Tag: Compliance


Neue Wege gehen – Security by Design vereint Digitalisierung, Datenschutz, Sicherheit & Mitarbeiter

  • Mit den immer intensiveren Digitalisierungsbestrebungen der Unternehmen werden täglich neue digitale Produkte und Services entwickelt und sollen den Unternehmen das Wachstum der nächsten Jahre und die Wettbewerbsfähigkeit sichern
  • IT-Sicherheit und Datenschutz sind insbesondere in Deutschland hochsensible Themen, die im Rahmen des Innovationsdrucks und immer kürzerer Going-Live-Zeiten bisweilen in den Hintergrund gerückt werden
  • Für die Einhaltung regulatorischer Anforderungen, aber vor allem auch der Langfristigkeit der neuen Produkte und Innovationen, muss IT-Sicherheit noch stärker ein Teil der neuen digitalen Produkte und Services werden
  • Security by Design ist eine Möglichkeit, wie Unternehmen zügig und mit klaren Vorgaben die IT-Sicherheit in die bestehenden und neuen IT-Assets bringen können - dabei geht es vor allem um einen kulturellen Wandel

Continue reading “Neue Wege gehen – Security by Design vereint Digitalisierung, Datenschutz, Sicherheit & Mitarbeiter” »



Microsoft erweitert sein Bestreben nach Datenschutz in der Cloud – EU Standardvertragsklauseln und Trustcenter nun auch für Microsoft Dynamics CRM Online

Microsoft weitet das Thema Datenschutz in seinem Cloud Portfolio weiter aus. Ab sofort stehen für Microsoft Dynamics CRM Online ebenfalls die EU-Standardvertragsklauseln (auch EU Model Clauses genannt) zur Verfügung. Es handelt sich dabei um die Klauseln, die auch Google erst kürzlich für seine Office Suite Google Apps angekündigt hat.

Forderung nach mehr Transparenz und Verantwortung

Nachdem Microsoft bereits die datenschutzrechtlichen EU-Vorgaben für sein Office 365 umgesetzt hat, möchte das Unternehmen mit der Adaption für seine Cloud-basierte Customer Relationship Management Lösung (CRM) seinen Kunden mehr Transparenz und Verantwortung beim Umgang mit sensiblen Daten bieten.

Insbesondere die Themen Transparenz und Verantwortung gehören für Unternehmen zu den wichtigsten Aspekten beim Cloud Computing, das ergab ein IDC Whitepaper im Auftrag von Microsoft. Mit der Integration der EU-Standardvertragsklauseln möchte sich Microsoft als Cloud-Anbieter seiner Verantwortung stellen und den anderen Anbietern damit den Weg aufzeigen, den es zu gehen gilt. Dementsprechend ist eine Adaption des Trustcenters für Microsoft Dynamics CRM Online ab sofort unter: http://crm.dynamics.com/trust-center verfügbar. Weiterhin hat Microsoft auf einem neuen Webportal unter www.cloudaufgaben-gemacht.de alle wichtigen Informationen zu diesem Thema zusammengestellt, um Kunden und Partner für Datenschutz in der Cloud zu sensibilisieren.

Cloud Computing wird sich schneller etablieren als erwartet

Laut den Analysten von IDC rechnen mehr als die Hälfte der Entscheider in deutschen Unternehmen damit, dass sich Cloud Computing innerhalb der nächsten zwei bis fünf Jahre durchsetzen wird. Daher empfiehlt IDC, dass Anbieter von Cloud Services schlüssige Antworten auf Datenschutzfragen bieten müssen, um bei der Geschwindigkeit dieses Trends mithalten zu können. Das bestätigt ebenfalls eine Umfrage für das aktuelle IDC Whitepaper „Cloud Computing und Consumerization of IT in Deutschland 2012”. Zwar sinken die Bedenken bezüglich Sicherheit, Angebotsreife und Datenstandort, so die Analysten, allerdings steigen die Anforderungen insbesondere hinsichtlich Compliance.

Microsoft Webportal für Datenschutz und Compliance

Um Partner und Anwender für das Thema Datenschutz und Compliance zu sensibilisieren, startet Microsoft das Webportal www.cloudaufgaben-gemacht.de. Das Portal soll eine Reihe hilfreicher und praktischer Informationen zum Thema bieten, auf dem Anwender zudem ihr Cloud-Wissen testen oder mit Hilfe einer Checkliste überprüfen können, ob sie und ihr Cloud-Anbieter alle Hausaufgaben zum Thema gemacht haben.


