Veröffentlicht am von Axel Dors

Beurteilung von Cloud-Computing durch die Interne Revision

Einleitung

Die Geschäftsprozesse in Unternehmen verändern sich zunehmend dynamischer. Ursachen dafür sind interne und externe Anforderungen aus der Geschäftstätigkeit wie auch regulatorische Vorgaben.

Diese dynamischen Geschäftsprozessveränderungen erfordern auch eine dynamische Unterstützung durch die Informationstechnologie.

Der Einsatz von Cloud-Computing ist eine Möglichkeit, schnell und flexibel auf geänderte Anforderungen an die Informationstechnologie zu reagieren.

Je nach der benötigten Dienstleistung kann die Beschaffung und Nutzung von Cloud-Computing sehr einfach sein. Selbst technisch komplexe Cloud-Computing-Anwendungen wie z.B. Übersetzungsdienstleistungen (Google-Translate) sind heute sind kostenlos und spontan nutzbar.

Allerdings birgt die Nutzung solcher Cloud-Computing-Anwendungen diverse Risiken, u.a.:

  • Verstoß gegen geltendes Recht (z.B. EU-DSGVO, UrhG)
  • Verletzung der Vertraulichkeit (z.B. bei Übersetzung von internen Dokumenten durch Google)
  • Fehlende Datenintegrität / -authentizität (z.B. durch unverschlüsselte Datenübertragung im öffentlichen Internet)
  • Fehlende Verfügbarkeit (z.B. Dienstleister beschließt, kostenlosen Dienst einzustellen)

Ein erster Reflex beim Thema „Prüfung von Cloud-Computing“ ist häufig die Überlegung, wie beim Dienstleister Vorort geprüft werden soll. Nutzt ein Unternehmen Cloud-Dienste von Microsoft, Amazon, SAP oder von einem der großen Internetprovider, wird sich die Antwort auf diese Frage als äußerst schwierig erweisen.

Bei weiterer Überlegung stellt sich dann die Frage, welche internen und externen Anforderungen als Prüfungsmaßstäbe heranzuziehen sind.

Doch bevor diese beiden Fragen beantwortet werden können, ist zu erheben, welche Cloud-Computing-Anwendungen welche Geschäftsprozesse im Unternehmen unterstützen.

Im Folgenden wird skizziert, wie eine Erhebung der Cloud-Computing-Anwendungen erfolgen kann und welche wesentlichen internen und externen Anforderungen durch die Interne Revision bei der Prüfung von Cloud-Computing berücksichtigt sollten.

Erhebung von Cloud-Computing-Anwendungen

Üblicherweise sind die Prüfungskapazitäten der Internen Revision begrenzt. Aus dieser Begrenzung der Kapazitäten ergibt sich die Notwendigkeit, risikoorientiert und effizient die Prüfungsgegenstände zu wählen und zu prüfen (vgl. „Leitfaden zu Grundlagen der IT-Revision“ (pdf | 1.6 MiB) des ISACA Germany Chapter e. V.).

Um eine risikoorientierte Auswahl der zu prüfenden Cloud-Computing-Anwendungen vornehmen zu können, ist es erforderlich, eine Übersicht der vorhandenen Cloud-Computing-Anwendungen zu haben und den Risikogehalt der Cloud-Computing-Anwendungen für die Geschäftsprozesse zu kennen.

Eine Übersicht der vorhandenen Cloud-Computing-Anwendungen zur Prüfungsplanung kann über drei Erhebungsmethoden erstellt werden:

  • per Fragebogen (Selbstauskunft der Anwender)
  • mittels Analyse
    • des IT-Inventars,
    • des Verfahrensverzeichnisses des Datenschutzbeauftragten,
    • des Vertragsverzeichnisses (Übersicht von Beschaffungen)
  • im Rahmen von Prozessanalysen

Fragebogen (Selbstauskunft der Anwender)

Strukturierte Fragebögen eignen sich, um als Interne Revision einen ersten Überblick über Cloud-Computing-Anwendungen zu gewinnen und die Anwender von Cloud-Computing-Anwendungen bezüglich Anforderungen und Risiken bei deren Einsatz zu sensibilisieren.

Allerdings kann eine Erhebung von Cloud-Clomputing-Anwendungen mittels Fragebogen kein Anspruch auf Vollständigkeit und Richtigkeit erhoben werden, so dass Fragebögen in der Regel nur als Einstieg in die Prüfung von Cloud-Computing sinnvoll sind. Die gewonnene Erfahrungen aus der Analyse solcher Fragebögen dient dann der weiteren Erhebung und Prüfung von Cloud-Computing im Unternehmen.

Der Fragebogen sollte unter anderem folgende Themengebiete adressieren:

  • Beschaffung und Vertrag
  • Providersteuerung und -überwachung
  • Datenschutz
  • Rechnungslegung
  • Informationssicherheit
  • Fachprozessintegration inkl. Risikogehalt

Welche Prüfungsfragen zu diesen Themengebieten gehören können, führe ich im weiteren Verlauf dieses Artikels aus.

Analyse von Verzeichnissen

In der Regel stehen im Unternehmen diverse Verzeichnisse für unterschiedliche Aufgaben zur Verfügung, in denen vorhandene Cloud-Computing-Anwendungen aufgeführt sein können.

Unternehmen mit einer gut strukturierten und dokumentierten Informationstechnik verfügen über Applikationslandkarten, CMDB (configuration management database) oder ähnlicher Übersichten der eingesetzten Informationstechnik. Solange Cloud-Computing-Anwendungen durch die zentrale IT-Abteilung beschafft und betreut werden, dürften die IT-Inventare Cloud-Computing-Anwendungen auch umfassen. Problematisch sind aber durch die Buisinessbereiche selbst angeschaffte oder einfach kostenlos genutzte Cloud-Computing-Anwendungen. Hierüber hat die IT-Abteilung im Unternehmen in der Regel keine Kenntnis.

Der Datenschutzbeauftragte eines Unternehmens hat nach der EU-DSGVO ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen. Die meisten Cloud-Computing-Anwendungen dürften in irgendeiner Form auch personenbezogene Daten verarbeiten, so dass diese prinzipiell im „Verzeichnis von Verarbeitungstätigkeiten“ genannt sein müssten. Allerdings ist auch hier keine Vollständigkeit garantiert.

Bei kostenpflichtige Cloud-Computing-Anwendungen existieren Bestellvorgänge oder sogar langfristige Verträge. Welche Dienstleistungs-Verträge ein Unternehmen abgeschlossen hat, sollte in einem Vertragsregister festgehalten werden, um eine angemessene kaufmännische und operative Steuerung dieser Verträge gewährleisten zu können. Die Analyse der Bestellvorgänge und der vorhandenen Verträge kann somit zur Erhebung der vorhandenen Cloud-Computing-Anwendungen dienen. Hierbei ergeben sich je nach Datenqualität der Beschaffungsdaten Schwierigkeiten bei der Identifikation von Cloud-Computing-Dienstleistungen. So ist nicht immer eindeutig erkennbar, dass es sich um Cloud-Computing handelt, wenn zum Beispiel der Vertrag über „Unterstützung und Beratung bei der Personalentwicklung“ abgeschlossen wird und ein Online-Assessment auf den Servern des Dienstleisters dazugehört. Kostenlose Cloud-Computing-Anwendungen werden in der Regel nicht über Bestellvorgänge oder Verträge im Unternehmen dokumentiert.

Prozessanalysen

Die sicherste Methode, Cloud-Computing-Anwendungen zu identifizieren, ist die Prozessanalyse vor Ort beim Anwender. Hierbei sollten Fach- und IT-Prüfer gemeinsam in Interviews den jeweiligen Prozess mit Anwender Schritt für Schritt vor Ort beim Anwender durchsprechen.

Wichtig ist, dass hierbei der tatsächlich durchzuführende Prozess und nicht der dokumentierte Prozess analysiert wird. Aus Sicht der IT-Prüfer ist bei jedem Prozessschritt zu hinterfragen, welche Informationstechnik diesen Schritt unterstützt.

