Kontrolle der Cloud-Provider auf alle Lieferanten ausweiten
Unter den Lieferanten und Dienstleistern gibt es eine Gruppe, bei der das Thema Security Audit in den letzten Monaten und Jahren ausführlich diskutiert wird: die Cloud-Provider. Datenschützer betonen hier immer wieder, dass die Cloud-Anbieter kontrolliert und deren IT-Sicherheitsmaßnahmen geprüft werden müssen. Hintergrund ist dabei, dass es sich bei Cloud Computing in aller Regel um Auftragsdatenverarbeitung handelt, der Auftraggeber also in der Verantwortung für den Datenschutz bleibt und sich von der IT-Sicherheit des Cloud-Lieferanten überzeugen muss.
Zu den Sicherheits- und Datenschutzanforderungen bei Cloud-Providern gibt es eine Reihe von Leitfäden, wie die Orientierungshilfe Cloud Computing der Aufsichtsbehörden für den Datenschutz, die Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit) des BSI (Bundesamt für Sicherheit in der Informationstechnik) oder den Cloud Security Guide for SMEs von ENISA (European Union Agency for Network and Information Security).
- Deutsche Unternehmen sind startklar für die Cloud
Grundsätzlich sind deutsche Unternehmen gut vorbereitet für den Einsatz von CloudServices. Das hat die Studie "Cloud Readiness 2015" von COMPUTERWOCHE, CIO und TecChannel ergeben. Die Befragung von fast 700 Entscheidern hat aber auch gezeigt, dass es an einigen Stellen noch Defizite gibt. - Minderheit mit Cloud-Readiness-Check
Haben Sie Ihr Unternehmen einem Cloud-Readiness-Check unterzogen? - Einstufung Cloud Readiness
Bitte stufen Sie Ihr Unternehmen in Sachen „Cloud Readiness“ ein! - Ausstiegsszenarien
Haben Sie in Ihrem Unternehmen geklärt, wie IT-Verfahren und die zugehörigen Daten wieder aus der Cloud geholt werden können? - Hindernisse
Was sind in Ihrem Unternehmen die größten Hindernisse für die Nutzung von Cloud-Services? - Cloud-Readiness-Studie 2015
Den ausführlichen Berichtsband zur Studie mit allen Ergebnissen und Daten können Sie über unseren Shop beziehen:
So wichtig Cloud Computing und die Cloud-Sicherheit auch sind, es reicht nicht, Security Audits und Lieferanten-Sicherheitsbewertungen für Cloud Provider vorzusehen. Die IT-Sicherheitskontrollen, wie sie bei Cloud Computing gefordert werden, sind für alle Lieferanten und Dienstleister erforderlich, in der Regel selbst dann, wenn es keine Datenverbindung zu ihnen gibt. Schließlich könnten auch vertrauliche Unterlagen des Auftraggebers auf einem USB-Stick oder in einer Papierakte abhandenkommen.
IT-Sicherheit mit den Zielen Vertraulichkeit, Verfügbarkeit und Integrität muss in der kompletten Lieferkette sichergestellt und deshalb bewertet werden. Lieferantenmanagement und Lieferantenbewertung ohne einen Fokus auf IT-Sicherheit werden der fortschreitenden Digitalisierung der Wirtschaft und den steigenden IT-Bedrohungen nicht gerecht. IT-Sicherheit muss deshalb zwingend als Einkaufskriterium gesehen und auch so behandelt werden.
Checkliste: Security-Audit bei Lieferanten
Als Teil der Lieferantenbewertung sollten Unternehmen auch die IT-Sicherheit der Zulieferer und Dienstleister in den Blick nehmen. Um die Lieferantenbewertung einheitlich durchführen zu können, sollten insbesondere folgende Punkte als Lieferantenkriterien in der Lieferantenmanagement-Software aufgenommen werden:
Lieferantenvertrag enthält Vorgaben zur IT-Sicherheit (IT-Sicherheitsrichtlinien) entsprechend dem Schutzbedarf der mit dem Lieferanten ausgetauschten Daten
Lieferantenvertrag enthält Vorgaben passend zu den erforderlichen Security Service Levels (Vertraulichkeit, Verfügbarkeit, Integrität) der gemeinsamen Prozesse, insbesondere zur Verschlüsselung, Datensicherung und Ausfallsicherheit
IT-Sicherheitsmanagement des Lieferanten basiert auf ISO 27001, IT-Grundschutz oder einem anderen anerkannten Standard
Lieferant verpflichtet sich zur Einhaltung der relevanten Compliance-Vorgaben wie den Datenschutzgesetzen
Lieferant verpflichtet Beschäftigte auf Datengeheimnis
Lieferant verpflichtet sich zur Löschung der Daten des Auftraggebers nach Zweckerfüllung
Lieferant trennt die Daten seiner verschiedenen Auftraggeber (mandantenfähige IT-Systeme)
Lieferant kann eine unabhängige, externe Zertifizierung der IT-Sicherheit vorweisen (sh)