nach oben

HMD Praxis der Wirtschaftsinformatik

Erschienen in:

22.08.2023 | Schwerpunkt

IT-Sicherheit und Compliance in heterogenen Cloud Umgebungen—Compliance-as-Code als Schlüssel zur Umsetzung regulatorischer Anforderungen

verfasst von: Patrick Lukas Schubert, Bernd Wachter

Erschienen in: HMD Praxis der Wirtschaftsinformatik | Ausgabe 5/2023

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Zusammenfassung

Kaum eine technologische Entwicklung hat sich innerhalb des letzten Jahrzehnts derart disruptiv auf den Bereich der Informationstechnik ausgewirkt wie das Thema Cloud Computing. Besonders da Cloud Computing mittlerweile unstrittig die notwendige Grundlage für Innovation darstellt, transformieren Unternehmen aller Branchen und Größenordnungen ihre IT-Landschaften hin zu Cloud. Eine große Herausforderung für international operierende Unternehmen ist dabei die Umsetzung von Anforderungen der IT-Sicherheit und Compliance. Da sich die Gesetzgebung in Bezug auf die verhältnismäßig junge Technologie regional zum Teil erheblich unterscheidet und darüber hinaus einer hohen Dynamik unterliegt, müssen Unternehmen effektive Mechanismen implementieren, um die Umsetzung, als auch die fortlaufende Einhaltung ihrer Anforderungen sicherzustellen. Hierzu hat die fortgeschrittene Automatisierungstechnik Compliance-as-Code als ein wesentlicher Lösungsbaustein an Bedeutung gewonnen. Gemeinsam mit Konzepten wie dem praxisorientierten Compliant Cloud Computing Framework (C3F) ist es möglich regulatorische Anforderungen auch in heterogenen Cloud-Umgebungen strukturiert und automatisiert zu erfassen und in nachweisbar konforme technologische Lösungen zu überführen. Darüber hinaus spielen die zunehmen mächtigeren Werkzeuge der künstlichen Intelligenz eine Schlüsselrolle, um die Compliance in komplexen Cloud-Landschaften sicherzustellen. Moderne KI-Lösungen eignen sich nicht nur dazu IT-Sicherheits- und Compliance-Verstöße zu identifizieren, sondern auch automatisiert zu beheben. Bei frühzeitiger und konsequenter Betrachtung der Anforderungen, stellen IT-Sicherheit und Compliance keinen Grund gegen den Einsatz von Cloud Computing dar, sondern bieten im Gegenteil das Potenzial diese Disziplinen zu optimieren.

Vorheriger Artikel Digitalisierungsaktivitäten der DAX40-Unternehmen

Nächster Artikel Digitale Cloud und Datensouveränität: Illusion oder Realität?

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

Jetzt informieren

HMD Praxis der Wirtschaftsinformatik

HMD liefert IT-Fach- und Führungskräften Lösungsideen für ihre Probleme, zeigt ihnen Umsetzungsmöglichkeiten auf und informiert sie über Neues in der Wirtschaftsinformatik (WI).

Jetzt informieren

Abdulsalam Y, Hedabou M (2022) Security and privacy in cloud computing: technical review. Future Internet 14:11. https://doi.org/10.3390/fi14010011CrossRef

Adebayo A, Sow D, Bulut M (2022) Automated compliance blueprint optimization with artificial intelligence. arXiv preprint arXiv:2206.11187

Agarwal V, Butler C, Degenaro L, Kumar A, Sailer A, Steinder G (2022) Compliance-as-code for cybersecurity automation in hybrid cloud. In: IEEE 15th International Conference on Cloud Computing (CLOUD), Barcelona, Spain, 2022, S 427–437 https://doi.org/10.1109/CLOUD55607.2022.00066CrossRef

Bundesamt für Sicherheit in der Informationstechnik (2020) Kriterienkatalog Cloud Computing C5. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html. Zugegriffen: 20. Juni 2023

Bundesamt für Sicherheit in der Informationstechnik (2023) IT-Grundschutz – Informationssicherheit mit System. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html. Zugegriffen: 20. Juni 2023

