220
personenbezogenen Daten, und zwar in allen Bereichen ihres Lebens, d.h.
zuhause, am Arbeitsplatz, beim Einkaufen, beim Arzt, bei der Polizei oder im
Internet.
Bei zusätzlicher Einbindung externer Dienstleister ist daher eine sehr
transparente Dokumentation notwendig, wer in welcher Form und in
welchem Umfang an der Verarbeitung dieser Informationen beteiligt ist und
wie sichergestellt wird, dass die Persönlichkeitsrechte einzelner Personen,
deren Daten verarbeitet werden, eingehalten werden können.
Datensicherheit
<P5>Der Begriff Datensicherheit lässt sich in zwei Hauptbereiche
aufgliedern:
funktionale Sicherheit der Daten im Sinne von Vertraulichkeit,
Integrität und Verarbeitungsfähigkeit („Security“)
technische Sicherheit der Systeme gegen Ausfall, Datenverlust und
sonstige Ereignisse, die eine korrekte Datenverarbeitung behindern
(„
Safety“)
In einem weiter gefassten Begriff kann die gesamte IT‐Sicherheit hierbei im
Fokus der Betrachtung liegen, und dies über die gesamten
Verarbeitungssysteme, also mit Berücksichtigung hybrider Nutzung von
eigner IT, privater und öffentlicher Cloud‐Dienste.
Oftmals erfolgt der Nachweis der technischen Sicherheit mittels
sogenannter ISMS (Information Security Management Systems), die dann
auch zertifizierbar sind, z.B. durch eine ISO‐27001‐Prüfung.
Ein weiterer Prüfansatz zur funktionalen Sicherheit ist die COBIT®‐Prüfung
(
ESAE 3402, vormals SAS 70 II) für den Nachweis der korrekten
Informationsdarstellung, z.B. auch für die eigenen Bilanzen.
Eine qualitative Aussage zu solchen Nachweisen kann aber erst nach
eingehender Prüfung der Kontrollziele und deren Anwendbarkeit auf die
Prüfanforderungen für Cloud‐Services erbracht werden.
Ein immer weiter um sich greifender Kontrollbereich ist die Cyber Security.
In Zeiten von Malware, DDoS (Distributed Denial of Services), Spyware und
vielem mehr ist sowohl die Verfügbarkeit als auch die Integrität von Daten in
erheblichem Maße gefährdet. Dieses Risiko ist nicht Cloud‐spezifisch,
sondern betrifft alle Bereich der IT‐Verarbeitung bis hin zu den Endgeräten,
über die ein Datenzugriff erfolgt.