Cloud-Compliance: digitale Souveränität und Wettbewerbsvorteile

Was ist unter digitaler Souveränität zu verstehen und warum ist sie heute wichtiger denn je?

Robin Schmeisser: Digitale Souveränität bedeutet, dass Unternehmen, die öffentliche Verwaltung und Privatpersonen jederzeit die Kontrolle über ihre Daten und Systeme haben – ohne versteckte Abhängigkeiten, unklare Datenflüsse oder unbefugte Zugriffe durch Dritte. Besonders im Cloud-Zeitalter geht es nicht mehr nur um Funktionalität, sondern auch um Transparenz, sichere Datenverarbeitung und Rechtskonformität, also Compliance. Diese Aspekte sind bei der Entscheidung für die passende Cloud-Software zu berücksichtigen, um Verstößen gegen die DSGVO und Kontrollverlust vorzubeugen. Wichtig ist dabei: In Europa gelten strenge Vorschriften rund um Datenschutz und IT-Sicherheit, sowohl für Cloud-Anbieter als auch -User.

Digitale Souveränität setzt also ein hohes Sicherheitsniveau voraus. Das klingt kompliziert und aufwendig. Spricht das tatsächlich für cloudbasierte Produkte und Dienstleistungen?

Schmeisser: Ganz klar: Ja, denn Sicherheit ist der entscheidende Faktor für selbstbestimmtes, souveränes Handeln und Entscheiden. Heute mehr denn je, da Digitalisierung und Automatisierung unverzichtbar für den Geschäftserfolg geworden sind. Ein guter, verlässlicher Cloud-Anbieter weist die Compliance mit entsprechenden Testaten und Zertifikaten nach. Im Rahmen von Audits prüfen und bestätigen unabhängige externe Fachleute die Erfüllung bestimmter Anforderungen, etwa hinsichtlich Daten- und Informationssicherheit. Die Kriterien sind in international gültigen Normen und Standards wie ISO (Internationale Organisation für Normung) oder ISAE (International Standard on Assurance Engagements) definiert. Diese sogenannten Konformitätsbewertungen betreffen Systeme, Prozesse, Produkte, Services oder ganze Organisationen. Bei der Auswahl eines Cloud-Dienstleisters bzw. einer Cloud-Software ist es daher essenziell, den Scope, also den exakten Geltungs- bzw. Anwendungsbereich, sorgfältig zu prüfen. Denn beispielsweise gilt zertifizierte Rechenzentrumssicherheit nicht automatisch auch für die Softwareprodukte oder Cloud-Services eines Anbieters.

Stichwort ISO- und ISAE-Audits: Gibt es dabei Unterschiede? Und welche Zertifizierungen sind hinsichtlich Daten- und Informationssicherheit besonders wichtig?

Schmeisser: Bei ISO-Audits stehen Managementsysteme im Fokus, während jene nach ISAE Interne Kontrollsysteme (IKS) beurteilen. Als relevante Nachweise höchster Sicherheits- und Datenschutzstandards beim Cloud-Computing gelten vor allem folgende Managementsystem- und Kontrollaudits: Das ISO 27001-Zertifikat, das C5-Testat des Bundesamts für Sicherheit in der Informationstechnologie und der EU Cloud Code of Conduct, Level 3.

Was prüfen externe Fachleute bei diesen Securityaudits und wofür gelten die genannten Zertifikate und Testate? Beginnen wir bitte mit dem ISO 27001-Zertifikat.

Schmeisser: ISO 27001 ist der internationale Standard zur Bewertung von Informationssicherheits-Managementsystemen und der Wirksamkeit der Managementprozesse. Er legt Anforderungen für die Risikobewertung, Sicherheitskontrollen und kontinuierliche Verbesserungen fest. Die Audits erfolgen regelmäßig, Rezertifizierungen alle drei Jahre. Das Zertifikat gilt für das gesamte geprüfte Unternehmen inklusive der Produkte und Dienstleistungen.

Was deckt das BSI C5-Testat ab?

