• Home

  • Documents

  • IT Compliance und Governance: Cloud Computing erweitert den Horizont
1
DuD Datenschutz und Datensicherheit 5 | 2011 363 GATEWAY Helmut Reimer, Christoph Wegener IT Compliance und Governance: Cloud Computing erweitert den Horizont Cloud Computing ist erst seit wenigen Jahren der zusammenfassende Begriff für IT-Prozesse mit verteilten Ressourcen. In großen Unternehmen haben sich dafür die Vorstufen in einem langen Zeitraum herausgebildet. Die Etappen Rechenzent- ren mit Stapelverarbeitung, Zentralrech- ner mit Arbeitsplatzterminals, autonome und dann vernetzte Arbeitsplatzrechner sind uns allen geläufig. Die letztgenann- te Stufe der Entwicklung führte zu enorm steigenden IT-Managementanforderun- gen und Aufwänden. Serverparks in den Unternehmen sind das Ergebnis. Parallel zur technologischen Entwick- lung sind inzwischen fast alle Unterneh- mensabläufe vollständig von der Verfüg- barkeit der IT-Unterstützung abhängig geworden. Infolgedessen müssen auch die IT-Ressourcen heute streng wirtschaftlich und rechtlich gebotenen Vorschriften fol- gen. Zu diesem Zweck ist ein ganzes Spek- trum von Standards und Werkzeugen für die Erfüllung gesetzlicher Vorgaben (IT Compliance) entwickelt worden. Hierbei geht es vor allem um die Qualitäten der IT-Prozesse in Bezug auf Stabilität, Steuer- barkeit, Datensicherheit und Datenschutz. Da die Vorstände oder Geschäftsfüh- rer der Unternehmen für Schäden durch die Verletzung von Vorschriften oder ei- ne ungenügende Compliance haften, sind Organisation, Steuerung und Kontrolle der IT und der IT-Prozesse eines Unter- nehmens Aufgaben der Unternehmens- führung. Diese IT Governance dient der Ausrichtung der IT-Prozesse an der Un- ternehmensstrategie und steht in enger Verbindung zum ganzheitlichen Corpo- rate Governance-Ansatz. Sie schließt aus- drücklich eine angemessene Strategie zum Umgang mit den unvermeidlichen Risi- ken ein. Das über einige Jahre hochgelobte Out- sourcing von IT-Leistungen und IT-Ser- vices war ein Praxisfeld, das die Entwick- lung weiterer methodischer Elemente für Compliance und Governance erforder- te. Beispielhaft seien hier die Service Le- vel Agreements (SLA) genannt. Diese wer- den häufig insbesondere zur Regelung der Verfügbarkeit einer Dienstleistung oder als spezielles Security SLA zur vertragli- chen Regelung der Informationssicher- heit eingesetzt. Es hat sich allerdings in der Folge gezeigt, dass sowohl hinsichtlich der erwarteten Ökonomie als auch bei der Steuerung des Risikos mehr Nachteile als Vorteile entstanden. Cloud Computing kann damit prinzipi- ell auf einem soliden methodischen Fun- dament und entsprechenden Erfahrun- gen im Umgang mit verteilten IT-Res- sourcen aufbauen. Gleichzeitig beinhal- tet diese neue begriffliche Zusammenfas- sung zukünftiger IT-Strukturen die Vi- sion, mit den früher erkannten Risiken für Daten, Identitäten und Infrastruktu- ren wirtschaftlicher und sicherer umge- hen zu können. Dabei sind neue Ansätze zu verfolgen, um die Vorgaben im Bereich Compliance und Governance mit Ausrichtung an den wirtschaftlichen Zielen angemessen um- setzen zu können. Die Cloud-Idee treibt hier die Weiterentwicklung von Standards für die IT-Sicherheit und das Sicherheits- management voran. Neben der Möglich- keit, auf dieser Grundlage sichere, flexib- le und stabile Cloud-Services anbieten zu können, entstehen dabei aber auch Vor- teile für die traditionelle IT: Uneinheit- liche Strukturen und damit verbundene kostenintensive Konstellationen gehören endgültig der Vergangenheit an, Prozesse werden damit erheblich vereinfacht. Über diese Standardisierungsansätze hinaus ebnet die Cloud aber auch ande- re Wege zu mehr Informationssicherheit. So schafft sie aufgrund ihrer strukturel- len Eigenschaften eine prinzipiell mögli- che Ausfallsicherheit. Aber auch ein ande- rer Aspekt, der oftmals intuitiv als negativ betrachtet wird, ist hier von Relevanz: Der Wegfall der Perimeter-Firewalls. Auf den ersten Blick erzeugt die Vorstellung, beim Nutzer von Cloud Computing keine zen- trale Firewall mehr betreiben zu können, enorme Unsicherheit. Konsequent weiter gedacht führt er aber zu einem notwendi- gerweise verbesserten Schutz aller Endge- räte und damit zu einem deutlich verbes- serten Sicherheitsniveau. Ob diese Kon- zepte in Zukunft nur teilweise oder wirk- lich vollständig umgesetzt werden kön- nen, ist und bleibt eine spannende Frage. Möglicherweise sind Private Clouds – in konsequenter Fortsetzung der Entwick- lung aktueller IT-Strukturen – als Über- gangslösung ein erster Ansatz. Werden diese gar vom Unternehmen selbst betrie- ben, schaffen sie genau die Standardisie- rung und das Perimeter, das in der Cloud bisher noch so schmerzlich vermisst wird. Dieser Weg schöpft das Cloud Computing Potential natürlich nicht wirklich aus, kann aber weitere Entwicklungen hin zur Akzeptanz von echten (Public) Clouds mit der dann verfügbaren Flexibilität und Skalierbarkeit unterstützen. Eine Hürde, die dem Compliance- bzw. Governance-Manager im Hinblick auf das Cloud Computing das Leben erschwert, ist die Tatsache, dass es sich bei einer Cloud prinzipiell um ein internationales, lände- rübergreifendes Konstrukt handelt, da- mit sind aber dann auch vielfältige, län- derspezifische Regelungen einzuhalten. Dies gilt sowohl in Bezug auf externe Re- gelungen, etwa gesetzliche Vorgaben, aber auch für interne Regularien, die in unter- schiedlichen Ländern ebenfalls eine ande- re Perspektive bekommen können. Letzte- res ist ein Umstand, den alle international agierende Unternehmen bereits auch oh- ne Cloud Computing mehr oder weniger schmerzhaft erfahren mussten. Bleibt festzuhalten, dass Cloud Compu- ting trotz oder gerade wegen der noch be- stehenden Probleme als Schlüssel zum Er- folg gesehen werden kann. Denn obwohl viele Fragen zum Cloud Computing noch nicht beantwortet sind: Letztendlich bietet die konsequente Umsetzung des Cloud- Ansatzes eine Chance für mehr Informa- tionssicherheit, und das sogar, ohne die Cloud tatsächlich nutzen zu müssen.