Für die Bewertung der IT-Unterstützung von einzelnen fachlichen Prozessen ist diese Methode gut geeignet. Für eine Gesamtaussage zur IT-Unterstützung des Unternehmens mittels Cloud-Computing-Anwendungen müssten alle wesentlichen Prozesse bereits auf diese Weise in einem angemessenen Zeitraum untersucht worden sein. Da Cloud-Computing-Anwendungen in einem dynamischen Umfeld eingesetzt werden, ist auch die Bewertung des Einsatzes dieser Anwendungen nur von begrenzter Gültigkeit. Hierdurch erschwert sich die Bildung von Gesamtaussagen mittels Prozessanalysen.

Externe Anforderungen

Externe Anforderungen dienen zweierlei als Prüfungsmaßstäbe.

Erstens dienen Sie zur Beurteilung der internen Anforderungen und zweitens zur Beurteilung des jeweiligen Prüfungsgegenstandes.

Bei den externen Anforderungen sind zwischen normativen Anforderungen, wie z.B. Gesetze, Verordnungen, amtlichen Rundschreiben, und Standards, wie z.B. die ISO 270xx – Reihe zur Informationssicherheit, zu unterscheiden.

Normative Anforderungen

Die normativen Anforderung an Cloud-Computing-Anwendungen unterscheiden sich im Wesentlichen nicht von Anforderungen an andere Anwendungen.

Wesentliche Themengebiete sind hier:

  • Rechnungslegung (HGB, AO, GoBD)
  • Datenschutz (DSGVO, BDSG)
  • Weitere Schutzrechte (UrhG, TMG)

Darüber hinaus gibt es branchenspezifische Normen, die Einfluss auf den Einsatz von Cloud-Computing-Anwendungen haben. Insbesondere in Finanzwirtschaft hat die Bundesanstalt für Finanzaufsicht (BaFin) mit den BAIT und die European Banking Authority (EBA) mit den „Recommendations on Cloud Outsourcing“ im März 2018 externe Anforderung formuliert, die speziell auf Cloud-Computing eingehen.

Mit der DSGVO und dem EBA-Papier ist erkennbar, dass gerade im Bereich Cloud-Computing auch europäisches Recht eine wichtige Rolle spielt. International tätige Unternehmen haben neben deutschem und europäischem Recht je nach Betriebs- und Einsatzort der Cloud-Computing-Anwendung weitere nationale normative Anforderungen anderer Länder zu berücksichtigen.

Standards

Zur Informationssicherheit bietet die ISO 270xx – Reihe mit ISO 27017 und ISO 27018 zwei speziell auf Cloud-Computing ausgelegte Normen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit „Anforderungskatalog Cloud-Computing (C5)“ ein Papier herausgegeben, in dem es „seine derzeitige Sichtweise“ zu Anforderungen an Cloud-Computing darlegt. In den 17 Anforderungsbereichen werden im Wesentlichen die Anforderungen aus ISO 27001 aufgenommen und konkretisiert.

Das ISACA Germany Chapter e. V. hat einen Leitleitfaden zum BSI-C5 herausgegeben:
Leitfaden „Anwendung des BSI C5 durch Interne Revision und Informationssicherheit“

Mit den „Grundsätzen ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Prozessen und Funktionen einschließlich Cloud Computing (IDW FAIT 5)“ wird den Wirtschaftsprüfern ein Regelwerk zur Verfügung gestellt, das ebenfalls auf Cloud-Computing eingeht.

Darüber hinaus existieren zu Cloud-Computing eine Vielzahl von Veröffentlichungen durch die BITCOM, das BSI und von ISACA, die gute Ansätze für die Beschaffung, den Betrieb/Einsatz und die Nutzungsbeendigung beschreiben.

Interne Anforderung

Unternehmensinterne Anforderungen an Cloud-Computing leiten sich nicht nur aus den jeweiligen Businessprozessanforderungen ab, sondern auch aus übergeordneten Unternehmensregelwerken, wie zum Beispiel die Unternehmensstrategie.

Abbildung 1

Abbildung 1 zeigte die Hierarchie unternehmensinterner Regelungen. An der Spitze steht die Unternehmensstrategie, aus der sich die IT-Strategie ableitet. Zur Steuerung und Überwachung der Strategieausrichtung des Unternehmens dienen allgemeine Organisationsrichtlinien. Die Managementregelungen definieren die operativen Betriebsprozesse.

