Prüfungen von Cloud-Services

Cloud Computing ist mittlerweile ein fester Bestandteil der modernen IT-Infrastruktur und Geschäftswelt. Wichtiger Erfolgsfaktor für die Cloud-Computing-Dienste ist es, Vertrauen in Cloud-Systeme und deren Anbieter zu schaffen – etwa über Prüfungen bei Cloud-Anbietern. Gesucht werden innovative Ansätze, um wirtschaftlich, effektiv und zukunftsorientiert für IT- Compliance zu sorgen – und dadurch das Vertrauen in die Cloud zu erhöhen. Wie ein solcher Ansatz im Detail aussehen kann, skizziert PwC in einem Fachbeitrag.

„Cloud Computing ist längst in der Wirklichkeit moderner IT-Abteilungen angekommen. Umso wichtiger ist es, durch geeignete Compliance-Bestätigungen für Transparenz und Vertrauen in Cloud-Anwendungen zu sorgen. Nur so können Unternehmen in Zukunft neue IT-Trends nutzen.“

Markus Vehlow,Partner für Cloud Assurance bei PwC Deutschland

Ihr Experte für Fragen

Markus Vehlow

Markus Vehlow
Partner für Cloud Assurance
PwC Deutschland
E-Mail

Warum Cloud Compliance so wichtig ist

Egal ob Private Cloud, Public Cloud oder Hybrid Cloud – Cloud-Dienste bieten zahlreiche Vorteile – von mehr Agilität und Flexibilität über höhere Wirtschaftlichkeit und Skalierbarkeit bis hin zu einem möglichen Plus an IT-Sicherheit. Die Cloud bildet zudem die Grundlage für digitale Geschäftsmodelle und neue IT-Trends wie Künstliche Intelligenz (KI), das Internet der Dinge (IoT) oder die Blockchain. Dabei spielt es keine Rolle, für welches Servicemodell – Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS) – sich Cloud-Anbieter und -Nutzer entscheiden.

Durch das Auslagern von IT-Ressourcen an Dritte gibt der Cloud-Nutzer ein Stück der direkten Kontrolle über die bereitgestellte IT-Infrastruktur, Software und Daten an den Cloud-Anbieter ab. Umso wichtiger sind IT-Sicherheit und IT-Compliance bei der Auswahl eines geeigneten Anbieters. Prüfungen durch unabhängige, vertrauenswürdige Dritte sind heute fast die einzige Möglichkeit, die Einhaltung der IT-Compliance sicherzustellen und das Vertrauen auf der Basis von Berichterstattungen und Zertifikaten zu stärken. Besonders bei großen Infrastruktur-Anbietern (sogenannten Hyperscalern) ist es wichtig, die aktuellen Compliance-Herausforderungen zu kennen und dafür Lösungen zu finden.

Prüfung und Bestätigung von Compliance in der Hyperscale-Cloud

Als gängige Instrumente, um IT-Compliance nachzuweisen, haben sich Selbstauskünfte und Prüfungen durch Dritte etabliert. Bei der Selbstauskunft trifft der Cloud-Anbieter selbst eine Aussage über die Cloud Compliance – etwa in Folge einer Anfrage des Cloud-Nutzers. Gängige Formen sind strukturierte Fragebögen oder öffentlich zugängliche Kriterienkataloge. 

Bei Prüfungen durch Dritte lässt sich zwischen freiwilligen und gesetzlich vorgeschriebenen Prüfungen unterscheiden, wobei freiwillige Prüfungen das üblichste Vorgehen für den Nachweis von Compliance bei Hyperscalern sind. Sie folgen allgemein akzeptierten Prüfschemen, etwa den ISO-Normen oder den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie dem International Auditing and Assurance Standards Board (IAASB).

Prüfungen durch Dritte können auch aus regulatorischen Anforderungen resultieren. Gesetzliche Prüfungen sind jedoch nur eingeschränkt als Compliance-Nachweis gegenüber Cloud-Nutzern geeignet. Denn die Informationen gehen in erster Linie vertraulich an die staatlichen Stellen und Aufsichtsorgane, die diese beauftragt haben.

