:quality(80)/p7i.vogel.de/wcms/d1/4f/d14f0c11fbf6e5d56fdfeb16437e7048/0115479470.jpeg "Multi-Cloud-Management ermöglicht es Unternehmen, verschiedene Cloud-Dienste effizient zu integrieren und zu verwalten für verbesserte Flexibilität, Risikominimierung und Kosteneffizienz. (Bild: Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/61/b8615878dfcb9b7383269a429384a593/0115304715.jpeg "Von klassischem Filesharing bis hin zu vollumfänglichen Collaboration-Plattformen: Dank Cloud Content Management haben Angestellte jederzeit sicheren Zugriff auf alle nötigen Daten und Anwendungen. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/98/3d98b69e471f34ee67173e2b19150983/0115412594.jpeg "Enterprise-SaaS-Angebote bringen die klassischen Geschäftsanwendungen in die Cloud – und damit hohe Flexibilität und Skalierbarkeit, um im Wettbewerb langfristig am Ball zu bleiben. (Bild: peacehunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/62/30624eca2f87ce076c5d1a130775b541/0115474244.jpeg "App- und Geräteverwaltung: Mit Microsoft Intune lässt sich der Benutzerzugriff auf Organisationsressourcen - inklusive mobiler Geräte, Desktopcomputer und virtueller Endpunkte - verwalten. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/91/2d/912d22362ea9150bda4edbeb628f2ecf/0115212768.jpeg "Mit der zunehmenden Verbreitung von Cloud Computing änderten sich auch die klassischen Software-Lizenzen - heutzutage sind Abonnement-Modelle, so genannte Subscriptions gängige Methoden der Software-Beschaffung. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/a1/f7/a1f7f8cdb0d4b00cb4e375692c9890ea/0115336164.jpeg "Nachhaltigkeit ist das Gebot der Stunde: das gilt auch für die moderne Softwareentwicklung. Wie Green Coding im Cloud-Zeitalter funktionieren kann, erklärt Marcel Russ von Exxeta im Beitrag. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/09/a709f858c72c942fd4f888e4d55d3a32/0115542555.jpeg "Die Pflicht zum ESG-Reporting oder zur sogenannten Nachhaltigkeitsberichterstattung gilt ab 2024 für alle großen börsennotierten Unternehmen und ab 2025 auch für kleine oder mittlere Unternehmen. (Bild: frei lizenziert Gerd Altmann - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/73/c1/73c18fce286de13bff07a3e0f3cf8490/0115520005.jpeg "„Rise with SAP“ bietet als All-in-One-Service viele Vorteile, lässt aber die Anwender mit vielen Arbeitsschritten alleine; Managed Service Provider leisten Hilfestellung für überforderte IT-Abteilungen. (Bild: Me studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/2f/882fac0560e86914e4cb4d400bf81296/0115521215.jpeg "Das Release 2023.11.1 von grommunio führt einen Open-Source-Rewrite der Exchange Web Services ein. (Bild: grommunio)")
:quality(80)/p7i.vogel.de/wcms/2f/d2/2fd2661061c70a86bd3aacdf35db555d/0115412159.jpeg "Softwarepiraterie ist wieder ein Problem. Doch der Ärger bei den Herstellern schlägt noch größere Wellen. (Bild: Canva/Lucas Schmidt)")
:quality(80)/p7i.vogel.de/wcms/62/45/6245dddaaa35c08e0d8aa6eb0e0f4f15/0115602618.jpeg "Multi-Cloud-Umgebungen sind mittlerweile verbreitet, aber nicht ohne Herausforderungen. Das zeigt ein aktueller Report der Cockroach Labs. (Bild: Gianni Crestani)")
:quality(80)/p7i.vogel.de/wcms/ca/b9/cab94fe31214a2a6adb0bf734ed78eda/0115377499.jpeg "Die Delos Cloud GmbH wurde erst im vergangenen Jahr gegründet. Sie soll eine souveräne Cloud-Plattform für den öffentlichen Dienst entwickeln – basierend auf Azure von Microsoft. (Bild: frei lizenziert, Coernl / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2d/b4/2db4fe8d4c7794c86d036465a2badd80/0115242134.jpeg "Vom 6. bis zum 9. November 2023 hat in Barcelona die Veranstaltung „VMware Explore 2023“ stattgefunden. Vielleicht war es die letzte Konferenz dieser Art, haben viele Besucher mehr oder weniger laut überlegt. (Bild: VMware )")
:quality(80)/p7i.vogel.de/wcms/12/6a/126a5160cdf5d91408c07621988fc04d/0115491197.jpeg "Die Cloud sorgt für positive ROIs, wie ein aktueller Report von MIT Technology Review und Infosys Cobalt zeigt. (Bild: Michaela)")