IT Compliance und Governance: Cloud Computing erweitert den Horizont

Embed Size (px)

Citation preview

Page 1: IT Compliance und Governance: Cloud Computing erweitert den Horizont

DuD Datenschutz und Datensicherheit 5 | 2011 363

GATEWAY

Helmut Reimer, Christoph Wegener

IT Compliance und Governance: Cloud Computing erweitert den Horizont

Cloud Computing ist erst seit wenigen Jahren der zusammenfassende Begriff für IT-Prozesse mit verteilten Ressourcen. In großen Unternehmen haben sich dafür die Vorstufen in einem langen Zeitraum herausgebildet. Die Etappen Rechenzent-ren mit Stapelverarbeitung, Zentralrech-ner mit Arbeitsplatzterminals, autonome und dann vernetzte Arbeitsplatzrechner sind uns allen geläufig. Die letztgenann-te Stufe der Entwicklung führte zu enorm steigenden IT-Managementanforderun-gen und Aufwänden. Serverparks in den Unternehmen sind das Ergebnis.

Parallel zur technologischen Entwick-lung sind inzwischen fast alle Unterneh-mensabläufe vollständig von der Verfüg-barkeit der IT-Unterstützung abhängig geworden. Infolgedessen müssen auch die IT-Ressourcen heute streng wirtschaftlich und rechtlich gebotenen Vorschriften fol-gen. Zu diesem Zweck ist ein ganzes Spek-trum von Standards und Werkzeugen für die Erfüllung gesetzlicher Vorgaben (IT Compliance) entwickelt worden. Hierbei geht es vor allem um die Qualitäten der IT-Prozesse in Bezug auf Stabilität, Steuer-barkeit, Datensicherheit und Datenschutz.