Etablierte Instrumente kommen bald an ihre Grenzen

Die heute gängigen Prüfmethoden haben gemeinsam, dass sie die steigende Komplexität, Dynamik und Vielfalt der Cloud-Dienste kaum abbilden können. Die üblichen Methoden setzen stark auf manuelle Prüfungsansätze, etwa die Befragung von Personal und die Durchsicht von schriftlichen und elektronischen Nachweisen. Gängige Prüfschemen orientieren sich zudem an einem Zeitpunkt oder -raum in der Vergangenheit. Hyperscaler passen ihre Cloud-Dienste aber regelmäßig an, um Innovationen an die Nutzer weiterzugeben. Dadurch sind Prüfungsergebnisse aus der Vergangenheit nur bedingt auf die Gegenwart und Zukunft übertragbar. Es müssen also neue Ansätze gefunden werden, um Cloud Compliance wirtschaftlich, effektiv und zukunftsorientiert herzustellen und dadurch Vertrauen und Transparenz in die Cloud zu schaffen.

Kontinuierliche Prüfung als innovativer Lösungsansatz

Ein innovativer Ansatz ist die kontinuierliche und aktuelle Prüfung von Anforderungen oder Kriterien auf Basis einer fortlaufenden Datensammlung und -analyse. Diese basiert einerseits auf der Standardisierung und Automatisierung von Prozessen und dazugehörigen Kontrollen beim Cloud-Anbieter. Andererseits umfasst die kontinuierliche Prüfung auch eine fortlaufende Datenerhebung, eine automatisierte Prüfungshandlungen und die aktuelle Darstellung der Ergebnisse der Prüfung beim Prüfer.

Dabei lassen sich vier Prozessschritte unterscheiden:

  1. Datenerhebung und Speicherung: Der Cloud-Anbieter erhebt die für die Analyse nötigen Daten und speichert diese in auswertbaren Formaten.
  2. Datenanalyse: Die Daten werden mithilfe von Testfällen analysiert. So werden Abweichungen vom Sollzustand festgestellt und nicht korrekt funktionierende Kontrollen identifiziert.
  3. Bereitstellung der Analyseergebnisse: Die Ergebnisse können im nächsten Schritt über eine grafische Schnittstelle verschiedenen Stakeholder zugänglich gemacht werden, um die Transparenz zu erhöhen. Genauso kann automatisch eine Korrektur vorgenommen werden, um identifizierte Abweichungen zu beheben.
  4. Berichterstattung: Der Prüfer kann auf Basis der Ergebnisse der Datenanalyse die Compliance von Cloud-Lösungen bestätigen.

„Ich bin fest davon überzeugt, dass die voll automatisierte Prüfung grundsätzlich Anerkennung finden wird. Denn sie sorgt für hohe Transparenz sowie Prüfsicherheit und stärkt die Aussagekraft der Prüfungsergebnisse und Berichte.“

Markus Vehlow,Partner für Cloud Assurance bei PwC Deutschland

Alle Stakeholder sind gefragt

Um auch in Zukunft von den Vorteilen des Cloud Computing zu profitieren, bedarf es also einer Reihe von Weiterentwicklungen im Bereich der Cloud Compliance, beispielsweise bei den technischen und organisatorischen Anforderungen, aber auch hinsichtlich der Prüfungsdurchführung und Berichterstattung.

„Vor allem Regulatoren, Cloud-Anbieter, Normungsorganisationen, Prüfer und Cloud-Anwenderunternehmen sind nun gefragt, gemeinsam neue Ansätze zu erarbeiten und die Weiterentwicklung der Cloud Prüfungen voranzutreiben und für deren breite Anerkennung zu sorgen.“

Markus Vehlow,Partner für Cloud Assurance bei PwC Deutschland

Das können die verschiedenen Stakeholder konkret tun

  • Regulatoren: Berichterstattungen und Ergebnisse aus automatisierten Prüfungen anerkennen.
  • Cloud-Anbieter: Maßnahmen zur kontinuierlichen Prüfung implementieren (standardisieren, harmonisieren, automatisieren).
  • Normungsorganisationen: Kombinationsmöglichkeiten für Prüfungen und mehr gegenseitige Anerkennung schaffen.
  • Prüfer: Eine stärkere Digitalisierung und Automatisierung ihrer Prüfmethoden weiter zu forcieren.
  • Anwenderunternehmen: Sich um die weitere Individualisierung und Professionalisierung sowie Automatisierung ihres Compliance-Managements einsetzen.

„Sowohl der Nachweis der Cloud Compliance als auch die Prüfmethoden stehen vor einem Umbruch. Jetzt kommt es darauf an, die Prozesse bei Cloud-Anbietern und Prüfern weiter zu automatisieren, um eine von allen anerkannte sowie zielgerichtete, individualisierbare und kontinuierliche Prüfung zu ermöglichen.“

Markus Vehlow,Partner für Cloud Assurance bei PwC Deutschland

Contact us

Markus Vehlow

Markus Vehlow

Partner, Cloud Assurance, PwC Germany

Follow us