmen ver-antwortlich, das die personenbezogenen Daten für seine Zwecke selbst erhebt, ver-arbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Übertragen auf den Einsatz von Cloud-Technologien bedeutet dies, dass der Cloud-Nutzer für den Datenschutz verantwortlich ist, nicht der Cloud-Anbieter. Zur Minimierung des Risikos eines Missbrauchs von personenbezogenen Daten sollten generell die Grund-sätze der Datensparsamkeit, der Zweckbindung und der Einwilligung des Betroffe-nen zur Anwendung kommen.

Neben dem BDSG sind bei einer Verarbeitung von personenbezogenen Daten in der Cloud zumeist auch unternehmensinterne Datenschutzrichtlinien zu beachten. Letztlich lässt aber unabhängig davon, ob Cloud Computing oder klassisches IT-Outsourcing genutzt wird, festhalten, dass Unternehmen generelle Datenschutzan-forderungen erfüllen müssen:

● Schutz der Daten vor unbefugtem Zugriff durch Dritte und Weitergabe ● Anforderungen bei Übermittlung an Drittländer ● Kontrollmöglichkeiten durch den Auftraggeber ● Auskunftsrechte durch den Betroffenen ● Vertragliche Verpflichtungen des Auftragnehmers zur Auftragsdatenverarbeitung


1 3

3.1 Risiko des Verstoßes gegen geltendes Datenschutzrecht

Beim Einsatz einer Cloud-Lösung ist nicht immer von vornherein deutlich, in wel-chen Ländern, Rechenzentren und auf welchen Servern die Daten gespeichert und verarbeitet werden. Auch sind die Datenwege vom Cloud-Nutzer zum Cloud-Anbie-ter oftmals unbekannt, da die Übermittlung der Daten in der Regel über das Internet erfolgt.

Zur Übertragung und Administration von personenbezogenen Daten in Drittlän-der sieht das BDSG vor, dass ein dem deutschen Datenschutz vergleichbares Daten-schutzniveau bei der empfangenden Stelle gewährleistet ist. Außerhalb Deutschlands und der EU geht der Gesetzgeber grundsätzlich davon aus, dass ein angemessenes Datenschutzniveau nicht besteht. Für die Datenübermittlung in die USA wurde daher das sogenannte Safe-Harbour-Abkommen geschlossen. Dabei handelt es sich um eine Entscheidung der Europäischen Kommission, die es europäischen Unter-nehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Safe Harbour ist jedoch keine generelle Verpflichtung auf Staaten-Ebene, die US-Unter-nehmen müssen dem Abkommen beitreten und sich zur Einhaltung der darin beschrie-benen Grundsätze verpflichten. Zudem hat nach dem BDSG das für den Datenschutz verantwortliche Unternehmen die Pflicht, die Einhaltung der mit dem Safe-Har-bour-Abkommen einhergehenden Verpflichtungen bei dem in den USA ansässigen Cloud-Anbieter regelmäßig zu kontrollieren. Daher gilt, dass Cloud-Anbieter außer-halb des deutschen und europäischen Rechtsraumes nicht mehr ohne weiteres aus-gewählt werden können. Grundsätzlich ist die Verarbeitung von personenbezogenen Daten auf Basis von EU-Standardvertragsklauseln zulässig (European Commission 2012). Anderslautende Stellungnahmen der Datenschutzbehörden begegnen ernsten rechtlichen Bedenken. Bei der Genehmigung von Corporate Binding Rules dürfte allerdings verstärkter Widerstand von den deutschen Datenschutzbehörden zu erwar-ten sein. Somit sind die ersten Einflüsse des PRISM-Skandals spürbar.

Weitere Risiken sind mit der Auswahl und der Überwachung des Cloud-Anbie-ters verbunden. Im BDSG sind klare Vorschriften definiert, die von den Unterneh-men berücksichtigt werden müssen. Der Cloud-Nutzer ist verpflichtet, sich davon zu überzeugen, dass der Cloud-Anbieter ausreichende Maßnahmen zum Schutz der ver-arbeiteten personenbezogenen Daten durchführt. Durch eine ungenügende Mandan-tentrennung auf Seiten des Cloud-Anbieters besteht zum Beispiel die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können. Dieses Risiko ist in einer Public Cloud erhöht, da durch die eingesetzte Technologie zur Virtualisierung keine physische Trennung der Daten unterschiedlicher Mandanten erfolgt (Bundes-amt für Sicherheit in der Informationstechnik 2012).