Da die Vorstände oder Geschäftsfüh-rer der Unternehmen für Schäden durch die Verletzung von Vorschriften oder ei-ne ungenügende Compliance haften, sind Organisation, Steuerung und Kontrolle der IT und der IT-Prozesse eines Unter-nehmens Aufgaben der Unternehmens-führung. Diese IT Governance dient der Ausrichtung der IT-Prozesse an der Un-ternehmensstrategie und steht in enger Verbindung zum ganzheitlichen Corpo-rate Governance-Ansatz. Sie schließt aus-drücklich eine angemessene Strategie zum Umgang mit den unvermeidlichen Risi-ken ein.

Das über einige Jahre hochgelobte Out-sourcing von IT-Leistungen und IT-Ser-vices war ein Praxisfeld, das die Entwick-lung weiterer methodischer Elemente für Compliance und Governance erforder-te. Beispielhaft seien hier die Service Le-

vel Agreements (SLA) genannt. Diese wer-den häufig insbesondere zur Regelung der Verfügbarkeit einer Dienstleistung oder als spezielles Security SLA zur vertragli-chen Regelung der Informationssicher-heit eingesetzt. Es hat sich allerdings in der Folge gezeigt, dass sowohl hinsichtlich der erwarteten Ökonomie als auch bei der Steuerung des Risikos mehr Nachteile als Vorteile entstanden.

Cloud Computing kann damit prinzipi-ell auf einem soliden methodischen Fun-dament und entsprechenden Erfahrun-gen im Umgang mit verteilten IT-Res-sourcen aufbauen. Gleichzeitig beinhal-tet diese neue begriffliche Zusammenfas-sung zukünftiger IT-Strukturen die Vi-sion, mit den früher erkannten Risiken für Daten, Identitäten und Infrastruktu-ren wirtschaftlicher und sicherer umge-hen zu können.

Dabei sind neue Ansätze zu verfolgen, um die Vorgaben im Bereich Compliance und Governance mit Ausrichtung an den wirtschaftlichen Zielen angemessen um-setzen zu können. Die Cloud-Idee treibt hier die Weiterentwicklung von Standards für die IT-Sicherheit und das Sicherheits-management voran. Neben der Möglich-keit, auf dieser Grundlage sichere, flexib-le und stabile Cloud-Services anbieten zu können, entstehen dabei aber auch Vor-teile für die traditionelle IT: Uneinheit-liche Strukturen und damit verbundene kostenintensive Konstellationen gehören endgültig der Vergangenheit an, Prozesse werden damit erheblich vereinfacht.

Über diese Standardisierungsansätze hinaus ebnet die Cloud aber auch ande-re Wege zu mehr Informationssicherheit. So schafft sie aufgrund ihrer strukturel-len Eigenschaften eine prinzipiell mögli-che Ausfallsicherheit. Aber auch ein ande-rer Aspekt, der oftmals intuitiv als negativ betrachtet wird, ist hier von Relevanz: Der Wegfall der Perimeter-Firewalls. Auf den ersten Blick erzeugt die Vorstellung, beim Nutzer von Cloud Computing keine zen-trale Firewall mehr betreiben zu können,

enorme Unsicherheit. Konsequent weiter gedacht führt er aber zu einem notwendi-gerweise verbesserten Schutz aller Endge-räte und damit zu einem deutlich verbes-serten Sicherheitsniveau. Ob diese Kon-zepte in Zukunft nur teilweise oder wirk-lich vollständig umgesetzt werden kön-nen, ist und bleibt eine spannende Frage.

Möglicherweise sind Private Clouds – in konsequenter Fortsetzung der Entwick-lung aktueller IT-Strukturen – als Über-gangslösung ein erster Ansatz. Werden diese gar vom Unternehmen selbst betrie-ben, schaffen sie genau die Standardisie-rung und das Perimeter, das in der Cloud bisher noch so schmerzlich vermisst wird. Dieser Weg schöpft das Cloud Computing Potential natürlich nicht wirklich aus, kann aber weitere Entwicklungen hin zur Akzeptanz von echten (Public) Clouds mit der dann verfügbaren Flexibilität und Skalierbarkeit unterstützen.

Eine Hürde, die dem Compliance- bzw. Governance-Manager im Hinblick auf das Cloud Computing das Leben erschwert, ist die Tatsache, dass es sich bei einer Cloud prinzipiell um ein internationales, lände-rübergreifendes Konstrukt handelt, da-mit sind aber dann auch vielfältige, län-derspezifische Regelungen einzuhalten. Dies gilt sowohl in Bezug auf externe Re-gelungen, etwa gesetzliche Vorgaben, aber auch für interne Regularien, die in unter-schiedlichen Ländern ebenfalls eine ande-re Perspektive bekommen können. Letzte-res ist ein Umstand, den alle international agierende Unternehmen bereits auch oh-ne Cloud Computing mehr oder weniger schmerzhaft erfahren mussten.