Schmeisser: Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Kriterienkatalog definiert Mindestanforderungen für Cloud-Anbieter in Bezug auf IT-Sicherheit und Transparenz, darunter Zugangs- und Zugriffskontrollen sowie Notfallmanagement. In jährlichen Audits bewerten Wirtschaftsprüfer:innen nach ISAE 3000 die Angemessenheit und Wirksamkeit des Internen Kontrollsystems. Der Scope des Testats umfasst die geprüften Cloud-Dienste, nicht jedoch pauschal den Anbieter und dessen gesamte Infrastruktur.

Und was ist Gegenstand des Auditverfahrens beim EU Cloud Code of Conduct nach Level 3?

Schmeisser: Dieser EU-weite Verhaltenskodex für Cloud-Dienstleister dient der einheitlichen Durchsetzung europäischer Datenschutzstandards auf Basis der DSGVO. Für Level 3, die höchste erreichbare Stufe, stützt sich SCOPE Europe als Prüfungsinstanz bei den jährlichen Bewertungen ausschließlich auf international anerkannte Testate und Zertifikate. Das macht dieses Zertifikat zu einem echten Nachweis für DSGVO-Konformität. Der EU Cloud CoC deckt das gesamte Spektrum der Cloud-Services ab, einschließlich Software, Plattform und Infra­struktur.

Auch Fabasoft ist dahingehend zertifiziert: Seit wann?

Schmeisser: Seit 2008 ist Fabasoft nach ISO 27001 zertifiziert und erfüllt seit 2015 zusätzlich die Anforderungen der ISO 27018 – speziell für den Schutz personenbezogener Daten in der Cloud. Fabasoft erhielt das BSI C5-Testat als erster europäischer Anbieter von Cloud-Dienstleistungen bereits 2017 und weist seither regelmäßig die Einhaltung hoher Sicherheitsstandards im Cloud-Computing nach. Zudem erreichte Fabasoft 2021 als weltweit erstes Unternehmen die 3. Stufe des EU Cloud Code of Conduct – ein starkes Signal für Datenschutz und Cloud-Compliance. Darüber hinaus sind die Fabasoft Softwareprodukte und Cloud-Services mit zahlreichen weiteren international anerkannten Zertifikaten, Testaten, Bescheinigungen, Gütesiegeln und -zeichen in Bezug auf Zuverlässigkeit, Daten- und Rechenzentrumssicherheit sowie Barrierefreiheit ausgezeichnet.

Digitale Souveränität beginnt also beim Softwarekauf. Wie trägt ein zertifiziertes Datenschutz- und IT-Sicherheitslevel zum Geschäftserfolg und folglich zu einer Win-win-Situation für Cloud-­Anbieter und -User bei?

Schmeisser: Die zunehmende Bedeutung des Cloud-Computings erfordert – insbesondere in Europa – ein hohes Maß an Sicherheit und Datenschutz. Zur Wahrung der digitalen Souveränität ist Vertrauen gut, Kontrolle aber besser. International anerkannte Testate und Zertifikate stellen eine verlässliche Orientierungshilfe bei der Auswahl der passenden Cloud-Software bzw. -Services dar. Diese zeigen das besondere Engagement von Cloud-Anbietern im ausgewiesenen Geltungsbereich und weisen die erforderliche Compliance mit den gesetzlichen Vorgaben nach. Auditierte Unternehmen sowie deren Kunden und Partner profitieren in vielerlei Hinsicht davon: Sie stellen nicht nur die Konformität sicher, sondern reduzieren auch rechtliche Risiken und erhöhen die Effizienz. Somit eröffnen Zertifizierungen klare Wettbewerbsvorteile und neue Geschäftsmöglichkeiten. Vor allem das ISO 27001-Zertifikat, das BSI C5-Testat oder der EU Cloud Code of Conduct, Level 3 schaffen eine solide Vertrauensbasis, die heute geschäftsentscheidend ist, sowohl für Cloud-Anbieter als auch -User.

Zur Person
Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, beschäftigt sich seit 2004 mit der Digitalisierung von Geschäftsanwendungen und -prozessen. Nach langjähriger Geschäftsführertätigkeit bei einem Softwarehersteller ist er seit Januar 2021 für Fabasoft Contracts verantwortlich, einem der europaweit führenden Anbieter von Vertragsmanagement-Software.

Hinweis der Redaktion: Das Interview ist in Zusammenarbeit mit Fabasoft entstanden.