Je nach Prüfungsfokus, dienen die jeweiligen Regelungen als Prüfungsmaßstäbe.

Wird erstmalig Cloud-Computing im Unternehmen geprüft, sollte geprüft werden, ob die darunter liegenden Regelungsebenen im Bezug auf Cloud-Computing die Anforderungen aus der Unternehmensstrategie angemessen unterstützen. Ist dies der Fall, kann bei der Prüfung einzelner Cloud-Computing-Anwendungen auf auf die Regelungen aller Ebenenals Prüfungsmaßstab zurückgegriffen werden.

Risikogehalt

Aus Sicht der IT-Prüfer ist bei jedem Schritt zu hinterfragen, welche Informationstechnik diesen Schritt unterstützt und welche Risiken und Anforderungen bezüglich Vertraulichkeit, Integrität und Verfügbarkeit aus Sicht des Anwenders und aus Sicht des Fachprüfers an die jeweilige Informationstechnik vorhanden sind.

Mögliche Risiken aus Sicht der Internen Revision sind:

Fehlende / unzureichende

  • Strategieunterstützung (Unternehmen / IT)
  • Businessprozess-Unterstützung
  • Sicherheit und Kontrollhoheit über die Daten
  • Verfügbarkeit und Performanz
  • Rückführbarkeit / Regelungen bei Vertragsbeendigung
  • Integrationsfähigkeit
  • Rechtssicherheit (Gerichtsstand, geltendes Recht, Datenschutz, …)
  • Leistungsbeschreibungen und Service Level Agreements
  • Kontrollprozesse (Service-Reporting, Audit-Rechte)
  • Vertragsgestaltung (u.a. Gewährleistung und Haftung)
  • Notfall-Management

Welche Risiken in welchem Umfang zu berücksichtigen sind, hängt zum einen vom Risikogehalt des fachlichen Prozesses und zum anderen aber auch von Umfang und Art der Cloud-Computing-Anwendung ab.

Umfang und Art der Cloud-Computing-Anwendung

Beim Einsatz von Cloud-Computing sollte die fachlichen und technischen Anforderungen des zu unterstützenden (Geschäfts-) Prozess nachvollziehbar dokumentiert sein. Dabei sollten neben den funktionalen Anforderungen (zur eigentliche Datenverarbeitung) auch nicht funktionale fachliche Anforderungen (z.B. aus der Informationssicherheit) berücksichtigt worden sein. Für einen Prüfer sollte nachvollziehbar sein, welche Risiken sich aus dem fachlichen Prozess beim Einsatz von Cloud-Computing ergeben und durch welche Maßnahmen diese mitigiert wurden.

Abildung 2: Umfang der Cloud-Comuting-Anwendug

Abhängig vom Umfang der eingesetzten Cloud-Computing-Anwendung (von „Infrastructure as a Service (IaaS) über „Platform as a Service“ (PaaS) bis hin zu „Software as a Service“ (SaaS)) erweitern sich die Risiken von reinen IT-Betriebsrisiken zu Businessprozess-Risiken.

Abbildung 3: Art der Cloud-Computing-Anwendung

Daneben bestimmt aber auch die Art (von „Private-Cloud“ über Mischformen bis „Public-Cloud“) der eingesetzten Cloud-Computing-Anwendung das Risiko insbesondere zu dem Schutzbedarfsziel Vertraulichkeit.

Darüber hinaus existieren unterschiedliche Risiken durch die Art der Vertragsgestaltung und des Bezahlmodells. So haben kostenlose Cloud-Computing-Anwendungen in der Regel keine Verfügbarkeits- und Wartungsgarantie. Pay-per-use-Modelle können Budget-Risiken mit sich bringen.

Fazit

Bereits die Erhebung von Cloud-Computing stellt für die Interne Revision eine Herausforderung da, weil nur das Zusammenspiel von Befragungen, Analyse von Verzeichnissen und die Prozessanalyse ein weitestgehend vollständigen Überblick über eingesetzte Cloud-Computing-Anwendungen gibt.