IKS-Internes Kontrollsystem
Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden.
Die am 27. April 2016 veröffentlichte und seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO bzw. Verordnung (EU) 2016/679) bzw.
Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18
Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren.
Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf das Rechnungswesen und den Jahresabschluss des Auftraggebers vorhanden. Grundsätzlich gilt, dass die Ordnungsmäßigkeit des Rechnungswesens nicht ausschließlich anhand von Verarbeitungsergebnissen zu beurteilen ist, sondern in hohem Maß an die Funktionsfähigkeit des internen Kontrollsystems geknüpft wird. Eine grobe Abhandlung findet sich auch hier.
Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Damit wird sie ab dem 25.05.2018 die bereits seit 1995 geltende EU-Datenschutzrichtlinie Richtlinie 95/46/EG und das Bundesdatenschutzgesetz (BDSG) mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.
Verglichen mit anderen Ländern wird sich in Deutschland nicht alles grundsätzlich ändern. Viele der datenschutzrechtlichen Konzepte und Grundsätze der EU-DSGVO sind ähnlich dem in Deutschland bisher geltenden Bundesdatenschutzgesetz (BDSG).
Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um
Was eine kritische Infrastruktur ist, wird vom BMI (Bundesministerium des Inneren) festgelegt und über Kriterien mit dem KRITIS-V-Gesetz geregelt. Die IT in diesem Fall wird über das IT-Sicherheitsgesetz unter der Schirmherrschaft des BSI abgedeckt.
Relevante Aspekte der Cloud-Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.
Das BSI empfiehlt, zumindest die nachfolgenden Punkte bei der Erstellung von SLAs zu berücksichtigen:
Der Standort, an dem die beauftragten Cloud-Services erbracht werden, muss vertraglich festgehalten werden. Dabei sind beispielsweise nationale Einschränkungen, Einschränkungen auf EU oder auf bestimmte Rechenzentren möglich.
Werden Subunternehmer oder andere Dritte an der Leistungserbringung beteiligt, so ist dies vertraglich festzuhalten und bei Änderungen der Cloud-Anwender zu informieren.
Wie in Teil 3: "Rechtliche Aspekte beim Cloud Computing" beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen weiteren wichtigen Aspekt stellt die Löschung personenbezogener Daten dar. Diese müssen gelöscht werden, sobald sie nicht mehr für den Zweck benötigt werden, zu dem sie erhoben wurden. Ausnahmen stellen z.B. aufbewahrungspflichtige Daten dar.
Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil).
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
15 |
Die Intransparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten werden minimiert. |
Vertragliche Regelungen zur Durchführung von Kontrollen |
1. Sichtung der vertraglichen Regelungen im Hinblick auf die Durchführung von Kontrollen 2. Durchführung eigener Audits beim Dienstleister oder Nachweise durch Zertifizierungen |
m, p
m, d |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
x |
||||
Tabelle 16: Kontrolle 15 Durchführung von Kontrollen
Quelle: Eigene Darstellung
Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters1. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken.
Abbildung 1: Einflussbereiche nach Cloud-Modell
Quelle: Eigene Darstellung in Anlehnung Loczewski, Thomas, General, Jan, Schwald, Daniel, IT-Governance 16, 2013, S.5.
Cloud Computing wird von vielen potentiellen Nutzern als risikobehaftet empfunden, vor allen Dingen, was die Speicherung von Daten anbelangt. Diese Sicherheitsbedenken stellen derzeit einen Hauptgrund für die Zurückhaltung vieler Unternehmen gegenüber Cloud Computing dar1. Doch mit welchen Risiken wird ein Unternehmen konfrontiert, wenn es Cloud Computing nutzen möchte?
Allgemeine Risiken
Bei Cloud-Computing-Systemen handelt es sich grundsätzlich um komplexe verteilte Systeme, die zahlreiche Möglichkeiten für Fehlfunktionen, Angriffe, Ausfälle oder Bedienfelder bieten. Es kann daher prinzipiell von den gleichen Risiken ausgegangen werden, denen auch ein klassisches IT-System ausgesetzt ist. Diese umfassen z. B.2:
|
Risiko |
Erläuterung |
|
Versehentlich oder vorsätzlich falsches Handeln |
z.B. durch unberechtigte Kopien von Systemen oder Daten, Manipulation, Herunterfahren von Hosts, Änderung an Konfigurationseinstellungen sowie Löschung von Daten durch Mitarbeiter oder Subunternehmer des Cloud-Service-Providers. |
|
Nutzung von Sicherheitslücken beim Anbieter durch interne oder externe Angreifer |
z. B. durch Zugriff anderer Kunden auf das Dateisystem, unberechtigte Speicherzugriffe oder Denial-of-Service-Angriffe. Bei externen Angreifern z.B. durch Diebstahl von Daten oder Programmcodes oder die Manipulation oder Löschung von Daten, Accounts, Konfigurationseinstellungen usw.. Ein Denial-of-Service-Angriff (DoS-Angriff oder DoS-Attacke) bezeichnet einen Angriff von Hackern, bei dem ein oder mehrere Serverdienste überlastet werden. Ziel ist es, eine Webseite unzugänglich zu machen oder den Webserver zu einem Systemabsturz zu provozieren. |
|
Missbrauch der Plattform des Providers |
z.B. durch Brute-Force-Angriffe auf Passwörter, Botnetze oder Schadsoftware. Ein Brute-Force-Angriff wird oftmals zum Knacken von Passwörtern anwendet. Dies kann über Ausprobieren aller möglichen Buchstaben- oder Zahlenkombinationen erfolgen oder aber durch sogenannte Wörterbuchangriffe. Bei Wörterbuchangriffen wird davon ausgegangen, dass viele Benutzer bekannte Wörter als Passwort einsetzen. Es werden also Begriffe aus Wörterbüchern zur Passwortfindung verwendet. Bei einem Botnetz werden Rechner von Nutzern mit Schadsoftware bespielt, oftmals im Unwissen des Nutzers. Diese Schadsoftware stellt die Basis für massenhaften Spamversand dar. |
|
Nutzung von Sicherheitslücken auf den Übertragungswegen |
Bei der Übertragung via Internet zwischen Kunde und Anbieter z.B. durch Abhören des Datenverkehrs oder für Man-in-the-Middle-Angriffe sowie bei bereitgestellten Schnittstellen und APIs. Bei einem Man-in-the-Middle-Angriff klinkt sich ein Angreifer in den Datenverkehr zwischen Sender und Empfänger ein und manipuliert diesen. |
|
Sicherheitsmängel der technischen Infrastruktur |
Bedingt durch fehlende oder unzureichende Sicherheitskonzepte können Sicherheitsmängel in unterschiedlichen Bereichen der technischen Infrastruktur entstehen z.B. durch lückenhafte Zutrittskontrolle, missbräuchlicher Umgang mit Datensicherungen, mangelhafte Löschung defekter Speichermedien vor Austausch oder Aussonderung etc.. |
Tabelle 1: Allgemeine Risiken
Quelle: Eigene Darstellung