Bindet der Cloud-Anbieter für die Leistungserbringung weitere Subunternehmer ein, so ist der Cloud-Nutzer auch für die Einhaltung der datenschutzrechtlichen Vor-gaben durch die Subunternehmer verantwortlich. Sind diese dem Cloud-Nutzer nicht bekannt bzw. sind die von den Subunternehmern übernommenen Teilleistungen nicht transparent, besteht für den Nutzer ein schwer kalkulierbares Risiko. Insbesondere können unter diesen Bedingungen die Wahrung der Betroffenenrechte (z. B. das Löschen der Daten auf Verlangen der betroffenen Person) nur unzureichend gewähr-leistet werden (Christman et al. 2010).


1 3

3.2 Leitlinien zum Datenschutz

Die folgenden Leitlinien beziehen sich auf den Schutz von personenbezogenen Daten. Neben diesen sind aber auch unternehmenskritische Daten besonders schüt-zenswert, weshalb die Leitlinien gleichfalls relevant sind.

1. Bevor personenbezogene Daten durch einen Cloud Service verarbeitet werden können, sind die Voraussetzungen des Datenschutzes zu prüfen.

2. Stellen Sie sicher, dass eine ausdrückliche Einwilligung für die Verarbeitung personenbezogener Daten in der (Public) Cloud vorliegt.

3. Verschlüsseln Sie die Daten vor dem Datentransfer in die Cloud. 4. Pseudonymisieren bzw. anonymisieren Sie personenbezogene Daten vor der

Speicherung oder Verarbeitung in der Cloud. 5. Stellen Sie Transparenz über den Standort Ihrer Daten sicher und informieren

Sie sich genau über den Rechtsraum der Leistungserbringung und die geltenden Gesetze.

6. Denken Sie daran, dass die Übermittlung personenbezogener Daten an Dritt-staaten genehmigungspflichtig ist und beachten Sie dabei die besonderen An-forderungen des BDSG.

7. Beachten Sie bei Verarbeitung personenbezogener Daten in der Public Cloud die Bestimmungen der Auftragsdatenverarbeitung gem. § 11 BDSG.

8. Sehen Sie von werbefinanzierten Cloud Services ab, deren Geschäftsmodell häufig auf der Nutzung und Weitergabe personenbezogener Daten beruht.

9. Stellen Sie sicher, dass der Cloud-Anbieter bei der Datenverarbeitung über ent-sprechende Protokollierungsfunktionen und Zugriffskontrollen verfügt.

10. Nutzen Sie zur Prüfung der Kritikalität der in der Cloud zu verarbeitenden Daten eine Datenklassifizierung (z. B. nach dem BSI-Standard 100-2) (Bundesamt für Sicherheit in der Informationstechnik 2008).

4 Besonderheiten bei der Vertragsgestaltung

Verträge definieren die zu erbringenden Leistungen und die wechselseitigen Ansprü-che der Vertragspartner. Sie müssen alle Vereinbarungen enthalten, die erforderlich sind, um Cloud Computing in dem gesetzlich zulässigen Rahmen durchzuführen. Dazu gehören auch Regelungen für den Datenschutz, die IT-Sicherheit und Regu-lation. Mit einer unzureichenden Vertragsgestaltung können vielfältige Risiken einhergehen, wie zum Beispiel finanzielle Schäden oder unzureichende Gewährleis-tungs- und Haftungsansprüche. Vertragsmodelle, die speziell auf Cloud Computing zugeschnitten sind, existieren derzeit noch nicht. Auch gibt es noch keine Standard-verträge oder Regelungen, die sich am Markt durchgesetzt haben. Aus diesem Grund kommt einer individuellen Vertragsgestaltung besondere Bedeutung zu, um den spezifischen Anforderungen von Cloud Computing zu berücksichtigen. Folgende Aspekte sollten im Vertrag abgedeckt sein (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien 2010):


1 3

● Leistungsumfang inklusiver quantitativer Kriterien zur Beurteilung der Service-Qualität,

● Gewährleistung und Haftung, ● Einbindung von Subunternehmern und Berücksichtigung des

Leistungserbringungsortes, ● Regelungen für Vertragsbeendigung und Exit-Management, ● Sicherheitsstandards.

Darüber hinaus existieren weitere Bereiche, die im Rahmen vertraglicher Regelung zu berücksichtigen sind, zum Beispiel Fragen zum Intellectual Property, Urheber-recht und Arbeitsrecht.

4.1 Risiko einer unvollständigen bzw. unklaren Leistungsvereinbarung

Ähnlich wie beim IT-Outsourcing können aufgrund einer unvollständigen oder unklaren Leistungsbeschreibung Risiken eintreten. Innerhalb des Vertrags bzw. der Service Level Agreements sind somit die Eigenschaften und Anforderungen an den Cloud Service ganzheitlich abzubilden. Diese umfassen unter anderem (Bundesver-band Informationswirtschaft, Telekommunikation und neue Medien 2010):

● Verfügbarkeit des Cloud Services, ● Art und Frequenz des Reportings durch den Cloud-Anbieter, ● Gewährleistung des Prüfrechts durch den Cloud-Nutzer oder eines beauftragten

Dritten, ● Mitteilungspflichten des Cloud-Anbieters bei Sicherheitsvorfällen, ● Dauer der Leistungserbringung und den Umgang mit den gespeicherten Daten, ● Gewährleistung von Sicherheitsvorkehrungen (Datensicherheit von der Erzeu-

gung bis zur Vernichtung).

4.2 Risiko unklarer Gewährleistungsrechte und Haftungspflichten

Cloud-Anbieter gewährleisten dem Nutzer den Gebrauch von Services zum Beispiel in Form von Infrastruktur, Software und Services. In diesem Zusammenhang existie-ren gesetzliche Gewährleistungsvorschriften (beispielsweise aus dem Mietvertrags-recht), die jedoch in ihrer praktischen Handhabung zum Teil widersprüchlich und für die Vertragsparteien ungenügend sind. Aus diesem Grund ist die Gewährleistung des Cloud-Anbieters für die von ihm zur Verfügung gestellten Services im Vertrag genau zu beschreiben. Aufgrund der individuellen Vertragsgestaltungsoptionen sind sowohl das BGB als auch das AGB zu beachten. Um Versicherungs- und Haftungs-risiken zu minimieren, sind die Vorgaben bzgl. der konkreten Haftungsbeträge von der Einkaufsabteilung zu berücksichtigen, welche im Falle vorsätzlicher oder fahr-lässig verursachter Schädigung einer Vertragspartei durch ihren Partner geltend gemacht werden können. Diese Definition von Haftungsfällen und -beträgen sichert aus Unternehmenssicht den Ersatz im Eintrittsfall sowie eine Begrenzung des Risiko-transfers aus Anbietersicht.


1 3

4.3 Risiko durch die Einbindung von Subunternehmer

Die Anzahl der Vertragspartner spielt aus Sicht des Cloud-Nutzers eine entschei-dende Rolle im Hinblick auf die Komplexität und Flexibilität des Cloud Services und ihrer vertraglichen Verwaltung. So ist zu klären, ob der Cloud-Nutzer die Bereit-stellung eines Cloud Services ggf. auf mehrere Anbieter verteilt oder einen einzel-nen Dienstleister als Vertragspartner wählt. Während der Steuerungsbedarf bei der Einbindung mehrerer Subunternehmer steigt (Komplexität, Compliance-Anforde-rungen), gewinnt der Cloud-Nutzer in diesem Szenario an Flexibilität im Hinblick auf den jeweiligen Cloud Service. Durch den erhöhten Steuerungsaufwand mehrerer Vertragsparteien steigen allerdings auch die Risiken im Hinblick auf Qualität und Verfügbarkeit des Services.