Bleibt festzuhalten, dass Cloud Compu-ting trotz oder gerade wegen der noch be-stehenden Probleme als Schlüssel zum Er-folg gesehen werden kann. Denn obwohl viele Fragen zum Cloud Computing noch nicht beantwortet sind: Letztendlich bietet die konsequente Umsetzung des Cloud-Ansatzes eine Chance für mehr Informa-tionssicherheit, und das sogar, ohne die Cloud tatsächlich nutzen zu müssen.

Vor dem Horizont

Vor dem Horizont

Documents
HÅG Capisco Puls - HAG ShopBedürfnis nach ständiger Bewegung. HÅG Capisco Puls setzt diese Tradition fort und erweitert zugleich den Horizont der Capisco-Familie. Als moderner,

HÅG Capisco Puls - HAG ShopBedürfnis nach ständiger Bewegung. HÅG Capisco Puls setzt diese Tradition fort und erweitert zugleich den Horizont der Capisco-Familie. Als moderner,

Documents
Liedertafel 1903 Dudenhofen e.V. Hinter’m Horizont

Liedertafel 1903 Dudenhofen e.V. Hinter’m Horizont

Documents
Banking supervision and external auditors in the European ...€¦ · economic governance banking union economic governance banking union economic governance banking union economic

Banking supervision and external auditors in the European ...€¦ · economic governance banking union economic governance banking union economic governance banking union economic

Documents
Sustainable development as governance reform … · Sustainable development as governance reform agenda: An aggregation of distinguished challenges for ... governance also separates

Sustainable development as governance reform … · Sustainable development as governance reform agenda: An aggregation of distinguished challenges for ... governance also separates

Documents
Staat und Governance

Staat und Governance

Documents
Regional Governance – Operationalisierungen und ......Government, Governance und Gouvernementalität (Arts und Visseren-Hamakers 2012, Lintz 2017) oder Systematisierung Governance-Formen

Regional Governance – Operationalisierungen und ......Government, Governance und Gouvernementalität (Arts und Visseren-Hamakers 2012, Lintz 2017) oder Systematisierung Governance-Formen

Documents
66 Juni Juli 2017 Yoga Aktuell...Mit jeder Stufe auf der Leiter der Chakras erweitert sich unser Horizont, wir erleben mehr Freiheit und ... was natürlich kein Zufall ist. Wie alle

66 Juni Juli 2017 Yoga Aktuell...Mit jeder Stufe auf der Leiter der Chakras erweitert sich unser Horizont, wir erleben mehr Freiheit und ... was natürlich kein Zufall ist. Wie alle

Documents
Geologie und Paläontologie in Westfalen › wmfn-download › Geologie_und... · lockerten Gesteins (Cv-Horizont). Den Cn-Horizont bildet ein heller, dünnbankiger Oberkreidekalkstein,

Geologie und Paläontologie in Westfalen › wmfn-download › Geologie_und... · lockerten Gesteins (Cv-Horizont). Den Cn-Horizont bildet ein heller, dünnbankiger Oberkreidekalkstein,

Documents
SharePoint Governance

SharePoint Governance

Documents
Horizont November 2011

Horizont November 2011

Documents
HORIZONT - Sozialzentrum

HORIZONT - Sozialzentrum

Documents
Social Media Governance

Social Media Governance

Education
PRÄSENTIERT - HORIZONT€¦ · HORIZONT SPORTBUSINESS 3 Kommunikation, die kickt: Das Sport-Gesamtportfolio Im Folgenden zeigen wir Ihnen unser „Sportportfolio 2015“ – für

PRÄSENTIERT - HORIZONT€¦ · HORIZONT SPORTBUSINESS 3 Kommunikation, die kickt: Das Sport-Gesamtportfolio Im Folgenden zeigen wir Ihnen unser „Sportportfolio 2015“ – für

Documents
CORPORATE- GOVERNANCE- BERICHT UND ERKLÄRUNG ZUR ... · 2 CORPORATE GOVERNANCE BERICHT 2018 EVONIK INDUSTRIES Corporate-Governance-Bericht und Erklärung zur Unternehmensführung˜

