Kontrolle: Zertifizierung ersetzt nicht die eigene Prüfung
Einen besonderen Stellenwert hat die Kontrolle des Providers. Die erforderliche Risikoabschätzung setzt Kenntnisse über den Dienstleister voraus. Zertifizierungen sind hilfreich, können jedoch die eigene Prüfung nicht ersetzen.
Der Vertrag sollte auch hierzu Regelungen enthalten. Sie können beispielsweise so aussehen:
-
Auditrechte definieren, unmittelbaren Zugang auch bei Subunternehmer des Providers zusichern lassen;
-
Vorlage und Erneuerung von Zertifikaten regeln;
-
Reporting-Pflichten des Providers konkretisieren - nicht nur zur Einhaltung der Service Levels, sondern auch zu geplanten Systemänderungen;
-
Weisungsgebundenheit des Providers gegenüber Dritten, zum Beispiel gegenüber Aufsichtsämtern wie der Bankenaufsicht BaFin, sicherstellen.
Letztlich kann der Vertrag aber nur eine Absicherung sein. Ebenso bedeutsam wie das Aushandeln sind die sorgfältige Auswahl des Providers und das Vertrags-Controlling während der gesamten Laufzeit. (qua)
- So finden Sie den richtigen Cloud-Anbieter
Sicherheit und Kontrolle in der Cloud? Das muss sich nicht widersprechen, wenn der Anwender bei der Auswahl seines Cloud-Anbieters auf einige Kriterien achtet. Fünf Aspekte, die Sie bei der Wahl des Providers berücksichtigen sollten. - 1. Datenspeicherung in der EU
Der Cloud-Anbieter muss preisgeben, an welchen Orten er Daten und Anwendungen speichert und verarbeitet. Es sollten ausschließlich Standorte in der EU, besser noch in Deutschland, akzeptiert werden. Wenn weitere Subunternehmer beteiligt sind, müssen diese benannt werden. - 2. Sicherheitsarchitektur
Der Provider sollte die Konzeption seiner Sicherheitsarchitektur darlegen können. Dies schließt einzelne Systemkomponenten ebenso wie infrastrukturelle und technische Aspekte ein. Insbesondere sollte dabei klar werden, wie bei mandantenfähigen Systemen - so genannten Multi-Tenant-Systemen - eine verlässliche Trennung der Kunden gewährleistet wird. Angaben zur Sicherheitsarchitektur umfassen zum Beispiel Informationen zum Rechenzentrum, zur Netzsicherheit und zur Verschlüsselung. - 3. Rechte-Management
Der Anbieter sollte erklären können, wie er Nutzer sicher identifiziert. Dazu gehört etwa eine Erläuterung seines ID-Managements und wie er damit sicherstellt, dass der "normale" Anwender etwa im Unterschied zum Administrator nur Zugriff auf Daten hat, die für ihn vorgesehen sind. - 4. Datenschutz
Speichert oder verarbeitet der Cloud-Anbieter personenbezogene Angaben, dann ist ein Datenschutz nach deutschem Recht zu gewährleisten. Dar- über hinaus sollte der Anwender prüfen, inwieweit Datenschutzrichtlinien und -gesetze, denen er selber unter- liegt, vom Cloud-Anbieter eingehalten werden können. - 5. Datenimport und -export
Grundsätzlich sollte klargestellt werden, dass die Daten im Besitz des Kunden bleiben. Der Nutzer muss deshalb auch die Möglichkeit haben, seine Daten jederzeit wieder exportieren zu können. Das ist nur möglich, wenn relevante Daten in einem anbieterunabhängigen Format gespeichert oder aber in ein solches umgewandelt werden können.