4.4 Risiko aus einer ungeregelten Kündigung

Schon zu Vertragsbeginn ist es wichtig, die möglichen Formen der Vertragsbeendi-gung und der dazugehörigen Transition zu definieren. Bei der Beendigung des Ver-trags zwischen Cloud-Nutzer und Anbieter besteht insbesondere das Risiko, dass die personenbezogenen Daten beim Cloud-Anbieter nicht vollständig rückgeführt und auf Seiten des Cloud-Anbieters nicht gelöscht werden. Diesem Risiko lässt sich u. a. durch eine entsprechende vertragliche Berücksichtigung begegnen. Dies betrifft ins-besondere die technischen Rahmenbedingungen sowie Rechte und Pflichten beider Vertragsparteien im Rahmen der Transition und Kündigung. Es umfasst unter ande-rem die Portierbarkeit sowie die Vernichtung von Daten, die Übergabe von Vertrags-dokumenten sowie einen einzuplanenden Exit-Support durch den Cloud-Anbieter. Zudem ist vertraglich festzulegen, welche Maßnahmen oder Sonderkündigungsre-gelungen greifen, falls der Cloud-Anbieter beispielsweise mit anderen Unternehmen fusioniert, es aufgekauft wird oder Insolvenz anmeldet (Bundesverband Informa-tionswirtschaft, Telekommunikation und neue Medien 2009).

4.5 Leitlinien zur Vertragsgestaltung

1. Stellen Sie sicher, dass der Vertrag mit dem Cloud-Anbieter auf deutschem Recht basiert, in deutscher Sprache verfasst und sein Gerichtsstand in Deutschland angesiedelt ist.

2. Akzeptieren Sie keine AGB der Cloud-Anbieter, die unverträglich mit Ihren eigenen Geschäftsbedingungen sind und nehmen Sie Abstand von Schiedsge-richtsklauseln im Vertrag.

3. Vereinbaren Sie den Leistungsumfang des Cloud Services in Schriftform. Auf Basis des Vertrags sollten Service Level Agreements und alle Maßnahmen zur Gewährleistung der Informationssicherheit vereinbart werden.

4. Bei der Nutzung von Cloud Services, die unter Einbindung von Subunternehmen angeboten werden, schließen Sie den Vertrag mit einem Cloud-Anbieter als Ge-neralunternehmer ab.

5. Stellen Sie zudem sicher, dass alle an der Leistungserbringung des Cloud Services beteiligten Subunternehmer im Vertrag namentlich aufgeführt, ihre Teilleistun-


1 3

gen klar benannt und sie auf die Einhaltung der vertraglichen und gesetzlichen Vorgaben verpflichtet sind.

6. Vereinbaren Sie ein formales Prüfrecht gegenüber dem Cloud-Anbieter. Dies ermöglicht Ihnen, Kontrollen beim Cloud-Anbieter durchzuführen bzw. durch Dritte durchführen zu lassen.

7. Regeln Sie die Vertragsbeendigung (Transitions- und Exit-Management) und die dazugehörige Rückführung der Daten im Vertrag.

8. Beachten Sie, dass Schäden, die durch die Nutzung von Public Cloud Services entstehen, in der Regel nicht versichert sind. Führen Sie die Gewährleistungs-pflichten und die Haftungsbeiträge des Cloud-Anbieters vollumfänglich im Ver-trag auf.

9. Stellen Sie beim Kauf von Cloud Services die Einhaltung der gültigen Ein-kaufsrichtlinien und -prozesse Ihres Unternehmens sicher.

10. Stellen Sie sicher, dass der Cloud-Anbieter für die einzusetzende Software über die notwendigen Nutzungsrechte und Lizenzen für Cloud Computing verfügt. Diese müssen für den Einsatz in allen Ländern vorhanden sein, in denen die Leis-tungen zur Verfügung gestellt werden.

11. Beachten Sie, dass die Außenkommunikation etwaiger Schäden, insbesondere bei Datenschutzpannen, in Ihrer Verantwortung liegt. Stellen Sie daher sicher, dass der Cloud-Anbieter Sie unverzüglich über jeden Datenschutz- und/oder Sicherheitsverstoß informiert. Bei übergreifenden kommunikativen Risiken in-formieren Sie die Kommunikationsabteilung sowie den Datenschutzbeauftragen Ihres Unternehmens.

5 Regulatorische Rahmenbedingungen

Über die Anforderungen aus dem Datenschutz und der Vertragsgestaltung hinaus müssen im Cloud Computing besondere regulatorische Aspekte berücksichtigt wer-den. Diese umfassen die Anforderungen aus gesetzlichen, aufsichtsrechtlichen und steuerlichen Vorschriften, aus unternehmensinternen Vorgaben sowie aus branchen-spezifischen Standards wie z. B. dem PCI-DSS (Payment Card Industry Data Secu-rity Standard). Generell gilt, dass im Falle der Nutzung externer Cloud-Angebote zwar die Datenspeicherung und Verarbeitung delegiert werden kann, nicht jedoch die Verantwortung für die Einhaltung der damit verbundenen regulatorischen Vorgaben. Diese Verantwortung verbleibt weiterhin beim Cloud-Nutzer.

