Cloud first – Compliance second?

Vielfältige und vielversprechende Angebote seitens der Hyperscaler, die Verfügbarkeit von immer mehr Anwendungen und Leistungen „Cloud only“ sowie die Pandemie als Treiber der Digitalisierung: All diese Faktoren führen dazu, dass mitunter kurzfristige Entscheidungen für Cloud-Angebote gefällt und leider oft bereits etablierte GRC-Prozesse (Governance, Risk und Compliance) zugunsten einer schnellen Umsetzung aufgeweicht werden, ohne sich der späteren Folgen wirklich bewusst zu sein.

Was aber umfasst ein guter GRC-Prozess, wenn maßgebliche Anteile der eigenen IT in die Cloud ausgelagert werden? Behandeln Sie größere Verschiebungen Ihrer IT-Landschaft in die Cloud genauso, wie Sie ein Outsourcing von Personal und Geschäftsprozessen an einen Dienstleister behandeln würden und stellen Sie sich die folgenden Fragen:

Welche rechtlichen und regulatorischen Hürden müssen Sie nehmen? Beispiele wie die DSGVO, das neue Lieferkettensorgfaltspflichtengesetz oder branchenspezifische Regulierung wie MaRisk, Bait und Dora im Bereich Finance müssen bei der Entscheidung beachtet werden – und zwar vorab.

Welche Prozesse möchten Sie tatsächlich in die Cloud verlagern? Auch wenn Sie zukünftig eine Cloud-first-Strategie verfolgen, ist es möglicherweise nicht ratsam, kritische oder sensible Prozesse aus den lokal gehosteten Systemen in die Hände eines Dritten zu übergeben. Die Frage der rechtskonformen Datenmigration und Datenhaltung in der Cloud wird oft unterschätzt. Hier kann eine Datenklassifizierung helfen, verbleibende Risiken müssen mit technischen und organisatorischen Maßnahmen (TOM) wie einer eigenen Verschlüsselung behandelt werden.

Welche Risiken kommen auf mich zu? Nehmen Sie eine konservative Einschätzung der möglichen Kosten, aber auch der tatsächlichen Abhängigkeit vom jeweiligen Dienstleister vor. Passen Leistungszeiten und Verfügbarkeiten zu Ihren Bedürfnissen und Ihren Kundenverträgen? Oft erweist sich eine hybride Nutzung oder ein Multi-Cloud-Modell als sinnvollere und sichere Alternative.

Sind meine Mitarbeiter fit für die Cloud? Damit der Übergang flüssig läuft, sind Schulungen und Aufklärung notwendig. Auch müssen interne Gremien wie Personalrat, IT-Sicherheitsbeauftragter und Datenschutzbeauftragter vorab konsultiert werden.

Wer trägt die Verantwortung? Grundsätzlich gilt, dass Sie sich durch eine Auslagerung nicht Ihrer Pflichten etwa hinsichtlich Datenschutz, Datensicherheit und Risikomanagement entledigen. Oft fällt hier der Begriff der Shared Responsibility: Der Cloud-Anbieter ist für die Sicherheit der Cloud, der Cloud-Nutzer jedoch für die Sicherheit seiner Prozesse und Daten in der Cloud verantwortlich. Achten Sie darauf, dass Ihr Verständnis der Verantwortlichkeiten sich mit dem des Cloud-Anbieters deckt und entsprechend vertraglich gesichert ist.

Was mache ich, wenn es schiefläuft? Fehler passieren, das gilt auch bei der Digitalisierung. Werden Cloud-Dienste eingestellt, fallen Rechenzentren aus, steigen die Kosten oder entspricht die „neue Welt“ nicht Ihren Erwartungen, so muss eine Exit-Strategie bestehen: Können Sie Ihre Prozesse und Daten jederzeit wieder lokal onboarden oder zu einem anderen Dienstleister wechseln? Spielen Sie diese Szenarien durch und dokumentieren Sie entsprechende Schritte, ähnlich wie in Ihrem Business Continuity Management (BCM).

Der Schritt in die Cloud ist ein Schritt in die digitale Zukunft. Damit dieser Schritt auf ein solides Fundament erfolgt, müssen Auslagerungen in die Cloud von Anfang an von einem etablieren GRC-Prozess und einer Cloud-Strategie begleitet werden. Dabei muss der GRC-Prozess an den Umfang der gewünschten Auslagerung entsprechend angepasst werden, um nicht als Verhinderer, sondern als Enabler der digitalen Transformation zu fungieren.