Ein lokales ISMS für die Cloud-Nutzung?
Immer häufiger treffe ich bei der Beratung meiner Mandanten und Kunden auf die Frage warum Sie denn ein lokales ISMS benötigen, wenn sie doch vermeintlich globale Cloud-Lösungen nutzen wollen. Gerade in den Fachbereichen der Unternehmen kommt immer häufiger der Wunsch auf, eine cloudbasierte Lösung zu nutzen.
Daraus ergibt sich dann für den die Bereiche Informationssicherheit und Datenschutz dieser Unternehmen die Notwendigkeit die Möglichkeiten der Nutzung zu prüfen. Wobei die folgenden grundsätzlichen Fragestellungen zu bearbeiten sind:
- Ist die Cloud-Nutzung in diesem Kontext erlaubt?
Hinter dieser Frage verbergen sich primär die rechtlichen Fragestellungen aus Compliance-Sicht. - Ist die Cloud-Nutzung sicher und verlässlich?
In dieser Frage verbergen sich zwei Aspekte, die man wie folgt differenzieren kann:
In erster Linie geht es darum die technischen und organisatorischen Aspekte zu beleuchten, die zu einem Teil auch aus der ersten (rechtlichen) Frage resultieren und im Ergebnis für das resultierende Sicherheitsniveau verantwortlich sind.
Der zweite Teil der Frage dreht sich um die Möglichkeiten einer unabhängigen Validierung der gewonnenen Erkenntnisse um die Verlässlichkeit bewerten zu können.
Zunächst gilt es also die Möglichkeiten der Cloud-Nutzung zu prüfen und zu planen. Dabei sind unter anderem die folgenden Punkte zu klären:
- welches Bereitstellungsmodell der Cloud (IaaS, PaaS, SaaS, Private Cloud, Public Cloud, etc.) liegt vor,
- Identifikation der Daten, die mit der Cloud verarbeitet werden sollen und damit verbunden deren Schutzbedarf,
- Identifikation der Vorgaben aus rechtlicher Sicht und daraus resultierend die technischen und organisatorischen Schutzmaßnahmen für Daten, Schnittstellen und Prozesse.
Wenn man die Fragen betrachtet, kann man zu diesem Zeitpunkt schon erkennen, dass sich dahinter im Kern der Plan-Do-Check-Act (PDCA) Zyklus verbirgt. Und Sie ahnen es schon: Ja genau, da sind wir wieder bei unseren Managementsystemen für Informationssicherheit (ISMS) und Datenschutz.
Wenn wir bisher in unsrem Unternehmen keine Managementsysteme für Informationssicherheit und Datenschutz haben, kommt jetzt ein mächtiger Berg mit Arbeit auf uns zu, der im Grunde eine schnelle Entscheidung so gut wie unmöglich macht. Oder der uns zu einer „schnellen Bauchentscheidung“ für die Cloud-Nutzung zwingt, die zu nicht kalkulierbaren Risiken für unser Unternehmen führt. Und damit die eigentlichen (möglichen) Vorteile der Cloud-Nutzung in unserem Fall ins Gegenteil verwandelt.
Wenn wir aber in unserem Unternehmen bereits wirksame und effektive Managementsysteme etabliert haben, können wir uns einfach und schnell aus dem vorhandenen „Werkzeugkasten“ bedienen, und die rechtssichere und verlässliche Cloud-Nutzung für unser Unternehmen ermöglichen.
Denn es sind bereits alle notwendigen Methoden, Prozesse und Werkzeuge vorhanden, mit deren Hilfe wir schnell einen (Vertrags-) Rahmen schaffen können, der unsere lokalen Datenschutz- und Informationssicherheitsregularien klar reflektiert. Denn wir kennen die Struktur und den Umsetzungsgrad der vorhandenen technischen und organisatorischen Maßnahmen (TOMs) und können somit die mögliche Notwendigkeit weiterer zusätzlicher oder ergänzender Maßnahmen bewerten um zu einem angemessenen Schutzniveau zu gelangen. Wir erhalten schnell einen Überblick, welche Arten von Daten betroffen sind, weil wir klare Kategorien für Daten im Unternehmen haben, die den erforderlichen Schutzbedarf der Daten festlegen.
Unser lokales Managementsystem zur Informationssicherheit und Datenschutz sorgt dafür, dass wir eine wirksame Sicherheits-Architektur und -Konzeption haben, die sowohl Prozesse, Applikationen, IT-Systeme, Netze als auch übergreifende und organisatorische Aspekte umfasst. Und dieses stützt sich auf weitere, bereits vorhandene Instrumente ab. Wie zum Beispiel die Prozesse zur Dokumentenlenkung und dem Risikomanagement.
Damit können wir Anforderungen für den Cloud-Betreiber identifizieren und deren verpflichtende Umsetzung vertraglich festhalten und prüfen. Womit wir in der Lage sind sehr schnell den „richtigen“ Cloud-Anbieter für uns auswählen und behalten jederzeit die Kontrolle über die Verarbeitung unserer Daten in der Cloud und bleiben auch der Eigentümer unserer Daten. Was insbesondere bei personenbezogenen Daten von extremer Wichtigkeit ist!
Somit muss man die Ausgangsfrage klar mit ja beantworten: Mein (lokales) ISMS hilft mir bei der globalen Cloud-Nutzung, die damit vorhandenen Chancen und Risiken zu steuern und damit in einem für mich kalkulierbaren und rechtssicheren Rahmen halten.
21 Apr 2017
ISMS
Cloud
Datenschutz
Informationssicherheit
Autor: dirk-groesser