:quality(80)/p7i.vogel.de/wcms/e5/ea/e5ea917b3c394033e9a33f64a862648d/0115393557.jpeg "Cyberangriffe mit Ransomware sind nach Einschätzung des BSI nach wie vor die größte Bedrohung für Wirtschaft und Verwaltung. Sie verursachen einen Großteil der wirtschaftlichen Schäden, die durch Cyberangriffe entstehen. (©MH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/d9/65d9fcb5f8f83f264671e8f62c4ff615/0115174800.jpeg "(Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/c4/e1/c4e1280ea1e8075ce49f0d40091ee55e/0115209201.jpeg "Nicht immer sind sich Unternehmen und ihre Mitarbeiter drohender Risiken bewusst. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/4b/9c/4b9c0bd0d9be24bf0878ccc3fa6b2624/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/6b/42/6b42dbf5f1e6e2332b6e3144da1a4b20/0115100533.jpeg "Nutanix hat mittels neuer Funktionen die Cyberresilienz seiner Cloud Platform erhöht. (Bild: Nutanix)")
:quality(80)/p7i.vogel.de/wcms/54/1a/541a51ee78f099d577ebef88748c98de/0115421247.jpeg "Die ausufernde technische Infrastruktur erfordert eine neue Kategorie von Integrationsplattformen, die den Anforderungen der Nutzer gerecht wird und Datensilos auflöst. (Bild: Software AG)")
:quality(80)/p7i.vogel.de/wcms/59/96/599648de637a03f0c1b5482c762fbd96/0115418433.jpeg "Aus der Nutzung von SAP ADM ergeben sich nicht nur technische, sondern vor allem wirtschaftliche Vorteile: Die Produktivität von IT-Abteilungen und der Projektteams wird höher. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/72/56721511461fd1c95e13fdbda06976b1/0115201012.jpeg "Die Impossible Cloud verspricht, die Cloud „neu zu denken“. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/72/77/727780360746575c594c6b0d55c314a2/0115687164.jpeg "Gemini ist das bisher größte und leistungsfähigste KI-Modell von Google. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/48/fd/48fdd5e4afaa56c7804df43af083898a/0115513692.jpeg "91 Prozent der befragten Unternehmen kämpfen mit steigenden Preisen, während geplante Investitionen für KI und Machine Learning deutlich zunehmen. (Bild: tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/95/bb956c47724c3baa54af89189bb36747/0115598503.jpeg "Aus der verstärkten Kooperation zwischen SpaceNet und Softiq geht das Joint Venture Softiq Deutschland hervor. (Bild: Tumisu)")
:quality(80)/p7i.vogel.de/wcms/a8/62/a862d5cd1d593e259b53205f46c234e9/0115654474.jpeg "Bei der Umstellung von „Perpetual“-Lizenz auf ein „Subscription“-Modell gibt es wichtige Punkte zu beachten. Welche das sind, erfahren Sie in dieser neuen Podcast-Folge. (Bild: comdivision / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/f1/50/f1501494a783487718263fc201b5a219/0115023358.jpeg "Die SAP hielt ihre TechEd 2023 in Bangalore, Indien, sowie virtuell ab. (Bild: SAP)")
:quality(80)/p7i.vogel.de/wcms/c7/36/c736f7a78dfe236e4a6a34b6536de317/0114891083.jpeg "Immer wieder heißt es, ChatGPT könne den Arbeitsalltag erleichtern. Wie kann das aussehen? (Bild: frei lizenziert)")
Definition: Compliance im Zusammenhang mit Cloud-Technologien Was ist Cloud Compliance?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/102100/102109/65.png "VMW_09Q3_LOGO_Corp_K.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Cloud Compliance bezeichnet die Einhaltung gesetzlicher, regulatorischer und unternehmensinterner Bestimmungen und Richtlinien in der Cloud. Die Anforderungen sind in Teilen gleich denen des klassischen IT-Outsourcings.
Compliance im Zusammenhang mit Cloud-Technologien bezeichnet die Umsetzung und die Einhaltung gesetzlicher, regulatorischer und unternehmensinterner Bestimmungen und Richtlinien. Die über die Cloud-Plattformen externer Anbieter in Anspruch genommenen Cloud-Computing-Lösungen und -Services müssen die Compliance-Vorgaben erfüllen. In Teilen sind die Anforderungen mit denen des IT-Outsourcings vergleichbar. Compliance-Anforderungen bestehen beispielsweise im Datenschutz, in der Aufbewahrung von Daten, in der Informationssicherheit und in der Verfügbarkeit.
Die Verantwortung, die Einhaltung der geltenden Compliance-Vorgaben im Rahmen der Governance zu überwachen, liegt bei der Unternehmensführung. In der Umsetzung einzelner Compliance-Vorgaben ist es möglich, dass sich Unternehmen und Cloud-Anbieter bestimmte Verantwortlichkeiten teilen. Es existieren zahlreiche Gesetze, Verordnungen und Normen mit Compliance-Vorgaben für das Cloud Computing. In Europa ist für die Speicherung und Verarbeitung personenbezogener Daten die Datenschutzgrundverordnung (EU-DSGVO) von großer Bedeutung.
Für die Einhaltung der Datenschutzgrundverordnung spielt unter anderem der Ort der Verarbeitung und Speicherung der Daten durch den Cloud-Anbieter eine wichtige Rolle. Verstöße gegen Compliance-Vorgaben können zu Geldstrafen und zivil- oder strafrechtlichen Konsequenzen führen. Vorstände oder Geschäftsführer von Aktiengesellschaften und GmbHs haften bei Verstößen unter Umständen persönlich.
Grundsätzliche Definition der Begriffe Compliance und IT-Compliance
Der englische Begriff „Compliance“ bedeutet im Deutschen „Gesetzes- oder Richtlinienkonformität“. Im betriebswirtschaftlichen Umfeld versteht man darunter die Umsetzung und Einhaltung rechtlich verbindlichen Vorschriften, regulatorischer Standards und branchenspezifischer oder unternehmensinterner Richtlinien durch ein Unternehmen und deren Mitarbeitern. Dazu können auch Richtlinien zählen, die spezifisch für ein einzelnes Unternehmen sind oder deren Einhaltung sich ein Unternehmen freiwillig unterwirft.
Die IT-Compliance bezieht sich auf die Compliance-Anforderungen, die sich aus den Vorgaben und Richtlinien für die IT-Systeme und IT-Services ergeben. Im Wesentlichen betrifft die IT-Compliance den Datenschutz, die Aufbewahrung von Daten, die Informationssicherheit und die Verfügbarkeit. Gesetzliche Vorgaben für die IT-Compliance sind unter anderem der EU-Datenschutzgrundverordnung oder dem Bundesdatenschutzgesetz zu entnehmen. Zu den möglichen konkreten internen Richtlinien der IT-Compliance zählen zum Beispiel Vorgaben im Umgang mit Passwörtern, E-Mail-Richtlinien, Vorgaben für die Nutzung externer Datenspeicher wie USB-Sticks oder Handlungsanweisungen für die Verwendung von Rechnern oder Smartphones.
Von der IT-Compliance zur Cloud Compliance
Die Nutzung von Cloud-Plattformen und Cloud-Services externer Anbieter bedingt eine Cloud Compliance. Zum Teil sind die Compliance-Anforderungen im Cloud-Umfeld identisch mit den Anforderungen des klassischen Outsourcings von IT-Leistungen. Nimmt ein Unternehmen Cloud-Ressourcen oder Cloud-Dienste Dritter in Anspruch, muss es prüfen, inwieweit der Cloud-Anbieter die für das Unternehmen geltenden Vorgaben und Richtlinien einhält. Prinzipiell muss sichergestellt sein, dass die cloud-basiert bereitgestellten Leistungen die Compliance-Anforderungen des Unternehmens erfüllen.
Die Cloud Governance sorgt diesbezüglich für die entsprechende Beaufsichtigung der Cloud. Sie verwendet ein einheitliches Regelwerk mit organisatorischen und technischen Maßnahmen, um Cloud-Services nachvollziehbar, sicher und regelkonform zu nutzen. Teilweise sind die Verantwortlichkeiten für die Cloud Compliance geteilt. Während Anbieter die Einhaltung grundlegender Cloud-Compliance-Anforderungen durch die Cloud-Systeme unterstützen, liegt es in der Verantwortung der Cloud-Kunden, branchen- oder unternehmensspezifische Richtlinien konform umzusetzen, geeignete Services auszuwählen, die Dienste gemäß den Compliance-Vorgaben zu konfigurieren und die Cloud Compliance zu überwachen. Mitunter stellen Anbieter entsprechende Tools zur Überwachung der Compliance und Sicherheit zur Verfügung.
:quality(80)/images.vogel.de/vogelonline/bdb/1779100/1779142/original.jpg "Cloud Governance: Regularien zur nachvollziehbaren und sicheren Nutzung von Anwendungen und Daten. (gemeinfrei (© Gerd Altmann))")
Definition: Regelwerk zur Nutzung von Cloud Services
Was ist Cloud Governance?
