Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT. Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des dpunkt.Verlags den Leitfaden „IT-Compliance –…

Cloud Computing ist derzeit ein allgegenwärtiges Thema in der Informationstechnologie1. Der Anteil der Cloud-Befürworter steigt stetig. Vom Jahr 2011 bis zum Jahr 2015 ist die Anzahl der Unternehmen, die Cloud Computing nutzen, in Summe um 26% von 28% auf insgesamt 54% gestiegen. Bei Unternehmen mit 100 bis 1.999 Mitarbeitern nutzen bereits 62% Cloud Computing, bei Unternehmen mit 2.000 Mitarbeitern oder…

Laut einer Umfrage der Bitkom Research GmbH und der KPMG AG hat die Mehrheit der Unternehmen Sorge um Compliance-Anforderungen in Bezug auf die Nutzung von Cloud-Lösungen. Durch die Nutzung von Cloud-Lösungen werden einige Rechtsgebiete berührt. Im Folgenden werden die einschlägigen gesetzlichen Aspekte erläutert, die beim Einsatz von Cloud Computing in deutschen Unternehmen zu beachten sind.

Cloud Computing wird von vielen potentiellen Nutzern als risikobehaftet empfunden, vor allen Dingen, was die Speicherung von Daten anbelangt. Diese Sicherheitsbedenken stellen derzeit einen Hauptgrund für die Zurückhaltung vieler Unternehmen gegenüber Cloud Computing dar1. Doch mit welchen Risiken wird ein Unternehmen konfrontiert, wenn es Cloud Computing nutzen möchte? Allgemeine Risiken Bei Cloud-Computing-Systemen handelt es sich grundsätzlich um komplexe verteilte Systeme,…

Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters1. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken. Empfehlungen und prozessunabhängige Kontrollen für Cloud-Risiken Im folgenden Abschnitt wird auf die zuvor identifizierten Risiken eingegangen. Es…

Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil). Kontroll-ID Kontrollziel Maßnahme…

Datenschutz Wie in Teil 3: „Rechtliche Aspekte beim Cloud Computing“ beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen…