Focus: Cloud Computing

Compliance in der Public Cloud: Vorgehensweisen für Schweizer Kunden

Uhr
von Primo ­Amrein, Cloud Lead, Microsoft Schweiz

Public-Cloud-Lösungen werden dank vieler Vorteile immer beliebter. Für regulierte Kunden gibt es einige Punkte zu ­beachten, damit auch strenge Compliance-Vorgaben sowie Schweizer Bestimmungen eingehalten werden. In der Zwischenzeit gibt es bewährte Vorgehen und sehr gute Erfahrungswerte.

Primo ­Amrein, Cloud Lead, Microsoft Schweiz. (Source: zVg)
Primo ­Amrein, Cloud Lead, Microsoft Schweiz. (Source: zVg)

Public-Cloud-Lösungen aus lokalen Hyperscale-Rechenzentren werden insbesondere in regulierten Bereichen in der Schweiz immer breiter benutzt. Kunden entscheiden sich dafür aus Vorteilen wie etwa des besseren Endkundennutzens, der Förderung agiler Organisationen, zukunftsgerichteter und moderner digitaler Werkzeuge für Mitarbeitende, Kostentransparenz, erhöhter Sicherheit, als Treiber von Innovationen oder effizienterer Zusammenarbeit innerhalb der Organisation sowie mit Partnern.
Damit dies auch mit strengen Compliance-Vorgaben konform eingeführt wird, gibt es einige Punkte zu beachten. Nachfolgend wird eine Auswahl aufgeführt, die sich in der Praxis als besonders wichtig bewährt hat.

Public-Cloud-Strategie erstellen

Es sollte eine Public-Cloud-Strategie erstellt werden inklusive Zielvorgaben und Kontrollziele. Diese muss gut abgestimmt sein inklusive Management-, Compliance- sowie Datenschutzabklärungen. Aus Erfahrung lohnt es sich, dies zunächst pragmatisch anhand eines konkreten Use Cases zu erarbeiten, jedoch breit genug für zukünftige Szenarien zu formulieren. Aus rechtlicher Sicht ist zu prüfen, ob der Cloud-Provider Zusicherungen gibt für Bestimmungen wie etwa die Finma-Regulatorien oder Schweizer Amts- und Berufsgeheimnis.

Besonders bei regulierten Organisationen ist eine Risikoabschätzung unabdingbar, wobei der Vergleich mit der Ist-Situation ebenfalls einbezogen werden soll. Für die Erstellung einer Risikobeurteilung gibt es Anleitungen und Hilfestellungen von einigen Providern.

Klassifizierung der Daten

Ein weiterer wichtiger Schritt ist die Klassifizierung der Daten. Mit unsensiblen Daten werden erste Erfahrungen in der Public Cloud gesammelt und die Grundlagen für sensiblere Daten gelegt. Die Reise in die Cloud wird somit häufig schrittweise angegangen.

Viele regulierte Organisationen verlangen die lokale Datenhaltung in Schweizer Rechenzentren, es lohnt sich also, abzuklären, welche Services der Anbieter lokal anbietet. Zudem sollte geklärt werden, welche Ausfallsicherheit und Notfallwiederherstellung erfordert werden, zum Beispiel ob der Provider eine Back-up-Möglichkeit an einem zweiten, weiter entfernten Standort innerhalb der Schweiz anbietet.

Externe Unterstützung holen

Für konkrete Projekte empfiehlt es sich, externe Unterstützung zu holen. Es gibt bereits viele Schweizer Partner, die lokale Best Practices im Umgang mit regulierten Indus­trien in der Public Cloud gesammelt haben. Praktische Massnahmen wie die Nutzung bestehender Guidelines, Templates, Policies und Trainings helfen, die erforderte Compliance zu erreichen. Auch hierfür bieten bestimmte Cloud-Provider gute Leitfäden in der Zusammenarbeit mit Partnern. Schliesslich darf eine saubere Projekt-Governance und fortlaufende Cloud-Governance nicht fehlen, um die gesetzten Compliance-Vorgaben und Kontroll­ziele laufend zu überprüfen.

Innovative Dienste wie Confidential Computing oder künstliche Intelligenz bieten zusätzlichen Nutzen und werden bereits von ersten regulierten Firmen in der Schweiz eingesetzt. Diese Lösungen benötigen eine Hyperscale-Infrastruktur für die erforderliche Rechenleistung.

Webcode
zUemwNju