Mit einer Compliant Cloud sicher durch regulatorische Untiefen navigieren

Daten spielen eine zentrale Rolle in Unternehmensprozessen. Den richtigen Umgang mit ihnen zu definieren ist geschäftskritisch und muss wohl überlegt sein: Wo sind die Daten gespeichert? Wer kann auf sie zugreifen? Wann und von wem wurden Änderungen vorgenommen? Hinzu kommt: verschiedene Arten von Daten erfordern unterschiedliche Vertraulichkeits­stufen – einige Daten sind streng vertraulich, während andere von jedem eingesehen werden können.

Die zunehmende Regulierung in diesem Bereich zwingt Unternehmen dazu, sich ernsthaft mit diesen Fragen auseinander­zusetzen. Ein schwieriges Unterfangen, da sich die Vorschriften zu Daten­schutz und Daten­sicherheit je nach Art der Organisation, ihren Zielen und ihrer Größe durchaus unterscheiden können. Einige gelten für bestimmte Branchen, während andere länder­spezifisch sind. Zwei relativ neue wichtige europäische Verordnungen sind beispiels­weise NIS2 (Weiter­entwicklung der 'EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheits­niveaus von Netz- und Informations­systemen in der Union') für große und mittlere Unternehmen bestimmter Branchen sowie DORA (Digital Operational Resilience Act) für Finanz­unternehmen wie Banken, Versicherungs­gesellschaften und Wertpapier­unternehmen.

In einem solch komplexen gesetzlichen Umfeld den Überblick zu behalten und Compliance sicherzustellen ist keine leichte Aufgabe. Zumal die Einhaltung der Vorschriften gegenüber den Aufsichts­behörden auch entsprechend belegt werden muss. Wenn Sie als Unternehmen Cloud-Services nutzen, bedeutet das, dass Sie diesen Nachweis von Ihrem Cloud-Anbieter einholen müssen. Oder anders gesagt: Auch Ihre Cloud muss compliant sein. Oft ist in diesem Zusammen­hang von 'Cloud-Souveränität' oder 'Sovereign Cloud' die Rede. Hierunter wird meist eine Cloud-Umgebung verstanden, die sich physisch in einem bestimmten Land oder einer bestimmten Region befindet, um die lokalen gesetzlichen Bestimmungen zu erfüllen. Bis heute gibt es jedoch weder eine offizielle Check­liste oder ein Güte­siegel noch ein formelles Audit oder eine Zertifizierung, die dem End­benutzer bescheinigen könnten, dass er es mit einer solchen Sovereign Cloud zu tun hat. Es handelt sich daher eher um eine 'Marketing-Idee', die sich von Unternehmen zu Unternehmen unterscheidet.

Sicherheit schaffen mit einer Compliant Cloud

„Die Compliant Cloud von Cegeka bietet Unternehmen die nötige Unterstützung, um regulatorische Anforderungen erfolgreich zu meistern.“ Das Wichtigste ist dabei unsere Anpassungs­fähigkeit an die Kundenanforderungen durch die Bereit­stellung verschiedener Landing Zones. Diese Leistungen bieten wir sowohl in unseren eigenen privaten Rechenzentren, auf Microsoft Azure sowie auch in der privaten Infra­struktur unserer Kunden. Zudem helfen wir bei der genauen Kategorisierung von Daten auf Grundlage der spezifischen Kunden­anforderungen, z. B. wo Daten gespeichert oder verarbeitet werden. Und: wir sorgen für die notwendige Transparenz, um während des gesamten Betriebs Compliance zu gewährleisten.

Cegeka hat dafür ein Framework entwickelt, das sowohl Prozess- als auch Produkt­kontrollen umfasst. Dieses Multi Compliance Framework basiert auf den internationalen Normen ISO 9001, ISO 27001, ISO 27002, ISO 14001, Uptime Tier III, ISAE 3000 'Trust Services Criteria' (TCS) und DSGVO. Es beinhaltet mehr als 140 Kontrollen und Prüfpunkte und deckt damit auch Richt­linien wie NIS2 und DORA ab. Das Framework wird laufend erweitert. Unsere Roadmap berücksichtigt zudem bereits die Einhaltung von C5 sowie neuer Vorschriften, wie den EU AI Act und das EUCS-Schema für Cloud-Dienste. 

Benötigt ein Kunde Cloud-Services, gesetzeskonform zu einer spezifischen Vorschrift, stellen wir sicher, dass die auf von uns verwalteten Cloud-Plattformen genutzten Services die Compliance-Prüfungen innerhalb unseres Multi Compliance Frameworks erfüllen. Regelmäßig erfolgen Auditierungen durch unabhängige Dritte, deren Zertifikate und Prüf­berichte wir unseren Kunden zur Verfügung stellen. Geprüfte Kunden erhalten jedes Jahr einen ISAE 3000 (SOC2) Typ II Prüfbericht. Dieser Bericht dient als Nachweis für die Aufsichts­behörde, dass sowohl die Daten als auch die in der Cloud bereit­gestellten Services in Über­einstimmung mit den ein­schlägigen Vorschriften behandelt werden.