5.1 Risiken aus gesetzlichen Anforderungen

Die über das Datenschutzrecht hinaus geltenden gesetzlichen Anforderungen stam-men insbesondere aus dem Telekommunikationsgesetz, der Abgabenordnung, dem Handelsgesetzbuch, dem GmbH-Gesetz und dem Aktiengesetz. Auf dem Telekom-munikationsgesetz basierende Anforderungen umfassen u. a. die Kaufabwicklung und Zahlung im Bereich des E-Commerce. Die Abgabenordnung umfasst Bestim-mungen zur Verarbeitung steuerrechtlicher Daten, was die Wahl des Cloud-Anbieters im Hinblick auf den Standort der Datenspeicherung einschränken kann. Gleiches gilt


1 3

für die im Handelsgesetzbuch festgelegten Vorgaben. Das GmbH- und Aktiengesetz behandelt unter anderem die Anforderungen an ein Risikomanagement in den Unter-nehmen. Der entsprechende Umgang mit Cloud Computing wird darüber hinaus in zahlreichen anderen Gesetzen geregelt. Über diese Gesetze hinaus finden oftmals Anforderungen aus dem Bürgerlichen Recht, dem Urheberrecht und aus dem Arbeits-recht Anwendung.

5.2 Leitlinien zu regulatorischen Aspekten

Aufgrund der Komplexität und der hohen Spezifität je Einzelfall lassen sich keine all-gemeingültigen Leitlinien im Hinblick auf regulatorische Aspekte ableiten. Vielmehr ist es – auch angesichts der hohen Innovationsgeschwindigkeit von Cloud Compu-ting sowie der Vielzahl an Einsatzmöglichkeiten und Geschäftsmodellen der Cloud-Anbieter – notwendig, einen Compliance-Check in Form einer Einzelfallprüfung durch Juristen durchzuführen. Nur so kann sichergestellt werden, dass die notwen-dige Transparenz und Sicherheit für alle Anspruchsgruppen gewährleistet ist und die regulatorischen Anforderungen abgedeckt werden.

6 IT-Sicherheitsanforderungen

Neben den Bereichen Datenschutz, Vertragsgestaltung und Regulation bestehen im Cloud Computing besondere Risiken im Hinblick auf die IT-Sicherheit. Das gilt vor allem für unternehmenskritische Daten sowie für Services, die eine hohe Verfügbar-keit der IT-Systeme erforderlich machen (Bundesamt für Sicherheit in der Informa-tionstechnik 2012). Ein Ausfall dieser Services kann schwerwiegende Folgen für das Unternehmen nach sich ziehen. Die weiteren Ausführungen beziehen sich daher ins-besondere auf größere, komplexe Cloud-Vorhaben, die zumeist im Zusammenhang mit der Auslagerungen von Software zur Unterstützung von operativen Geschäfts-prozessen in die Cloud (SaaS) erfolgen.

6.1 Sicherheitsrisiken aufgrund unzureichender Steuerung

Die Nutzung von Cloud Computing birgt für die Anwender die Gefahr eines Kon-trollverlustes über ihre Services. Hiermit verbunden ist das Risiko, dass durch den Cloud-Anbieter verursachte Beeinträchtigungen oder Störungen der Services nicht entgegengesteuert werden kann. Daraus folgt, dass eine Steuerung und Überwachung des Cloud-Anbieters durch den Cloud-Nutzer notwendig ist, um die erforderliche Verfügbarkeit und das erforderliche Schutzniveau zu gewährleisten. Insofern bildet ein IT-Service-Management (ITSM) eine wichtige Voraussetzung für die Nutzung von Cloud Services.

6.2 Risiko des Datenverlustes bei der Datenrückholung

Ein weiterer Aspekt ist die Sicherstellung der Datenübertragung, insbesondere der Datenrückholung. Ohne klare Regelungen hierfür besteht die Gefahr, dass eine


1 3

Datenrückführung nicht oder nur unter erheblichem Aufwand möglich ist oder Daten beispielsweise aufgrund von Sicherheitslücken manipuliert, gestohlen oder gelöscht werden. Ein gesicherter Datentransfer ist somit wichtig, um einen späteren Wechsel des Cloud-Anbieters reibungslos durchführen zu können. Folglich empfiehlt es sich, eine Datensicherungskopie zu erstellen und diese außerhalb der Cloud zu sichern.

