Sobald sich eine Unternehmung mit der Auslagerung von IT-Aktivitäten in die Cloud auseinandersetzt, wird das Thema Compliance zum integralen Bestandteil des Evaluationsprozesses.
Die Einhaltung der gängigen Compliance-Standards durch den Cloud-Anbieter ist ein wichtiger Aspekt, wenn es darum geht, als Unternehmung Dienstleistungen aus der Cloud in Form von IaaS, PaaS und SaaS zu beziehen. Erfüllt der Cloud-Anbieter die Compliance-Standards nur teilweise, kann die Unternehmung, welche Geschäftstätigkeiten in die Cloud auslagern möchte, mit gesetzlichen Auflagen in Konflikt geraten. Mit der Erfüllung der geltenden Compliance-Standards durch die Cloud-Anbieter wird aus Sicht des Kunden eine Rechtssicherheit gewährleistet.
Welche Compliance-Standards sind für mich als Kunde bei der Wahl eines geeigneten Cloud-Providers von Bedeutung?
Der Standard ISO 27001 befasst sich mit der Zertifizierung des Informationssicherheitsmanagementsystems (ISMS) des Service Providers. Sobald ein Provider personenbezogene Daten verarbeitet, hilft der ISO 27001 Standard bei der Erbringung des Nachweises, dass der Provider die grundlegenden Sicherheitsmassnahmen erfüllt. Als Kunde ist es daher wichtig, einen Partner auszuwählen, der ISO 27001 zertifiziert ist.
Der Standard ISO 27017 gehört zur Familie des ISO 27001 Standards, enthält aber zusätzlich spezifische Empfehlungen für die Anbieter von Cloud-Dienstleistungen. ISO 27017 dient daher als Nachweis der Sicherheit von Cloud-Dienstleistern.
Auch der Standard ISO 27018 gehört der Familie des ISO 27001 Standards an. ISO 27018 hat zum Ziel, für die Kunden einen höchstmöglichen und vertraglich abgesicherten Schutz für verwaltete Personendaten zu gewährleisten sowie gleichzeitig die Risiken von Vertragsbrüchen zu minimieren.
Die SOC 1, SOC 2 und SOC 3 Berichte sind weitere Rahmenwerke für die Prüfung bzw. Auditierung von Dienstleistern nach festgesetzten Regeln, die das amerikanische Institut für Wirtschaftsprüfer (AICPA) zur Verfügung stellt. Die SOC Berichte beziehen sich auf die Punkte Sicherheit, Verfügbarkeit, Datenverarbeitung, Vertraulichkeit und Datenschutz.
Ein Unternehmen, welches der Kontrolle einer Revisionsstelle unterliegt, muss Auskunft über ihre Leistungserbringer liefern können, sobald rechnungsrelevante Geschäftsprozesse ausgelagert werden. Dazu zählen zum Beispiel Auskünfte über das interne Kontrollsystem des Service-Providers mit Relevanz für die finanzielle Berichterstattung. Zum de-facto Standard hat sich diesbezüglich der ISAE 3402 Bericht etabliert. ISAE 3402 ist bei den Cloud-Providern im SOC 1 Bericht enthalten und wird daher nicht einzeln aufgeführt.
Bei der Datenschutz-Grundverordnung (DSGVO, engl. GDPR) handelt es sich um eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.
Die Eidgenössische Finanzmarktaufsicht FINMA veröffentlicht das für Banken revidierte und für Versicherungen neu erlassene FINMA Rundschreiben zum Outsourcing. Dieses regelt neu als gemeinsames Rundschreiben den Umgang mit ausgelagerten Dienstleistungen von Banken, Effektenhändlern und Versicherungen. Es trat am 1. April 2018 in Kraft.
Erfüllen die Cloud-Provider die gängigen Compliance-Standards?
Die vier grossen Cloudanbieter Google Cloud, Microsoft Azure, Amazon AWS und Alibaba Cloud bieten auf ihren Webseiten einen detaillierten Einblick darüber, welche Compliance-Standards eingehalten werden. Die nachfolgende Tabelle veranschaulicht die Einhaltung der Compliance-Standards durch die verschiedenen Cloud-Provider.
Google Cloud |
Microsoft Azure |
Amazon AWS |
Alibaba Cloud |
|
ISO 27001 |
erfüllt | erfüllt | erfüllt | erfüllt |
ISO 27017 |
erfüllt | erfüllt | erfüllt | erfüllt |
ISO 27018 |
erfüllt | erfüllt | erfüllt | erfüllt |
SOC 1 |
erfüllt | erfüllt | erfüllt | nicht öffentlich |
SOC 2 |
erfüllt | erfüllt | erfüllt | nicht öffentlich |
SOC 3 |
erfüllt | erfüllt | erfüllt | erfüllt |
EU DSGVO |
erfüllt | erfüllt | erfüllt | erfüllt |
FINMA |
nicht erfüllt | erfüllt | nicht erfüllt | nicht erfüllt |
Aus Kundensicht bieten alle genannten Cloud-Provider die notwendigen Compliance-Standards an. Für Schweizer Banken und Versicherungen ist Microsoft Azure interessant, da diese Cloud einzig den Umgang mit ausgelagerten Dienstleistungen gemäss FINMA Rundschreiben regelt.
Wichtig bei allen genannten Providern ist die Wahl des Standortes vom Rechenzentrum. Das Datenschutzniveau unterscheidet sich von Staat zu Staat. Auf der Webseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) befindet sich eine Liste mit dem Stand des weltweiten Datenschutzes. Es ist daher sinnvoll, die Wahl des Rechenzentrumstandortes mit dieser Liste abzugleichen. Am Beispiel von Alibaba werden die Compliance-Standards zwar erfüllt, das Hosting der Daten in China ist aber gemäss EDÖB Staatenliste nicht geeignet, da die Volksrepublik China einen ungenügenden Datenschutz bietet.
Quellen und weiterführende Links
Compliance Report Alibaba Cloud
https://www.alibabacloud.com/trust-center?spm=a3c0i.186601.1097638.dnavwhyc1.d372f480H0kv1R
Compliance Report Microsoft Azure
https://www.microsoft.com/de-de/TrustCenter/compliance/complianceofferings
Compliance Report Google Cloud
https://cloud.google.com/security/compliance/
Compliance Report Amazon AWS
https://aws.amazon.com/de/compliance/programs/
ISO 27001
https://www.security-insider.de/was-ist-iso-27001-a-626958/
ISO 27017
https://www.dqsbit.de/iso-27017.html
ISO 27018
http://at.cis-cert.com/System-Zertifizierung/Cloud-Computing/Datenschutz/ISO-27018.aspx
SOC 1, SOC 2 und SOC 3
https://www.compliance-net.de/node/129
ISAE 3402 Bericht
https://www.isaca.ch/images/downloads/downloads/newsletter/itm/ITM_14_04.pdf
Datenschutz-Grundverordnung (DSGVO, engl. GDPR)
https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
FINMA Rundschreiben
https://www.finma.ch/de/news/2017/12/20171205-mm-rs-outsourcing/
Übermittlung ins Ausland (EDÖB)
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeitsbereich/uebermittlung-ins-ausland.html