Der vollständige Name des Abschnitts lautet: „Verständnis des Auditprozesses, der Methoden und der erforderlichen Anpassungen für eine Cloud-Umgebung”.
Interne und externe Auditkontrollen
Das grundlegende Instrument zur Überprüfung von Sicherheits- und Compliance-Anforderungen in Cloud-Umgebungen sind Cloud-Audits. Da sich Cloud-Strukturen grundlegend von klassischen On-Premise-Infrastrukturen unterscheiden, bringen Audits in diesem Umfeld besondere Herausforderungen mit sich.
Grundsätzlich unterscheidet man zwei Auditarten:
Interne Audits werden vom Unternehmen selbst durchgeführt, um die eigene Infrastruktur, Prozesse und Kontrollen regelmäßig zu überprüfen.
Externe Audits werden hingegen von unabhängigen Dritten durchgeführt. Sie sind für Cloud-Provider besonders wichtig, da Kunden in der Regel keinen direkten Einblick in die Infrastruktur des Providers haben. Ein externer Prüfbericht schafft hier Vertrauen und Transparenz.
Auswirkungen der Audit-Anforderungen
Die Cloud-Audits dienen dazu, die Wirksamkeit von Sicherheitskontrollen zu bewerten und die Einhaltung gesetzlicher, regulatorischer sowie vertraglicher Verpflichtungen festzustellen.
Auswirkungen auf den Cloud-Provider:
- CSP muss regelmäßig externe Audits durchführen lassen und die Ergebnisse in Form von Berichten (SOC 2, ISO 27001) bereitstellen.
- CSP hat nur eingeschränkt die Möglichkeit, jedem Kunden individuelle Audits zu gewähren; stattdessen werden nur standardisierte Berichte bereitgestellt.
Auswirkungen auf den Cloud-Kunden:
- Der Kunden haben eingeschränktes „Right to Audit“. Der Kunde kann den Provider meist nicht direkt prüfen, sondern muss sich auf Drittberichte verlassen.
- Der Kunden muss aber trotzdem die eigene Compliance nachweisen, obwohl Teile der Infrastruktur beim Provider liegen.
Herausforderungen von Virtualisierung und Cloud
Das Shared-Responsibility-Modell erschwert Audits in mehrfacher Hinsicht: Die Verantwortung für die physische Sicherheit sowie für die Virtualisierungstechnologien liegt beim CSP – Bereiche, in die Kunden kaum Einblick erhalten. Daher müssen sie sich auf Auditberichte und Zertifikate des CSP verlassen, um sicherzustellen, dass Sicherheits- und Compliance-Anforderungen erfüllt sind.
Arten von Prüfungsberichten (Audit Reports)
Es gibt mehrere etablierte Prüfungsberichte, wobei die SOC-Berichte (System and Organization Controls, veraltet Service Organization Control), herausgegeben vom American Institute of Certified Public Accountants (AICPA), besonders verbreitet sind.
SOC 1, SOC 2 (Type 1 und 2), SOC 3
SOC-Berichte dienen der Bewertung von Kontrollen bei Dienstleistungs-unternehmen, nicht nur im IT-Bereich.
SOC 1 – ein Finanzbericht zur Bewertung interner Kontrollen, die für Finanzprüfungen relevant sind.
SOC 2 – fokussiert auf klassische IT-Security-Themen: Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz. Er bewertet technische und organisatorische Kontrollen für Informationssysteme und existiert in zwei Varianten:
Typ 1 – Momentaufnahme zu einem bestimmten Zeitpunkt (z. B. Systemstatus an einem bestimmten Datum).
Typ 2 – bewertet Kontrollen über einen längeren Zeitraum (meist 6–12 Monate) und hat daher eine höhere Aussagekraft.
SOC 3 – behandelt dieselben Themen wie SOC 2, ist jedoch öffentlich zugänglich, da er keine vertraulichen Informationen enthält. Im Grunde genommen ist SOC 3 die Kurzform von SOC 2.
SSAE, ISAE
Der SSAE (Statement on Standards for Attestation Engagements) ist ein US-amerikanischer Prüfungsstandard der gleichen Organisation (AICPA), der die methodischen Grundlagen für die Durchführung von SOC-Audits definiert. SOC-Berichte basieren technisch auf diesem Standard.
Der ISAE (International Standard on Assurance Engagements) ist ein weiteres Regelwerk, das als internationales Pendant zum SSAE gilt und vom IAASB (International Auditing and Assurance Standards Board) herausgegeben wird. Es wird außerhalb der USA verwendet und dient als Grundlage für vergleichbare Prüfungsberichte im internationalen Kontext.
Im oberen Kontext ist auch der Begriff „Restrictions of Audit Scope” (Beschränkungen des Prüfungsumfangs) erwähnenswert. Damit ist gemeint, dass eine Prüfung nicht immer die gesamte Infrastruktur eines CSPs abdeckt. So kann sich ein Bericht beispielsweise nur auf bestimmte Rechenzentren, Dienste oder Regionen beziehen, wobei die anderen Bereiche explizit ausgeschlossen sind.
Gap Analysis
Die Gap Analysis ist eine Bewertungsmethode, bei der die Differenz zwischen dem aktuellen Ist-Zustand und dem gewünschten Soll-Zustand identifiziert wird. Oft wird sie nicht als vollwertiges Audit betrachtet, sondern als dessen Vorbereitung.
Typische Vorgehensweise:
- Management-Support sichern – ohne Unterstützung der Führungsebene kann kein wirksamer Auditprozess stattfinden. Dies gilt übrigens nicht nur für die Gap Analysis, sondern für jeden Auditprozess.
- Scope und Zielsetzung definieren – festlegen, welche Systeme, Prozesse und Standorte untersucht werden.
- Ist-Zustand erheben – durch Interviews, Dokumentenprüfungen sowie Analyse technischer und organisatorischer Kontrollen.
- Lücken identifizieren – Abgleich des Ist-Zustands mit den Anforderungen relevanter Standards oder gesetzlicher Vorgaben.
- Erstellung eines Gap-Reports – am Ende wird ein Dokument erstellt,
- das aufzeigt, wo Nachbesserungen erforderlich sind
- und wie diese mit den Risikomanagement- und Unternehmenszielen in Einklang gebracht werden können.
- Remediation-Maßnahmen empfehlen – Ableitung konkreter Korrektur- und Präventionsstrategien.