6.3 Operative Risiken durch fehlendes Notfall-Management

Ohne ein umfassendes und konsistentes Notfall-Management auf Seiten des Cloud-Nutzers besteht bei einer temporären oder längeren Betriebsstörung das Risiko, dass kritische betriebliche Vorgänge im eigenen Unternehmen zum Erliegen kommen. Der Cloud-Nutzer benötigt geeignete Prozesse und Strukturen, um auf eine Störung oder einen Ausfall von Services zu reagieren.

6.4 Mangelnde Browsersicherheit, mobile Endgeräte und öffentlicher Internetzugang

Des Weiteren ist bei der Nutzung von Cloud-Services auf die Sicherheit des Brow-sers zu achten. Angriffe auf und über den Web Browser des Mitarbeiters, der den Cloud-Service nutzt (z. B. Cross-Site-Scripting), stellen ein zusätzliches Risiko für die Integrität und Vertraulichkeit der Daten dar (National Institute of Standards and Technology 2011).

Ferner stellt jeder Zugriff auf Cloud Services über mobile Endgeräte (Tablets, Smartphones usw.) und über nicht vertrauenswürdige Endgeräte (z. B. Internet Cafe, öffentliche Netzwerke) ein grundsätzliches Risiko dar (Bundesverband Informations-wirtschaft, Telekommunikation und neue Medien 2010, Bundesamt für Sicherheit in der Informationstechnik 2008).

6.5 Leitlinien zur IT-Sicherheit

1. Arbeiten Sie mit zertifizierten (ISO/IEC 27001) Cloud-Anbietern zusammen. Dadurch wird sichergestellt, dass Organisations- und Prozessstandards, insbeson-dere im Hinblick auf IT-Sicherheit, eingehalten werden.

2. Stellen Sie sicher, dass alle unternehmenskritischen Daten beim Cloud-Anbieter verschlüsselt übertragen und gespeichert werden. Wenn diese in der Cloud verarbeitet werden, kommen prinzipiell die gleichen Anforderungen wie bei per-sonenbezogenen Daten zum Tragen.

3. Beachten Sie das Prinzip der „Zweckbindung und Datensparsamkeit“ und übermitteln Sie nur so viele Daten wie nötig und so wenig wie möglich in die Cloud. Sehen Sie zudem von einer Vorratsdatenspeicherung in der Cloud ab.

4. Definieren Sie ein eindeutiges Vorgehen für die Datenrückholung unter beson-derer Berücksichtigung der technischen Aspekte (Datensicherung außerhalb der Cloud).

5. Stellen Sie sicher, dass ein Notfallkonzept für die eingesetzten Cloud-Lösungen vorhanden ist.


1 3

6. Informieren Sie vor dem Einsatz von Cloud-Services sowohl die betroffenen Ge-schäftsprozessverantwortlichen als auch die IT-Abteilung (insb. IT-Architek-tur, IT-Infrastruktur und IT-Betrieb).

7. Stellen Sie sicher, dass Sie beim Zugriff auf Cloud-Services über das Internet einen aktuellen und sicheren Webbrowser verwenden.

8. Greifen Sie auf Cloud-Services nur von gesicherten Endgeräten zu. Daten, die über nicht vertrauenswürdige Endgeräte verarbeitet werden, können potenziell von Dritten mitgelesen werden; mobile Endgeräte können verloren gehen oder gestohlen werden

9. Je nach Ausprägung kann eine Systemanalyse notwendig sein. Bei größeren und komplexen SaaS-Vorhaben jedoch ist eine Projektvorgehensweise – analog klas-sischer Softwareeinführungsprojekte – unabdingbar.

