Compliance in der Public Cloud: Vorgehensweisen für Schweizer Kunden
Public-Cloud-Lösungen werden dank vieler Vorteile immer beliebter. Für regulierte Kunden gibt es einige Punkte zu beachten, damit auch strenge Compliance-Vorgaben sowie Schweizer Bestimmungen eingehalten werden. In der Zwischenzeit gibt es bewährte Vorgehen und sehr gute Erfahrungswerte.
Public-Cloud-Lösungen aus lokalen Hyperscale-Rechenzentren werden insbesondere in regulierten Bereichen in der Schweiz immer breiter benutzt. Kunden entscheiden sich dafür aus Vorteilen wie etwa des besseren Endkundennutzens, der Förderung agiler Organisationen, zukunftsgerichteter und moderner digitaler Werkzeuge für Mitarbeitende, Kostentransparenz, erhöhter Sicherheit, als Treiber von Innovationen oder effizienterer Zusammenarbeit innerhalb der Organisation sowie mit Partnern.
Damit dies auch mit strengen Compliance-Vorgaben konform eingeführt wird, gibt es einige Punkte zu beachten. Nachfolgend wird eine Auswahl aufgeführt, die sich in der Praxis als besonders wichtig bewährt hat.
Public-Cloud-Strategie erstellen
Es sollte eine Public-Cloud-Strategie erstellt werden inklusive Zielvorgaben und Kontrollziele. Diese muss gut abgestimmt sein inklusive Management-, Compliance- sowie Datenschutzabklärungen. Aus Erfahrung lohnt es sich, dies zunächst pragmatisch anhand eines konkreten Use Cases zu erarbeiten, jedoch breit genug für zukünftige Szenarien zu formulieren. Aus rechtlicher Sicht ist zu prüfen, ob der Cloud-Provider Zusicherungen gibt für Bestimmungen wie etwa die Finma-Regulatorien oder Schweizer Amts- und Berufsgeheimnis.
Besonders bei regulierten Organisationen ist eine Risikoabschätzung unabdingbar, wobei der Vergleich mit der Ist-Situation ebenfalls einbezogen werden soll. Für die Erstellung einer Risikobeurteilung gibt es Anleitungen und Hilfestellungen von einigen Providern.
Klassifizierung der Daten
Ein weiterer wichtiger Schritt ist die Klassifizierung der Daten. Mit unsensiblen Daten werden erste Erfahrungen in der Public Cloud gesammelt und die Grundlagen für sensiblere Daten gelegt. Die Reise in die Cloud wird somit häufig schrittweise angegangen.
Viele regulierte Organisationen verlangen die lokale Datenhaltung in Schweizer Rechenzentren, es lohnt sich also, abzuklären, welche Services der Anbieter lokal anbietet. Zudem sollte geklärt werden, welche Ausfallsicherheit und Notfallwiederherstellung erfordert werden, zum Beispiel ob der Provider eine Back-up-Möglichkeit an einem zweiten, weiter entfernten Standort innerhalb der Schweiz anbietet.
Externe Unterstützung holen
Für konkrete Projekte empfiehlt es sich, externe Unterstützung zu holen. Es gibt bereits viele Schweizer Partner, die lokale Best Practices im Umgang mit regulierten Industrien in der Public Cloud gesammelt haben. Praktische Massnahmen wie die Nutzung bestehender Guidelines, Templates, Policies und Trainings helfen, die erforderte Compliance zu erreichen. Auch hierfür bieten bestimmte Cloud-Provider gute Leitfäden in der Zusammenarbeit mit Partnern. Schliesslich darf eine saubere Projekt-Governance und fortlaufende Cloud-Governance nicht fehlen, um die gesetzten Compliance-Vorgaben und Kontrollziele laufend zu überprüfen.
Innovative Dienste wie Confidential Computing oder künstliche Intelligenz bieten zusätzlichen Nutzen und werden bereits von ersten regulierten Firmen in der Schweiz eingesetzt. Diese Lösungen benötigen eine Hyperscale-Infrastruktur für die erforderliche Rechenleistung.
Whatsapp und Threads verschwinden aus chinesischem App Store
Update: Österreichischer Investor übernimmt Devolo
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
Das sind die Finalisten der Swiss Fintech Awards 2024
Was KI zur Barrierefreiheit im Web beitragen kann
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Der Astrologe rettet den Tag ... oder auch nicht
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
