Tobias Scheible Cyber Security & IT-Forensik Dozent
IT-Compliance und Cloud-Computing

Compliance as a Service?

Innerhalb von Cloud-Computing-Umgebungen gesetzliche, unternehmensinterne und vertragliche Regelungen einzuhalten, stellt oftmals eine Herausforderung dar. Aber unter bestimmten Umständen kann die Cloud auch das Gegenteil bewirken und helfen, Compliance-Regelungen in einem Unternehmen zu etablieren.

Donnerstag, 04. Juli 2013
4 Kommentare
Aktuelles
App, IT-Compliance, Regelungen, Compliance, CaaS

Dies ist immer dann gegeben, wenn Cloud-Systeme bestimmte Anforderungen erfüllen und mit diesen Eigenschaften die Compliance-Umsetzung unterstützen. Anhand der nächsten beiden Szenarien möchte ich aufzeigen, wie ein möglicher „Compliance as a Service“-Ansatz aussehen könnte.

Szenario mobile App

Private Geräte in ein Unternehmen mitzubringen, ist unter dem Trend-Begriff “Bring Your Own Device“ (BYOD) bekannt geworden. Es geht darum, dass immer mehr Mitarbeiter ihre eigene Smartphons, Tablets und Notebooks auch während der Arbeit für geschäftliche Zwecke nutzen.

Der Nachteil davon ist allerdings, dass sich die Daten der verschiedenen Dienste wie Kontakte, Kalender und E-Mails mit den privaten Daten vermischen können und sich damit außerhalb des Zugriffs des Unternehmens befinden. Dies kann dazu führen, dass die Daten aus Versehen weitergegeben werden oder dass ein Diebstahl vom Unternehmen unbemerkt bleibt.

Eine Abhilfe könnte eine zentrale Cloud-App bieten, die alle Dienste in einer Anwendung bündelt. Der Anwender kann die Daten des Unternehmens nur innerhalb der Anwendung verarbeiten und nicht in den privaten Bereich verschieben. Wenn die Daten innerhalb der Anwendung verschlüsselt sind und auch noch aus der Ferne gelöscht werden können, kann ein BYOD-Anstaz compliance-konform realisiert werden.

Szenario Newsletter

Ein anderes, nicht Cloud typisches Beispiel, ist ein Newsletter-System. Es gibt unzählige Möglichkeiten, ein eigenes Newsletter-System zu realisieren. So gibt es einige OpenSource-Lösungen, die auf dem eigenen Server installiert werden können. Außerdem bieten viele Content-Management-Systeme hierfür ebenfalls Erweiterungen an. Wenn jedoch ein Newsletter-System selbst realisiert wird, müssen bestimmte Regelungen beachtet werden.

So muss zum Beispiel die Anmeldung per Double-Opt-In erfolgen. Ebenfalls muss die Anmeldung nachvollziehbar protokolliert werden, das Impressum im Newsletter muss korrekt sein und das Widerspruchsrecht muss korrekt kommuniziert werden. Für die personenbezogenen Daten gilt es zudem, das Bundesdatenschutzgesetz einzuhalten. Dazu kommen noch interne Regelungen wie das Einhalten des richtigen Erscheinungsbildes und das korrekte Wording.

Bietet nun ein externer Dienstleister spezielle SaaS-Lösungen an, die die Datenschutzrichtlinien nachweislich einhalten und zudem an individuelle Regeln angepasst werden können, kann ein konformer Newsletter-Versand schnell und einfach realisiert werden.

Fazit

Diese beiden Beispiele zeigen, wie spezielle Cloud-Lösungen helfen können, Compliance-Richtlinien einfach umzusetzen. Werden SaaS-Cloud-Lösungen mit dem Ziel entwickelt, Compliance as a Service bereitzustellen, ist dies ein deutlicher Wettbewerbsvorteil. Diesen können vor allem auch kleinere Unternehmen erfolgreich nutzen.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

vecitus am 30. Juli 2013 um 10:52 Uhr

Nützliche Info. Danke 🙂

vecitus am 2. August 2013 um 11:22 Uhr

Der Artikel ist echt interessant! Weiter so 🙂

Juliane am 24. Oktober 2013 um 10:59 Uhr

Danke! Vor allem der Teil „Newsletter“ war sehr interessant.
Spannendes Thema und gut verfasst.

LG Juliane

Prenews am 6. Dezember 2013 um 17:10 Uhr

Gute und nützliche Informationen, allerdings ist es in meinen Augen problematisch, dass viele Unternehmen sich komplett individuelle Cloud Lösungen noch immer nicht leisten können oder aber im IT fernen Sektor, wie bei jeder Veränderung, lange darauf verzichtet wird, diese neuen Trends umzusetzen.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.