Der Wert von Informationen: Beitrag für die Festschrift der R & L AG
8. Januar 2019

Die „6G“ der Cloud Governance

Fast jedes Unternehmen speichert heute schon Daten in der Cloud. Insbesondere für innovative Anwendungen wie Big Data, künstliche Intelligenz oder Blockchain stehen Cloud-Dienste zur Verfügung. Hiermit kann ein Unternehmen schnell und agil neue Dienste in Betrieb nehmen.

Die grossen Clouddienste weisen jährlich Zuwachsraten von teilweise über 50% auf und die Big Player Amazon, Microsoft und Google bauen ihre Standorte in der Schweiz in 2019 aus. Selbst Schweizer Banken kündigen an, in die Cloud zu gehen.

Aber welche Daten sollen in der Cloud gespeichert werden und welche Daten sollte das Unternehmen besser intern speichern? Besteht im Unternehmen ein Überblick welche Clouddienste genutzt werden oder kann es vorkommen, dass einzelne Fachabteilung Dienste nutzen, welche Sicherheitsrisiken bergen?

Bei der Diskussion um die Verantwortung und die Datensicherheit der Cloud hat sich ein neues Schlagwort etabliert: „Cloud Governance“. Die grossen Hersteller AWS, Microsoft und Google haben hierzu Whitepapers und Softwarefunktionen erstellt, wie sich Governance „automatisieren“ und überwachen lässt. Spricht man aber mit Anwenderunternehmen, so fällt auf das die Hersteller einen sehr speziellen Fokus in der Cloud-Governance haben:

  • Für Anwenderunternehmen steht beim Einstieg in die Cloud Governance meist die Frage im Vordergrund, welche Daten sollen weiterhin im Unternehmen gespeichert werden und welche Daten in der Cloud (Hybride Cloudlösung). Auch stellt sich die Frage, ob mehrere Cloudienste gleichzeitig genutzt werden sollen (Multi-Cloud).
  • Für die Anbieter AWS, Microsoft und Google stellt Cloud Governance eine Reihe von Diensten dar, welche Kontrollfunktionen für das eigene Cloudangebot darstellen.

Verschiedene Funktionen sollen die Möglichkeit geben, die Risiken und Complianceverstösse im Betrieb zu verwalten. So verspricht Microsoft davon „Stellen Sie mit den in Azure integrierten Cloudgovernancefunktionen sicher, dass Sie alle externen Vorgaben und internen Richtlinien erfüllen.“[1]. Amazon erläutert in seinem Cloud Adoption Framework[2], dass „die Governance-Perspektive integriert IT-Governance und Organizational Governance“ abbildet. Und Google bietet Governancefunktionen für die Identitätsverwaltung, Ressourcensteuerung und das Kostenmanagement [3].

Es fällt auf, dass der Governancebegriff hier sehr technisch ausgelegt wird und sich auf Funktionen, wie z.B. Identitätsmanagement und Analyse- und Monitoringtools bezieht. Für den Anwender ist es praktisch unmöglich zu verstehen, was unter dem Begriff „Governance“ verstanden wird. Noch schwieriger wird es dann, wenn es um die Umsetzung geht (man denke nur schon an die unzähligen Einstellmöglichkeiten bei standardisierten Apps).

Will ein Unternehmen den Weg in die Cloud beschreiten, so stellt sich zuerst die Frage, ob der rechtliche Rahmen und die Branchenstandards dies erlauben und ob der Cloudanbieter die entsprechenden Standards erfüllt. Das sind Teilbereiche der Information Governance. Für den Anwender ist eine Auslegeordnung der Governance Themen ein Muss. Er sollte verstehen, welche Fragestellungen zu adressieren sind und welchen Risiken er sich damit aussetzt.

Um eine Übersicht über alle relevanten Governance Themen zu erhalten haben wir das 6G Modell entwickelt. Folgende Punkte müssen beim Einstieg in die Cloud geklärt werden. Die Liste gibt einen Ausschnitt der relevanten Fragestellungen wieder:

G1 – Information Governance (Normativer Layer = Ebene VR/GL[4])

  • Welche Richtlinien bestehen für den Umgang mit Daten in der Organisation und in der Cloud?
  • Wer trägt die Verantwortung für die Daten?
  • Welche rechtlichen und politischen Risiken bestehen, wenn der Cloudanbieter den Hauptsitz in den USA hat?
  • Sind die Risiken abschätzbar? Wie hoch ist die Risikobereitschaft?