CORPORATE- GOVERNANCE- BERICHT UND ERKLÄRUNG ZUR ... · 2 CORPORATE GOVERNANCE BERICHT 2018 EVONIK INDUSTRIES Corporate-Governance-Bericht und Erklärung zur Unternehmensführung˜

Documents
Verschiedene Telefonnummern · eine grosse Bereicherung und erweitert den musikalischen Horizont. Es zeigt auch auf, was wir gut machen und andere vielleicht noch besser. Diese Möglichkeit

Verschiedene Telefonnummern · eine grosse Bereicherung und erweitert den musikalischen Horizont. Es zeigt auch auf, was wir gut machen und andere vielleicht noch besser. Diese Möglichkeit

Documents
Balanced Governance - ausgewählte Folien · Balanced Governance – Peter Kinne © balancefirst Balanced Governance Eine Strategie zur Bewältigung der Komplexität im Management

Balanced Governance - ausgewählte Folien · Balanced Governance – Peter Kinne © balancefirst Balanced Governance Eine Strategie zur Bewältigung der Komplexität im Management

Documents
Orea Hotel Horizont a Špičák - pilsenconvention.cz DE.pdfKOSMETIK OREA Wellness Hotel Horizont nforma : +420 376 365 197, : 197 .cz, I tionen a-horizont Hoteltelefonleitung .cza-spicak

Orea Hotel Horizont a Špičák - pilsenconvention.cz DE.pdfKOSMETIK OREA Wellness Hotel Horizont nforma : +420 376 365 197, : 197 .cz, I tionen a-horizont Hoteltelefonleitung .cza-spicak

Documents
Erweitere deinen Horizont und deine Möglichkeiten

Erweitere deinen Horizont und deine Möglichkeiten

Documents
CAS Educational Governance

CAS Educational Governance

Documents
Sourcing Governance 2030

Sourcing Governance 2030

Documents
Informationsmanagement Marc Schwärzli SS 2011. Zeichen und Signale erweitert um Syntax Daten Daten erweitert um die Semantik Nachrichten Nachrichten erweitert

Informationsmanagement Marc Schwärzli SS 2011. Zeichen und Signale erweitert um Syntax Daten Daten erweitert um die Semantik Nachrichten Nachrichten erweitert

Documents
159180 AIDA Magazin Nr4 05 2019 NETTO DS 300dpi · R eisen erweitert unseren Horizont. Wir lernen fremde Menschen ken-nen, andere Kulturen und unbekann - te Länder. Jeder neu besuchte

159180 AIDA Magazin Nr4 05 2019 NETTO DS 300dpi · R eisen erweitert unseren Horizont. Wir lernen fremde Menschen ken-nen, andere Kulturen und unbekann - te Länder. Jeder neu besuchte

Documents
Prozess- & IT-GRC - Governance, Risk & Compliance in der ... · Begriffsklärung Governance, Risk & Compliance • Governance ... Unternehmensbereiche in Bezug auf Defizite im GRC-Management

Prozess- & IT-GRC - Governance, Risk & Compliance in der ... · Begriffsklärung Governance, Risk & Compliance • Governance ... Unternehmensbereiche in Bezug auf Defizite im GRC-Management

Documents
Horizont: Nachwuchs erstaunt Profis 20.01.2011

Horizont: Nachwuchs erstaunt Profis 20.01.2011

Technology
Bericht zur Corporate Governance 2004 - nestle.com · Nestlé Bericht zur Corporate Governance 2004 Einleitende Bemerkungen Der Nestlé-Bericht zur Corporate Governance 2004 orientiert

Bericht zur Corporate Governance 2004 - nestle.com · Nestlé Bericht zur Corporate Governance 2004 Einleitende Bemerkungen Der Nestlé-Bericht zur Corporate Governance 2004 orientiert

Documents
Corporate Governance (german)

Corporate Governance (german)

Documents
2. Corporate Governance - Unispital Basel · 2. Corporate Governance 2.1 Corporate Governance Das Universitätsspital Basel (USB) steht für beste medizinische Behandlung und patientenorientierte

2. Corporate Governance - Unispital Basel · 2. Corporate Governance 2.1 Corporate Governance Das Universitätsspital Basel (USB) steht für beste medizinische Behandlung und patientenorientierte

Documents
INHALT HORIZONT 42/2021

INHALT HORIZONT 42/2021

Documents
Achtung ! Urlaub am Horizont !

Achtung ! Urlaub am Horizont !

Documents