Compliance-Fragen für Public Clouds noch offen
Besonderes Augenmerk ist auf die nachweisliche Einhaltung spezifischer Compliance-Anforderungen in Public-Cloud-Diensten zu legen. Werden Compliance-relevante Informationen in die Infrastruktur eines externen Anbieters verlagert, übernimmt dieser bislang nur die Betriebsverantwortung für die Dienste. Der Kunde trägt die Kontrollverantwortung, die üblicherweise eine Auditpflicht mit sich bringt. Der Kunde muss den Provider entsprechend den Vorgaben der jeweiligen Compliance-Regel auditieren. Aktuell gelten für Cloud-Dienste die gleichen Compliance-Anforderungen wie für konventionelle Infrastrukturen. Das Bundesdatenschutzgesetz, das Aktiengesetz oder KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) differenzieren nicht zwischen Cloud- und Nicht-Cloud-Betrieb. Die Herausforderung liegt darin, die geltenden Compliance-Vorgaben nachweislich umzusetzen. Solange der Provider den Nachweis nicht erbringt, ist der Kunde in der Pflicht. Allerdings ist die Wahrnehmung dieser Pflicht oft nicht praktikabel oder realisierbar.
Am Beispiel von internationalen Public-Cloud-Anbietern wie Google oder Amazon wird die Problematik besonders deutlich. Sie bedienen Kunden in der ganzen Welt und jedes Land hat eigene Compliance-Richtlinien, die von Branche zu Branche variieren können. Wie soll ein Cloud-Provider mit hundertausenden von Kunden die Fülle an Audits umsetzen, die oft die Beantwortung umfangreicher Fragebögen, Interviews und Ortsbegehungen beinhalten, ohne die Kosten für die Dienste massiv anzupassen? Letztendlich ist dies nur möglich, indem Cloud-Provider automatische Audit-Schnittstellen für Kunden in ihre Services integrieren und ihre Sicherheitsprozesse offenlegen.
Die Arbeitsgruppe CloudAudit/A6 in der sich viele namhafte Anbieter engagieren, entwickelt derzeit eine solche automatische Audit-Schnittstelle. Neben den Cloud-Anbietern sind jedoch auch die Gesetzgeber gefordert, die aktuelle Rechtslage der technologischen Entwicklung anzupassen. In einem Zeitalter des globalen, freien Informations- und Warenfluss stellen nationale Regulierungen per se einen unpassenden Ansatz dar, auch wenn deren Inhalte, wie in der aktuellen Fassung des Bundesdatenschutzgesetzes (BDSG), durchaus begrüßenswert sind. Demnach sollten Unternehmen derzeit personenbezogene Daten nur an nationale Cloud-Provider auslagern oder sicher stellen, dass sie die Einhaltung der Anforderungen des BDSG zweifelsfrei nachweisen können. Als Pionierdaten für erste Erfahrungen mit Cloud-Services eignen sich also zunächst nur nicht-Compliance-relevante Daten. Das können alle Informationen sein, die ein Unternehmen auch intern bereits seinen Mitarbeitern ohne Zugriffsbeschränkungen zur Verfügung stellt. (ph)