7 Cloud-Vorhaben mutig angehen – sicher umsetzen

Als Fazit lässt sich festhalten, dass Cloud Computing ein neuartiges, zugleich komple-xes und sich ständig wandelndes Paradigma bildet, das große Chancen für Unterneh-men bietet. In vielen Fällen lassen sich die Risiken bei entsprechender Vorgehensweise beherrschbar machen, wenn auch nicht immer vollständig beseitigen. Letztendlich bleibt der Einsatz von Cloud Computing immer eine Management-Entscheidung unter Abwägung von Chancen und Risiken. Aus diesem Grund bieten pauschale Empfeh-lungen und verallgemeinerte Checklisten hierbei nur begrenzt Entscheidungshilfen – stattdessen sind Entscheidungen über den Einsatz von Cloud Computing einzelfall-spezifisch zu treffen. Über die Einhaltung der Governance-Leitlinien für Cloud Com-puting hinaus haben sich in unserer Praxis flankierende Maßnahmen bewährt: Erstens empfiehlt sich die organisatorische Umsetzung eines geregelten Cloud-Complian-ce-Prozesses zur Überprüfung der spezifischen Einzelfälle unter Einbindung von weiteren Unternehmensfunktionen (z. B. juristisches Referat, Datenschutz, Ein-kaufsabteilung). Abbildung 3 zeigt ein exemplarisches Vorgehen zur Überprüfung und Entscheidung von Cloud-Vorhaben.

Abb. 3 Beispiel für einen Cloud-Compliance-Prozess (eigene Darstellung)


1 3

Zweitens empfiehlt sich die Nutzung einer Datenklassifizierung als Grundlage für die Datenverarbeitung mittels Cloud Computing (Bundesamt für Sicherheit in der Informationstechnik 2008).

In vielen Unternehmen werden bereits Methoden und Instrumente für eine Daten-klassifizierung – unabhängig der Nutzung von Cloud-Technologien – eingesetzt.

Als Hilfsmittel hierfür stehen nationale und internationale Standards sowie Methoden bereit, die oft schon im Umfeld der IT-Sicherheit Anwendung finden. Diese Standards liefern generische Vorgehensmodelle, die auf die jeweiligen Unter-nehmensspezifika anzupassen sind. Abbildung 4 zeigt ein beispielhaftes Vorgehen zur Datenklassifizierung.

In Zukunft werden die Anwendungsfelder von Cloud Computing durch Innova-tionen und die Verknüpfung mit anderen Trends, wie zum Beispiel Big Data, Smart Mobile Computing und Social Media, weiter zunehmen. Die hier vorgeschlagenen Governance-Leitlinien sollen dabei zur Nutzung von Cloud-Technologien anregen und als praktische Orientierungshilfe dienen – sie stehen daher unter dem Motto: Mutig und innovativ denken – sicher umsetzen.

Literatur

Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (2009) Cloud Computing – Evolution in der Technik, Revolution im Business. Berlin

Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (2010) Cloud Computing – Was Entscheider wissen müssen. Berlin

Bundesamt für Sicherheit in der Informationstechnik (2008) BSI-Standard 100-2: IT-Grundschutz-Vor-gehensweise, Version 2.0. Bonn

Bundesamt für Sicherheit in der Informationstechnik (2012) Sicherheitsempfehlungen für Cloud Compu-ting Anbieter. Bonn

Christman S, Hilpert H, Thöne M, Hagenhoff S (2010) Datensicherheit und Datenschutz im Cloud Com-puting – Risiken und Kriterien zur Anbieterauswahl. HMD – Praxis der Wirtschaftsinformatik 47(5): 62–70

European Commission (2012), Directorate General Justice, Opinion 05/2012 on Cloud Computing. BrüsselForrester Research (2012) Cloud Computing. CambridgeGartner Inc. (2010) Cloud Computing – Key Initiative Overview. StamfordKPMG Wirtschaftsprüfungsgesellschaft, Bundesverband Informationswirtschaft, Telekommunikation und

neue Medien (2013) Cloud-Monitor 2013. Cloud Computing in Deutschland – Status quo und Per-spektiven. Düsseldorf

Abb. 4 Prozess zur Datenklassifizierung (nach BSI-Standard 100-2) (Bundesamt für Sicherheit in der Informationstechnik 2008)


1 3

National Institute of Standards and Technology (2011) The NIST-Definition of Cloud Computing – Recommendations of the National Institute of Standards and Technology, Special Publication 800–145. Gaithersburg

Strauch S, Kopp O, Leymann F, Unger T (2011) A Taxonomy for Cloud Data Hosting Solutions, Procee-dings of the IEEE International Conference on Cloud and Green Computing, CGC 2011, S. 12–14. Sydney, Australia

Documents

Governance und Compliance im Cloud Computing