IT Compliance

SSAE 18 ersetzt SSAE 16

Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18

Hintergrund

Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren.

Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf das Rechnungswesen und den Jahresabschluss des Auftraggebers vorhanden. Grundsätzlich gilt, dass die Ordnungsmäßigkeit des Rechnungswesens nicht ausschließlich anhand von Verarbeitungsergebnissen zu beurteilen ist, sondern in hohem Maß an die Funktionsfähigkeit des internen Kontrollsystems geknüpft wird. Eine grobe Abhandlung findet sich auch hier.

Synopse: EU-DSGVO, BDSG (alt) und BDSG (neu) gegenübergestellt

Komplexe Welt: Wir hatten (und haben noch) ein Bundesdatenschutzgesetz (BDSG), das bis Mai 2018 vollständig in Kraft ist. Jetzt kommt aber die EU-Datenschutzgrundverordnung (EU-DSGVO), die für uns unmittelbar Gesetzescharakter hat und insofern nicht in nationales Recht umzusetzen ist.

Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung

Relevante Aspekte der Cloud Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.

Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil 3 - Compliance

Datenschutz

Wie in Teil 3: "Rechtliche Aspekte beim Cloud Computing" beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen weiteren wichtigen Aspekt stellt die Löschung personenbezogener Daten dar. Diese müssen gelöscht werden, sobald sie nicht mehr für den Zweck benötigt werden, zu dem sie erhoben wurden. Ausnahmen stellen z.B. aufbewahrungspflichtige Daten dar.

Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil 2 - Cloud-spezifische Risiken

Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten

Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil).

Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil 1 - Allgemeine Risiken

Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters1. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken.


Abbildung 1: Einflussbereiche nach Cloud-Modell
Quelle: Eigene Darstellung in Anlehnung Loczewski, Thomas, General, Jan, Schwald, Daniel, IT-Governance 16, 2013, S.5.

Welche Risiken bringt die Nutzung von Cloud Computing für Unternehmen mit sich?

Cloud Computing wird von vielen potentiellen Nutzern als risikobehaftet empfunden, vor allen Dingen, was die Speicherung von Daten anbelangt. Diese Sicherheitsbedenken stellen derzeit einen Hauptgrund für die Zurückhaltung vieler Unternehmen gegenüber Cloud Computing dar1.
Doch mit welchen Risiken wird ein Unternehmen konfrontiert, wenn es Cloud Computing nutzen möchte?

Welche Vorteile kann die Nutzung von Cloud Computing für Unternehmen mit sich bringen?

Cloud Computing ist derzeit ein allgegenwärtiges Thema in der Informationstechnologie1. Der Anteil der Cloud-Befürworter steigt stetig.

Cloud Computing, seine Betriebsformen und Servicemodelle - eine Einführung

Der Hintergrund der Bezeichnung Cloud Computing liegt in der schematischen Darstellung des Internets in Form von Zeichnungen. Dafür wird eine Ansammlung stilisierter vernetzter Computer verwendet, um die eine Wolke gezeichnet wird, die das Internet darstellt. Im Zusammenhang mit Cloud Computing symbolisiert die Wolke die Unbekanntheit des physischen und geographischen Speicherortes für den Benutzer1.

Zum Cloud Computing existiert eine Vielzahl von Definitionen, eine einheitliche präzise Definition des Cloud Computing existiert jedoch nicht2. Es werden häufig Definitionen verwendet, die sich ähneln, jedoch immer wieder variieren3. Generell lässt sich Cloud Computing als Netzwerk bezeichnen, das an den Bedarf des Nutzers angepasste IT-Infrastrukturen, in der Regel über das Internet, zur Verfügung stellt4.

Nach der Definition des National Institute of Standards and Technology (NIST) des U.S. Department of Commerce gilt Cloud Computing als ein Modell für einen allgegenwärtigen, einfachen On-Demand-Netzwerkzugriff auf einen geteilten Pool von konfigurierbaren IT-Ressourcen, welcher sich ...

Seiten