Bundesministerium für Wirtschaft und Klimaschutz (2017) AUDITOR – European cloud service data protection certification. https://www.digitale-technologien.de/DT/Navigation/DE/ProgrammeProjekte/AktuelleStrategischeEinzelprojekte/Auditor/auditor.html. Zugegriffen: 20. Juni 2023

Cloud Security Alliance (2021) Cloud Controls Matrix (CCM). https://cloudsecurityalliance.org/research/cloud-controls-matrix/. Zugegriffen: 20. Juni 2023

Duncan B, Zhao Y (2019) Cloud compliance risks. In: Westerlund M, Duncan B (Hrsg) CLOUD COMPUTING 2019, The Tenth International Conference on Cloud Computing, GRIDs, and Virtualization (Venice, Italy). IARIA

Europäischer Gerichtshof (2014) Vorlage zur Vorabentscheidung – Personenbezogene Daten – Schutz natürlicher Personen bei der Verarbeitung dieser Daten. https://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX:62014CJ0362 (Charta der Grundrechte der Europäischen Union – Art. 7, 8 und 47 – Richtlinie 95/46/EG – Art. 25 und 28 – Übermittlung personenbezogener Daten in Drittländer – Entscheidung 2000/520/EG – Übermittlung personenbezogener Daten in die Vereinigten Staaten – Unangemessenes Schutzniveau – Gültigkeit – Beschwerde einer natürlichen Person, deren Daten aus der Europäischen Union in die Vereinigten Staaten übermittelt wurden – Befugnisse der nationalen Kontrollstellen). Zugegriffen: 20. Juni 2023

Europäischer Gerichtshof (2020) orlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. https://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX:62018CJ0311 (Charta der Grundrechte der Europäischen Union – Art. 7, 8 und 47 – Verordnung (EU) 2016/679 – Art. 2 Abs. 2 – Anwendungsbereich – Übermittlungen personenbezogener Daten zu gewerblichen Zwecken in Drittländer – Art. 45 – Angemessenheitsbeschluss der Kommission – Art. 46 – Datenübermittlung vorbehaltlich geeigneter Garantien – Art. 58 – Befugnisse der Aufsichtsbehörden – Verarbeitung der übermittelten Daten für Zwecke der nationalen Sicherheit durch die Behörden eines Drittlands – Beurteilung der Angemessenheit des im Drittland gebotenen Schutzniveaus – Beschluss 2010/87/EU – Standardschutzklauseln für die Übermittlung personenbezogener Daten in Drittländer – Angemessene Garantien seitens des Verantwortlichen – Gültigkeit – Durchführungsbeschluss (EU) 2016/1250 – Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes – Gültigkeit – Beschwerde einer natürlichen Person, deren Daten aus der Europäischen Union in die Vereinigten Staaten übermittelt wurden). Zugegriffen: 20. Juni 2023

Ferreira R (2022) Policy design in the age of digital adoption. Explore how policyops can drive policy as code adoption in an organization’s digital transformation. Packt, Birmingham

Force J (2022) Assessing security and privacy controls in information systems and organizations. NIST Special Publ 800:53A

Google (2021) Autonomic security operations – 10X transformation of the security operations center. https://services.google.com/fh/files/misc/googlecloud_autonomicsecurityoperations_soc10x.pdf. Zugegriffen: 5. Apr. 2023

Google (2023) Cloud Foundation Toolkit: Best Practice-Vorlagen für den schnellen Einstieg in Google Cloud. https://cloud.google.com/foundation-toolkit. Zugegriffen: 5. Apr. 2023

Hashicorp (2023) Automate infrastructure on any cloud. https://www.hashicorp.com/products/terraform. Zugegriffen: 5. Apr. 2023

Hohpe G (2020) Cloud strategy. A decision-based approach to successful cloud migration

Jäger H, Rieken R (2020) Manipulationssichere Cloud-Infrastrukturen. Nachhaltige Digitalisierung durch Sealed Cloud Security. Springer, WiesbadenCrossRef