G2 – Governance der Digitialisierungsprojekte (Strategischer Layer = GL)

  • Welche Chancen und Risiken hat das Digitialisierungsprojekt im Kontext der Cloud?
  • Besteht eine Wettbewerbssituation mit dem Cloudanbieter im Kerngeschäft des Unternehmens, z.B. Amazon und Google sind auch im Gesundheitswesen aktiv.
  • Welche Konkurrenzsituationen mit bestehenden Applikationen/Daten entstehen?

G3 – Data Governance

  • Ist die Datenqualität sichergestellt?
  • Sind die Funktionen zum Management des Datenlebenszkylus vorhanden?
  • Werden Datensilos geschaffen/eliminiert?
  • Können Daten jederzeit gelöscht oder zurückgeholt werden?

G4 – IT-Governance (Operativer Layer)

  • Welche Clouddienste dürfen von den Mitarbeitern genutzt werden und wie vermeidet man eine «Schatten-IT»?
  • Welche technischen Standards müssen unterstützt werden?

G5 – Governance der Cyber-Sicherheit (Operativer Layer)

  • Wie ist die Verantwortung für die Sicherheit zwischen Unternehmen und Cloudanbieter aufgeteilt? Welche Anforderungen muss der Anbieter erfüllen?
  • Was kann an Security Funktionen ausgelagert werden?

G6 – Cloud Governance Funktionen (Operativer Layer)

  • Welche Funktionen stellt die Cloudplattform bereit, um Sicherheit und Nutzung der Cloud zu kontrollieren?
  • Wie wird der Betrieb sichergestellt?

Die Auflistung zeigt, wie vielfältig die Themen sind und dass die technischen Funktionen der «Cloud Governance» nur ein Teil der Lösung sind. In der Organisation müssen die verschiedenen Rollen, wie IT-Sicherheit, Recht, Datenschutz und Chief Digital Officer an einem Tisch gebracht werden. Die meisten sind jedoch oftmals überfordert, wenn es um diese Materie geht. Die Erfahrung zeigt, dass jede Fachdisziplin eine spezifische Sichtweise auf die Anforderungen zur Datenhaltung in der Cloud hat und die Gefahr besteht, dass man sich beim Outsourcing in die Cloud alleine darauf verlässt, dass der Cloudprovider es schon richten wird.

Zudem stellt sich die Frage, wie die Verantwortlichkeiten zwischen Cloud Provider und Anwenders definiert sind. Das Unternehmen welches die Daten besitzt, trägt weithin die Verantwortung. Bestes Beispiel sind die Datenschutz-Regulierungen: Um den Datenschutz sicherzustellen, muss bei der Verarbeitung von personenbezogenen Daten eine ausführliche Regelung zur Auftragsdatenverarbeitung zwischen Auftraggeber und Cloudanbieter geschlossen werden.

Ein Information Governance Konzept kann einen Beitrag leisten zu definieren, welche Daten in der Cloud gespeichert werden sollen und welche Compliance- und Sicherheitsanforderungen eingehalten werden müssen. Die bewährten Methoden der Information Governance bieten hier einen Ansatz, um den Einstieg in die Cloud rechtskonform und sicher zu gestalten.

An dieser Stelle haben wir auf Massnahmenebene nicht unterschieden, ob es sich um technische, organisatorische oder rechtliche Massnahmen handelt. Dies sind im Rahmen der Konzepterstellung zu gewichten.

Lesen Sie im nächsten Newsletter, welche Vor- und Nachteile die Cloud zur Sicherung und Archivierung von Daten hat.

Autor: Dr. Daniel Burgwinkel



[1] https://azure.microsoft.com/de-de/solutions/governance/

[2] https://aws.amazon.com/de/professional-services/CAF/

[3] https://cloud.google.com/solutions/policies/designing-gcp-policies-enterprise#governance_and_visibility

[4] Vgl. Leitfaden Information Governance, Abb.4, S. 43. https://informationgovernance.ch/services/leitfaden-information-governance/




Warning: Illegal string offset 'ID' in /data/www/www69/www/wp/wp-content/themes/betheme/includes/content-single.php on line 285

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.