Bildquelle: http://www.microsoft.com



Die Herausforderungen des Cloud Computing: Compliance

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Compliance

Der Begriff Compliance bezeichnet die Einhaltung von extern vorgegeben Gesetzen, Regeln und Richtlinien, die von einem Unternehmen zu erfüllen sind. Die bekanntesten Gesetze in diesem Bereich sind der Sarbanes-Oxley Act (SOX), Solvency II und Basel II; Aber auch die elektronische Buchhaltung sowie die Archivierung der Geschäftsunterlagen fallen in den Bereich Compliance. In vielen Fällen, u.a. bei SOX, führt eine Nichteinhaltung der Gesetze zu einer Vorstandshaftung, wodurch vor allem die Unternehmensführung daran interessiert ist, dass ihr Unternehmen inkl. seiner IT compliant ist.

Dr. Markus Böhm beschreibt Cloud Compliance als eine “[...] nachweisbare Einhaltung von Regeln zur Nutzung oder Bereitstellung von Cloud Computing.” Diese hat das Ziel, “[...] Transparenz und Sicherheit für alle Anspruchsgruppen (Stakeholder) zu schaffen.” und soll dabei unterstützen “[...] die bestehende Zurückhaltung und die Vorbehalte gegenüber den Angeboten zum Cloud Computing aufzulösen”, wodurch die Cloud Compliance eine wichtige Basis schafft, “[...] um alle Vorteile des Cloud Computings für Anbieter und Provider vollumfänglich nutzbar zu machen.”

Böhm sieht vor allem die “[...] Neuartigkeit und die damit verbundene Komplexität des Themas, die Vielzahl von Service-Angeboten und Geschäftsmodellen der Anbieter mit derzeit oft noch unklaren bzw. sich widersprechenden Cloud Definitionen sowie die fehlenden Standards im Markt ” als besondere Herausforderungen der Cloud Compliance an. Für die Erreichung einer passenden Cloud Compliance gilt es daher “[...]die Anforderungen insgesamt zu kennen und hinsichtlich ihrer Bedeutung zu bewerten.” Dabei kann die Kategorisierung der Anforderungen “[...] schematisch nach primär externen Vorgaben (Gesetzen und externen Regelwerken) sowie primär internen Vorgaben (interne Verpflichtungen und Verträge) erfolgen. Die Identifikation als auch die Kategorisierung sollten sowohl Nutzer als auch Anbieter von Cloud Computing individuell für ihre Geschäftszwecke vornehmen.” Ein Compliance Management Systems (CMS), welches zugleich von dem Cloud Nutzer sowie vom Cloud Anbieter eingesetzt werden kann, soll dabei helfen die Ziele und Herausforderungen zu unterstützen. Grundsätzlich gelten für das Cloud Computing keinen eigenen Compliance Regeln, wodurch “[...] die allgemeinen IT-Compliance-Anforderungen Anwendung finden.” Hier gilt es also passende Maßnahmen für klassische IT-Risiken zu ergreifen. Dazu gehören u.a. Sicherheit, Verfügbarkeit, Vollständigkeit und Nachvollziehbarkeit. “Diese verlangen jedoch in jedem Fall eine gesonderte Auseinandersetzung mit den für Cloud Computing spezifischen Risiken.”

Ewald Glöckl empfiehlt das Erstellen einer Anforderungsliste, in der detailliert im ersten Schritt spezifiziert wird, “[...] welche Dienstleistungen sich überhaupt in die Cloud verlagern lassen und welche intern bleiben sollen.” In diesem Zuge muss weiterhin festgelegt werden, “[...] welche Systeme und Services unternehmenskritisch sind oder wichtiges geistiges Eigentum enthalten.” Auf Basis einer Risikoeinstufung wird dann entschieden, welches System bzw. welcher Service für die Cloud geeignet ist und welcher nicht. “Je höher die Risikoeinstufung, desto geringer die Eignung für die Cloud.” Der zweite Schritt sieht eine Überprüfung der Anforderungsliste vor, um zu bestimmen, ob sich die Inhalte der Anforderungsliste so realisieren lassen und wie ein “[...] Kosten-Nutzen-Risiko-Verhältnis für die Umsetzung aussehen würde.” Im Anschluß erfolgt die Evaluation möglicher Cloud Computing Anbieter. Für eine erfolgreiche Einführung von Cloud Services im Unternehmen sieht er eine “[...] sorgfältige Beschreibung aller relevanten, vereinbarten Leistungen in den Vertragsgrundlagen mit dem Dienstleister.” Sollen kritische Geschäftsprozesse mit Hilfe des Cloud Computing unterstützt werden, führt das ebenfalls zu einer Abhängigkeit vom Cloud Computing Anbieter, die ebenfalls als kritisch zu bewerten ist.

Demnach sind laut Glöckl im Vertrag wichtige Details zu definieren. Dazu gehören “[...] die Aufrechterhaltung der Services im Notfall, das Eskalationsmanagement, Vergütungskriterien”, “[...] Regelungen über Teilleistungen und deren Kündigung”, “[...] notwendige Nutzungsrechte von urheberrechtlich geschützten Programmen”, “[...] Lizenzrechte, Haftung, Datenschutz, Datensicherheit” und “[...] Rechte auf Daten bei Beendigung des Vertrags.”