Kersten H, Klett G, Reuter J, Schröder K (2019) IT-Sicherheitsmanagement nach der neuen ISO 27001. ISMS, Risiken, Kennziffern, Controls. Springer, Heidelberg

Kingston J (2017) Using artificial intelligence to support compliance with the general data protection regulation. Artif Intell Law 25(4):429–443CrossRef

KPMG (2021) Die Goldenen Zwanziger für die Cloud? In: Cloud-Monitor 2021, S 17

Krcmar H, Eckert C, Roßnagel A, Sunyaev A, Wiesche M (2017) Management sicherer Cloud-Services. Entwicklung und Evaluation dynamischer Zertifikate. Springer, Berlin, Heidelberg, New York

Mather T, Kumaraswamy S, Latif S (2009) Cloud security and privacy. An enterprise perspective on risks and compliance. O’Reilly Media, Sebastopol

Morris K (2021) Infrastructure as code. Dynamic systems for the cloud age. O’Reilly, Sebastopol

NIST (2020) The Open Security Controls Assessment Language (OSCAL): Cybersecurity standards made practical. National Institute of Standards and Technology (NIST). https://www.nist.gov/publications/open-security-controls-assessment-language-oscal-cybersecurity-standards-made-practical. Zugegriffen: 5. Apr. 2023

Potti S (2023) Supercharging security with generative AI, Google Cloud Blog. https://cloud.google.com/blog/products/identity-security/rsa-google-cloud-security-ai-workbench-generative-ai. Zugegriffen: 5. Apr. 2023

Rasiel E (2003) The Mckinsey mind. McGraw-Hill, Delhi

Roßnagel A (2022) Internationaler Datentransfer. Datenschutz Datensich 46(9):545–549CrossRef

Schettgen-Sarcher W, Bachmann S, Schettgen P (2014) Compliance Officer – Das Augsburger Qualifizierungsmodell. Springer, Berlin, Heidelberg, New YorkCrossRef

Stirbu V, Raatikainen M, Röntynen J, Sokolov V, Lehtonen T, Mikkonen T (2022) Toward multiconcern software development with everything as code. IEEE Software. https://doi.org/10.1109/MS.2022.3167481CrossRef

Weil T (2018) Taking compliance to the cloud—Using ISO standards (tools and techniques). IT Prof 23(6):20–30CrossRef

Werner S, Seeger M, Schubert S, Kerschbaum F, Krcmar H (2020) Towards compliance-as-code for cloud computing. In: 2020 IEEE/ACM 13th International Conference on Utility and Cloud Computing (UCC), S 357–362

Wheeler E (2011) Security risk management. Building an information security risk management program from the ground up. Elsevier, Amsterdam

Titel: IT-Sicherheit und Compliance in heterogenen Cloud Umgebungen—Compliance-as-Code als Schlüssel zur Umsetzung regulatorischer Anforderungen
verfasst von: Patrick Lukas Schubert
Bernd Wachter
Publikationsdatum: 22.08.2023
Verlag: Springer Fachmedien Wiesbaden
Erschienen in: HMD Praxis der Wirtschaftsinformatik / Ausgabe 5/2023
Print ISSN: 1436-3011
Elektronische ISSN: 2198-2775
DOI: https://doi.org/10.1365/s40702-023-00995-9

Springer Professional

Zusammenfassung

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Wirtschaft"

Springer Professional "Technik"

HMD Praxis der Wirtschaftsinformatik

Weitere Artikel der Ausgabe 5/2023

Bedeutung und Management von Cloud Computing, Multi-Cloud und Cloud Brokerage in Unternehmen

Cloud Computing

Anforderungen an eine iPaaS Cloud Lösung zum sicheren Betrieb von Gesundheitsdaten in Schweizer Spitälern

Scott W. Ambler, Mark Lines Choose Your WoW! A Disciplined Agile Approach to Optimizing Your Way of Working – Second Edition

Cloud-basierte KI-Anwendungen für Natural Language Processing: Marktüberblick und Vorstellung von typischen Anwendungsfällen für den Mittelstand

Digitalisierungsaktivitäten der DAX40-Unternehmen

Premium Partner