Die spezifischen Herausforderungen der Cloud Compliance
In klassischen IT-Umgebungen und bei On-Premises bereitgestellten IT-Services hat das Unternehmen die volle Kontrolle über die verarbeiteten Daten und verwendeten Systeme oder Netzwerke. Es ist für die komplette IT-Infrastruktur verantwortlich und hat dementsprechend auch alle Möglichkeiten, für die Einhaltung der IT-Compliance zu sorgen. Sobald das Unternehmen aber Leistungen einer Cloud-Computing-Plattform eines externen Anbieters in Anspruch nimmt, verliert es einen Teil dieser Kontrollmöglichkeiten.
Daten werden über öffentliche Netzwerke wie das Internet übertragen und die Verarbeitung oder Speicherung der Daten findet in externen Rechenzentren der Cloud-Anbieter statt. Unter Umständen gelangen Daten in fremde Länder und andere politische Einflusszonen. Mitunter ergeben sich komplexe Konstellationen, durch die sich die Datenflüsse und beteiligten Dienstleister nur noch schwer nachvollziehen lassen. Das steht zum Beispiel im Widerspruch mit den strengen Vorgaben der Europäischen Datenschutzgrundverordnung im Umgang mit personenbezogenen Daten. Unternehmen benötigen für die Einhaltung der Compliance-Vorgaben transparente Informationen der Cloud-Betreiber. Es stellen sich Fragen wie:
- Wo und von wem werden Daten gespeichert und verarbeitet?
- Über welche Netze werden Daten übertragen?
- Wo und wie sind Daten verschlüsselt?
- Wer hat mit welchen Rechten Zugang zu den Daten?
- Welche grundsätzlichen Compliance-Standards unterstützt der Anbieter?
- Wie lässt sich die Compliance des Anbieters überwachen?
- Steht ein Compliance-Reporting zur Verfügung
- Ist die Compliance vertraglich zugesichert?
- Lassen sich individuelle Compliance-Vorgaben und SLAs vertraglich festlegen?
- Wie sehen die Regelungen nach Vertragsende aus?
- Sind weitere Dienstleister in die Erbringung der Leistungen involviert?
Wichtige Vorgaben, Gesetze, Verordnungen und Normen für die Cloud Compliance
Neben unternehmensinternen und freiwilligen Compliance-Vorgaben existieren zahlreiche wichtige Gesetze, Verordnungen und Normen für die Cloud Compliance. Je nach Branche, Land und Art oder Tätigkeit eines Unternehmens sind unterschiedliche Vorgaben einzuhalten. Beispiele für solche externen Vorgaben sind:
- Europäische Datenschutzgrundverordnung (EU-DSGVO): Vorgaben für die Verarbeitung personenbezogener Daten durch private Unternehmen.
- Bundesdatenschutzgesetz (BDSG): ergänzt und präzisiert die DSGVO um nationale Regelungen.
- IT-Sicherheitsgesetz: Vorgaben für Betreiber „kritischer Infrastrukturen“ (KRITIS).
- GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.
- Telekommunikationsgesetz (TKG): reguliert den Wettbewerb im Bereich der Telekommunikation.
- ISO 19600: Richtlinien für den Einsatz von Compliance Management Systemen.
- Sarbanes-Oxley Act (SOX): gültig auch für europäische Unternehmen, die an US-Börsen notiert sind.
- Payment Card Industry Data Security Standard (PCI-DSS).
- HIPAA (Health Insurance Portability and Accountability Act) und HITECH (Health Information Technology for Economic and Clinical Health).
Alle relevanten Schlagworte aus dem Bereich Cloud Computing finden Sie auch gut erklärt in unseren Definitionen. Ganz im Sinne eines kleinen, aber feinen Glossars lesen Sie hier leicht verständliche Erklärungen zu den wichtigsten Begriffen. Als Service für Sie haben wir die hier erklärten Begriffe in unseren Beiträgen auch direkt mit den zugehörigen Lexikoneinträgen verlinkt. So können Sie die wichtigsten Begriffe direkt dort nachschlagen, wo sie im Text auftauchen. Zum Special: Definitionen rund um Cloud Computing
(ID:48568239)
:quality(80)/p7i.vogel.de/wcms/67/ee/67eefede9ebbbcee84ac6c62f1d1e4ed/0114322733.jpeg "Digital Operational Resilience Act (DORA) ist eine EU-Verordnung für Finanzunternehmen und IKT-Drittdienstleister und soll ein EU-weit einheitliches Rechts- und Aufsichtsrahmenwerk für den Finanzsektor sicherstellen. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/ed/ad/edad76566a705c8890ca905e547b3b71/0108929329.jpeg "Das Trans-Atlantic Data Privacy Framework, kurz TADAP, soll eine neue rechtliche Basis für den Datentransfer zwischen der EU und den USA bieten. Gleichzeitig gilt das Rahmenwerk als Nachfolger des Privacy-Shield-Abkommens. (Bild: frei lizenziert © Gerd Altmann)")