Cloud Compliance
Cloud Compliance bezeichnet die Einhaltung gesetzlicher, regulatorischer und unternehmensinterner Vorgaben bei der Nutzung von Cloud-Diensten. Unternehmen, die Cloud-Infrastrukturen oder SaaS-Plattformen nutzen, müssen sicherstellen, dass die verarbeiteten Daten, Prozesse und Zugriffsrechte den geltenden Normen entsprechen.
Je nach Branche und Region können dabei unterschiedliche Anforderungen gelten – etwa durch die DSGVODSGVO (Datenschutz-Grundverordnung) Die DSGVO (Datenschutz-Grundverordnung, engl. GDPR – General Data Protection Regulation) ist die zentrale europ... Mehr, ISOISO ISO steht für die „International Organization for Standardization“ – eine weltweit tätige Organisation zur Entwicklung und Veröffentlichu... Mehr 27001, HIPAA, SOCSOC (Security Operations Center) Ein Security Operations Center (SOC) ist eine spezialisierte Organisationseinheit, die für die Überwachung, Erkennu... Mehr 2, NIS2NIS2-Richtlinie Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die aktualisierte EU-Richtlinie zur Cybersicherheit, die am 16.... Mehr oder das Lieferkettensorgfaltspflichtengesetz. Cloud Compliance umfasst daher technische, organisatorische und vertragliche Maßnahmen.
Typische Compliance-Herausforderungen in der Cloud:
- Datenstandort: Wo werden personenbezogene oder sensible Daten gespeichert?
- Zugriffsrechte: Wer kann auf welche Daten und Systeme zugreifen?
- Auditierbarkeit: Sind alle Aktionen nachvollziehbar dokumentiert?
- Vertragliche Sicherheit: Sind AV-Verträge mit dem Cloud-Anbieter abgeschlossen?
Maßnahmen zur Sicherstellung von Cloud Compliance:
- Einbindung eines Cloud Compliance Officers in IT-Projekte
- Verwendung zertifizierter Cloud-Anbieter (z. B. ISO 27001, TISAX, BSIBSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Framework zur systematis... Mehr C5)
- Einsatz von CASBCloud Access Security Broker (CASB) Ein Cloud Access Security Broker (CASB) ist eine Sicherheitslösung, die zwischen den Nutzern eines Unternehmens u... Mehr, DLPDLP (Data Loss Prevention) Data Loss Prevention (DLP) umfasst technische und organisatorische Maßnahmen zum Schutz sensibler Daten vor Verlust, Diebs... Mehr, IAMIAM (Identity & Access Management) Identity & Access Management (IAM) ist ein ganzheitlicher Ansatz zur Verwaltung von Benutzeridentitäten und ihrer ... Mehr und Logging-Lösungen
- Technische Maßnahmen wie Verschlüsselung, BYOK, Zugriffskontrolle
Typische Normen und Rahmenwerke:
- DSGVO (Datenschutz-Grundverordnung)
- ISO/IEC 27001ISO/IEC 27001 ISO/IEC 27001 ist der weltweit anerkannte Standard für Informationssicherheitsmanagementsysteme (ISMS). Die Norm legt Anforderungen an ... Mehr und ISO 27018 (Cloud-Datenschutz)
- SOC 2 Type II
- NIS2 (EU-Richtlinie für kritische InfrastrukturInfrastruktur (IT-Infrastruktur) Die IT-Infrastruktur umfasst alle technischen und physikalischen Komponenten, die notwendig sind, um IT-Dienste berei... Mehr)
- BSI IT-Grundschutz
Verwandte Begriffe:
Shared Responsibility ModelShared Responsibility Model Das Shared Responsibility Model ist ein zentrales Konzept in der Cloud-Sicherheit, das die Aufgabenteilung zwischen Cloud-... Mehr, Cloud SecurityCloud Security Cloud Security umfasst alle Maßnahmen, Technologien und Prozesse, die dazu dienen, Daten, Anwendungen und Dienste in Cloud-Umgebungen ... Mehr, DLP, ISO 27001, DSGVO, CASB, Risk ManagementRisk Management (Risikomanagement) Risikomanagement ist der systematische Prozess zur Identifikation, Bewertung, Steuerung und Überwachung von Risike... Mehr, Data ResidencyData Residency (Datenresidenz) Data Residency beschreibt die Pflicht oder Anforderung, dass bestimmte Daten geografisch innerhalb eines bestimmten Lan... Mehr