AutorJohannes Wahl

Ab in die Cloud, aber mit Sicherheit

Worauf jedes Unternehmen achten sollte, wenn es die Cloud verwendet

Cloud Computing bietet Datenverarbeitung per Internet und über Netzwerke von Unternehmen und ebenso natürlich von Verwaltungen.

Software-as-a-Service

Software-as-a-Service (SaaS) und weitere Nutzungsmodelle lassen Anwender bestimmte skalierbare Leistungen nutzen und zahlen. Dabei differieren Umfang und Art sowie Ort und Infrastruktur der jeweiligen Leistung. Datenschutz und Informationssicherheit hängen ebenfalls von veränderlichen Faktoren der jeweiligen cloudbasierten Verarbeitung ab. Wirtschaftliche Vorteile für Anwender resultieren aus reduzierter Infrastruktur und kleinerem IT-Personal bei besserem Kostenüberblick. Eine Situation, die im eigenen Rechenzentrum zu gleichen Preisen oft nicht zu realisieren wäre.

Platform-as-a-Service

Gleiches gilt neben SaaS auch für Platform-as-a-Service (PaaS), das cloudbasierte Plattformen für Webentwickler bietet. Dazu zählen zügig verfügbare Laufzeitumgebungen für Anwendung und Entwicklung. In der Cloud entfallen hoher Verwaltungsaufwand und Kosten für Hard– wie Software. Davon profitieren Software-Lebenszyklen, vom Entwurf über Development und Test zum Roll-out. Auch der Betrieb von Webapplications im Internet gelingt per Cloud Computing. Obige Cloudvorteile entspringen auch Infrastructure-as-a-Service (IaaS) als mietbare Rechen– bzw. Serverleistung.

Cloud-Checkliste

Im Cloud Computing gilt Compliance zu Kontrollierbarkeit und Transparenz sowie Beeinflussbarkeit als starke Herausforderung an Anbieter genauso wie für die Anwender. Speziell müssen Verantwortliche von Unternehmen ihre Datenverarbeitung angemessen verantworten. Dazu gehört
a) die richtige Wahl von Anbietern: Public, Private, Community oder Hybrid Clouds,
b) die transparente Technik, inkl. zertifizierter Infrastrukturen wie beispielsweise ISO 27001, Sicherheitskonzepte,
c) Organisation wie Software as a Service, Platform as a Service oder Infrastructure as a Service,
d) Rechtslage speziell zu persönlichen Daten in Clouds und
e) Sicherheit ihres Cloud Computing gewährleisten.
Vor diesen Abhängigkeiten fällt die prinzipielle Entscheidung zum Einsatz von Cloud Computing. Zu jenen Bedingungen zählt auch
f) die Möglichkeit der unterbrechungsfreien Cloud dank eines Neuanbieters bei Insolvenz des bisherigen.

Wer schreibt, der bleibt

Zudem stimmen Anbieter und Anwender ihre Sicherheitsmaßnahmen ab Mai 2018 in Form einer Auftragsverarbeitung nach Artikel 26 der EU-Datenschutzgrundverordnung ab. Öffentliche Stellen nutzen Clouds mit Sitz in Drittstaaten besonders umsichtig: Gerade außereuropäische Behördenstellen greifen oft umfänglich, ohne Anlass und ohne direkten Bedarf auf persönliche Daten zu. Dies interessiert speziell Unternehmen in Deutschland, die Daten an US-Stellen senden. EU-Standardvertragsklauseln oder BCR bei Cloud-Anbieter, die außerhalb der EU/des EWR ihren Sitz haben, müssen verwendet werden.

Vorsicht Geheimdienste

Der Zugriff ausländischer Nachrichtendienste auf Informationen von Menschen in Deutschland verläuft derzeit nicht sonderlich begrenzt. Entsprechend zurückhaltend erteilen Datenschutzbehörden neue Erlaubnis zur Datensendung in Drittstaaten, etwa während der Cloud-Nutzung. Zugleich prüfen diese Stellen das mögliche Aussetzen solcher Übermittlungen, speziell wegen des EU-US Privacy Shields Abkommens.

Autor: Peter Suhling

Weiterlesen

Audit aus Sicht eines Auditors

Die DGQ hat am 24. Mai eine Veranstaltung mit dem Thema Audit aus Sicht eines Auditors“ durchgeführt.

Der Vortrag des Referenten Michael Daniel von MD Consulting beinhaltete:

  • Welche Auditarten / Audittechniken gibt es?
  • Worauf achtet ein Auditor, welche Erwartungen hat er an die Auditierten und was sollte im Vorhinein unbedingt beachtet bzw. bearbeitet werden?
  • Wie gestaltet sich aus Sicht des Auditors ein optimales Audit?
  • Welche Hinweise kann ein Externer hinsichtlich Verbesserungspotenzialen aufzeigen?
  • Und wie wird die Umsetzung und Wirksamkeit kontrolliert?

Die Kernaussage ist ganz klar, dass professionelle Kommunikation der Schlüssel zu einem gelungenen Audit ist. Dabei spielt auch sehr stark die eigene Einstellung und das Auftreten eine Rolle. Oft wird der Mehrwert nicht verstanden, den so ein Audit mit sich bringt und sollte klar kommuniziert werden. Das Audit ist durchaus eine Stresssituation in der es vorallem auch auf Wertschätzung ankommt und einen respektvollen Umgang, um die Zielsetzung des Audits nicht aus dem Auge zu verlieren. Aktives Zuhören, Fragetechniken und weitere Methoden gehören dabei zu den Grundlagen.

Die DGQ gibt regelmäßig spannende Impulse und Diskussionsrunden zu aktuellen Themen.

Informieren Sie sich hier über die nächsten Veranstaltungen:

DGQ-Regionalkreis Rhein-Nahe

Weiterlesen