Mehr Transparenz durch Observability

Innerhalb unserer digitalen Plattform Horizon planen wir die Bereit­stellung diverser Dashboards, die den Status jeder Überprüfung des Multi Compliance Frameworks anzeigen und Kunden sowie ihren Aufsichts­behörden in Echt­zeit Einblicke zu Security und Compliance liefern. Das verbessert die Transparenz und gibt unseren Kunden die Gewissheit, dass unsere Cloud-Plattformen und -Services den gesetzlichen Regelungen entsprechen. Mit Horizon verschaffen wir ihnen Überblick in einer hyper­vernetzten, regulierten Welt.

Je nach Anwendungs­fall der Prüfung, können Nach­weise durch einen automatisierten Prozess oder manuellen Vorgang erbracht werden. Zu den automatisierten Prozessen gehören beispielsweise die Durch­führung von Backups gemäß Backup-Plan, das Auslösen von Incidents, wenn das Backup fehlschlägt, oder auch die zeitnahe Löschung des Benutzer­kontos eines Mitarbeiters - sowohl aus dem Active Directory des Kunden als auch aus der Public Cloud. Für die Über­prüfung manueller Prozesse, die ebenso kritisch sind, sind die Fähigkeiten und das Fach­wissen von zertifizierten Spezialisten erforderlich. Dazu gehören Aufgaben wie die jährliche Über­prüfung des Backup- oder Disaster-Recovery-Plans sowie die jährliche Durch­führung des Disaster-Recovery-Prozesses.

Wir stellen Observability aber nicht nur auf Infrastruktur­ebene bereit. Auch im Rahmen unserer Entwicklungs-Roadmap haben wir Observability als wichtigen Bereich zur Qualitäts­steigerung priorisiert. Wir verwenden verschiedene Technologien, die auf die individuellen Bedürfnisse und Architekturen unserer Kunden abgestimmt sind. Dieser ganzheit­liche Ansatz zielt darauf ab, alle Aspekte des Entwicklungs­prozesses zu verbessern, vom Management der Infra­struktur bis hin zur Anwendungs­entwicklung, und so einen lücken­losen und effektiven End-to-End-Prozess zu gewährleisten. Dank der Übernahme von Key-Performance durch Cegeka (einem Partner von Dynatrace), geht unsere Observability über die übliche Standard­metriken wie System­verfügbarkeit, Performance und Antwort­zeiten hinaus. In Verbindung mit unseren fortschrittlichen Cyber-Security-Lösungen hilft Observability dabei, jeglichen unbefugten oder schädlichen Zugriff zu erkennen und zu verhindern, von der Infra­struktur über die Anwendung bis hin zu den Daten, ebenso wie Fehler oder Anomalien, die die Daten­qualität oder -integrität beeinträchtigen könnten.

Stärkung der Business Resilience 

Wir sind überzeugte Verfechter einer Multi-Cloud-Umgebung. Gleich, welche Cloud-Plattform Unternehmen derzeit nutzen, sie sollten in der Lage sein, ihre Anwendungen und Daten bei Bedarf schnell auf eine andere Platt­form verlagern zu können, z. B. aus geo­politischen Gründen oder um von den (zusätzlichen) Funktionen eines bestimmten Cloud-Modells zu profitieren. Auch die Aufsichts­behörden verlangen zunehmend konkrete Nachweise für Ausstiegs­strategien innerhalb von Cloud-Umgebungen sowie Maß­nahmen, um Vendor Lock-ins zu umgehen und geschäftliche Abhängigkeiten zu mildern. Diese Anforderungen sind für die Stärkung der Widerstands­fähigkeit von Unternehmen unerlässlich, insbesondere in komplexen regulierten Umgebungen.

Ein Beispiel, wie Cegeka hier hilft, ist KubePort, eine Cloud-native verwalteten Container-Plattform mit der wir den Grund­stein für eine solche Ausstiegs­strategie legen. KubePort ist Cloud-agnostisch, d.h. Sie haben die Wahl zwischen der Cegeka-Infrastruktur vor Ort ('Private Cloud') und der Public Cloud-Infrastruktur von Microsoft Azure. Im Ergebnis können Kunden ihren Betrieb aufrecht­erhalten, unabhängig davon, vor welchen Herausforderungen sie stehen. Compliant Cloud hilft nicht nur Compliance und Security sicherzustellen, sondern stärkt auch die Widerstands­fähigkeit des Unternehmens.

Sie möchten mehr über die Cegeka Compliant Cloud erfahren?
Vereinbaren Sie jetzt einen (Online-)Termin für ein persönliches (Online-)Gespräch mit unseren Experten.