Compliance – Challenge des Cloud Computing

autor
von Karola am 13. Januar 2012 – 19:11
kommentare

In vielen Unternehmen gibt es neben den Befürwortern von Cloud Computing auch einige Gegner, die Bedenken in Hinblick auf Datensicherheit, Verfügbarkeit und Performance der Cloud-Dienste haben. Hinzu kommt die Ungewissheit was die Integrationsfähigkeit in bereits bestehende IT-Infrastrukturen und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse betrifft. Ein Unternehmen, das sich für Cloud Computing entscheidet, muss intern und extern Aufklärungsarbeit leisten und die evtl. Bedenken auflösen. Deshalb sind Rahmenbedingungen nötig, um diese Fragen zu klären. In diesem Fall spielt Compliance eine wichtige Rolle.
IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der exteren gesetzlichen, unternehmensinternen und vertraglichen Regelungen und Richtlinien im Bereich der IT-Landschaft bzw. im Teilbereich Cloud Computing. Noch gibt es keine speziellen Compliance-Regeln für Clouds, sondern die allgemeinen IT-Compliance-Anforderungen finden ihre Anwendung. Die bekanntesten nationalen Regelungen zur Erfüllung der IT-Compliance sind:

Für global tätige Unternehmen gelten noch weitere europäische Richtlinien, wie Basel II zur Analyse der Kreditwürdigkeit, und internationale Regelungen. Beispielsweise wenn ein Unternehmen in den USA an der Börse notiert ist, ist u.a. der Sarbanes-Oxley Act (SOX) gültig. Weitere Richtlinien sind z.B. FINRA (NASD/SEC), HIPAA, IFRS, und MiFID. Unternehmen unterliegen demzufolge zahlreichen rechtlichen Verpflichtungen, deren Nichteinhaltung zu hohen Geldstrafen und Haftungsverpflichtungen führen kann. Hinzu kommen noch unternehmensinterne Konventionen und Handelsbräuche. Die Einhaltung dieser zahlreichen Regelungen ist Inhalt der IT-Compliance.
Heutzutage wird oft IT-Governance als Synonym verwendet. Tatsächlich ist Compliance aber nur ein Teilbereich der IT-Governance, der sich mit Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz von IT-Systemen im Unternehmen beschäftigt. Im Unterschied dazu umfasst Governance noch die Bereiche Controlling, Geschäftsprozesse und Management.
Die Herausforderung im Cloud-Compliance ist nun, die Zweifler anhand der Einhaltung der Regelungen zu überzeugen. Die allgemeinen Regelungen müssen auf das Spezialgebiet Cloud Computing adaptiert werden, so dass Compliance mehr Transparenz im Bereich Cloud-Sicherheit bietet. Bei der Adaption gilt es die allgemeinen Anforderungen zu kennen und ihre Bedeutung zu verstehen. Die Vielzahl der Cloud-Angebote und fehlende Standards für Clouds erschweren diese Arbeit.
Bevor man sich die Anbieter genauer anschaut, sollten Unternehmen eine Ist-Analyse ihrer bestehenden IT-Infrastruktur durchführen.

  • Welche Dienste können überhaupt ausgelagert werden? Welche sollen intern bleiben?
  • Welche Systeme und Prozesse sind unternehmenskritisch? Welche Daten sind wichtiges geistiges Eigentum?

Auf dieser Basis lassen sich alle relevanten Bereiche definieren, die für die Nutzung von Cloud Computing geeignet sind. Im Folgeschritt müssen die Anforderungen an den Cloud-Anbieter definiert werden, wie z.B.:

  • Aufrechterhaltung der Services im Notfall/Eskalationsmanagement
  • Vergütungskriterien
  • Regelungen über Teilleistungen und deren Kündigung
  • Nutzungsrechte von urheberrechtlich geschützten Programmen
  • Lizenzrechte, Haftung
  • Datenschutz, Datensicherheit
  • Rechte auf Daten bei Beendigung des Vertrags

Wie sie sehen ist der Umgang mit Cloud-Compliance kein Kinderspiel. Deshalb bietet sich der Einstieg anhand kleiner Pilotprojekte an. Unter der Leitung eines Verantwortlichen werden so erste Erfahrungen gesammelt, die bei Erfolg später auf größere Projekte übertragen werden können. Der Gesamtverantwortlich fungiert dann im Unternehmen als Berater und hilft bei weiteren Adaptionen.

Zenkit - online Projektmanagement kostenlos


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.