Compliance: Jetzt kommt die sichere Cloud

Anbieter können nun belegen, dass sie vertrauenswürdig sind – ein echter Wettbewerbsfaktor

Keyfacts

  • Neuer Sicherheitsstandard des BSI
  • Norm ISAE 3000 dient als Grundlage
  • Ziel: Stärkung des europäischen Cloud-Markts
Dr. Jan-Hendrik Gnändiger
  • Partner, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Die Cloud spart Zeit und Geld. Mittlerweile setzen zwei von drei Unternehmen in Deutschland bereits auf die Onlinelösung. Doch die Skepsis bleibt: Viele zweifeln weiterhin an ihrer Sicherheit.

Zwar gibt es bereits diverse Sicherheitszertifikate für Cloud-Anbieter, doch diese seien uneinheitlich und wenig transparent, so Jan-Hendrik Gnändiger, Partner bei KPMG und IT-Sicherheitsexperte.

Deshalb hat das Bundesamt für Sicherheit- und Informationstechnik (BSI) jetzt nachgeholfen, und zwar mit einem einheitlichen Standard, dem C5-Anforderungskatalog.

Jährliche Prüfung geplant
Dieser Standard legt konkrete und vergleichbare Anforderungen an Personal, Governance und Compliance fest. Dazu gehört etwa, dass der Zutritt zum Rechenzentrum korrekt geschützt ist und Mitarbeiter ausreichend geschult sind. Themen wie Verschlüsselung, Kommunikations- und Datensicherheit bekommen mit dem neuen Katalog noch mehr Gewicht. Außerdem verlangt er Auskunft darüber, wo Daten gespeichert werden oder auch wo der Gerichtsstandort des Unternehmens liegt. Das Ziel des BSI ist eine jährlich wiederkehrende, vergleichbare und qualitativ hochwertige Prüfung und Bescheinigung durch einen Wirtschaftsprüfer.

Heißt also: Anbieter, die nach dem C5-Standard geprüft sind, versprechen deutlich mehr Sicherheit – und das dürfte die Cloud für viele deutsche Unternehmen deutlich attraktiver machen.

Was gut für die deutsche Wirtschaft ist, könnte für einige Cloud-Anbieter allerdings erst einmal problematisch werden. Denn nur rund zehn Prozent der Anbieter am Markt erfüllen bereits diese Mindestanforderungen, schätzt Andreas Steffens, ebenfalls IT-Sicherheitsexperte bei KPMG.

BSI-Empfehlungen beeinflussen den Markt erheblich
Die allermeisten müssten also nachrüsten. Und das dürfte für einige einen gewissen Rüstaufwand bedeuten. „Zwar sind die Kontrollen selbst kein Hexenwerk“, erklärt Andreas Steffens. „Doch die Arbeit liegt im sogenannten „Maping“, also im eigenen Unternehmen zu prüfen: Wann können wir schon jetzt – und was fehlt noch?“

„Aus diesem Grund wird die C5-Zertifizierung in der Cloud-Industrie zu einem ernsten Wettbewerbsvorteil werden“, vermutet Andreas Steffens. „Denn die Empfehlungen der BSI haben meist hohe Strahlkraft für den gesamten Markt. C5 wird sich überall durchsetzen, nicht nur in Deutschland“, vermutet er. Daher sei tatsächlich allen Cloud-Anbietern zu raten, schnell auf C5 umzustellen, empfehlen beide Experten. Und es gibt auch noch eine gute Nachricht, ergänzt Jan-Hendrik Gnändiger: „Die Prüfung nach C5 kann im Rahmen der Abschlussprüfung mit Ergänzung um die entsprechenden Experten direkt mit durchgeführt werden.“

Dr. Jan-Hendrik Gnändiger
  • Partner, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.