Kommentar: SAS-70-Audits
Geheimniskrämerei beim Cloud-Computing schafft Sicherheitsprobleme
Fortsetzung des Artikels von Teil 1
SAS-70-Testat gilt nur für den Überprüfungszeitraum
Auch wenn ein Unternehmen Geschäftprozesse an einen Dienstleister auslagert, bleiben die Anforderungen an das Risikomanagement und das interne Kontrollsystem bestehen. Zum Nachweis der Angemessenheit des internen Kontrollsystems für die ausgelagerten Prozesse dient eben der Prüfungsstandard SAS 70. SAS 70 steht für Statement on Auditing Standards Nr. 70 und beschreibt einen US-Standard. Ein solcher Report bescheinigt, dass ein Unternehmen über ein funktionierendes Kontrollsystem verfügt. Die Ausstellung erfolgt durch einen Wirtschaftsprüfer.
Speziell für Service Organisationen, Rechenzentrumsdienstleister, Application-Service -Provider (ASP) oder Dritt-Lieferanten dient SAS-70 als Bestätigung zur Vorlage beim Auftraggeber. Ein SAS-70-Report ist daher auch für Dienstleistungen erforderlich, die maßgeblichen Einfluss auf das Kontrollumfeld haben. Bei diesen Audit-Maßnahmen wird kontrolliert, dass die Organisation alle Kontroll- und Schutzmaßnahmen ergriffen hat und die zu verarbeitenden Daten nicht durch Dritte beeinträchtigt werden können. Mit anderen Worten, besteht die Aufgabe der Prüfung darin, alle Sicherheitsaspekte einer Service-Organisation bei der Verarbeitung zu kontrollieren und eine mögliche Weitergabe von Kundendaten an Dritte (oder der Zugriff von Dritten auf die Kundendaten) zu beurteilen. Den SAS-70-Report gibt es in zwei Ausprägungen:
- "Type I" ist eine Bescheinigung über die Angemessenheit (Design-Effectiveness) der Kontrollen (Schnappschussaufnahme). Der Auftraggeber kann dadurch nachvollziehen, wie das interne Kontrollsystem des Dienstleisters aufgebaut ist.
- "Type II" beinhaltet den Report I und zusätzlich die Überprüfung der Kontrollen (Testing) in einem definiertem Zeitrahmen (ca. 6 Monate). Durch Type II wird eine Bescheinigung über die Wirksamkeit (Operating-Effectiveness) der Kontrollen erbracht, wie sie durch die SOX-Anforderungen erforderlich ist, und weist zudem die Funktionsfähigkeit nach.
Fatalerweise glauben viele Nutzer, dass ein SAS-70-Testat den aktuellen Sicherheitszustand eines Unternehmens bewertet. Dies entspricht jedoch nicht der Realität. Ein SAS-70-Report testiert nur, dass innerhalb des Überprüfungszeitraums (die vergangenen 6 bis 12 Monate) keine sicherheitsrelevanten Probleme dokumentiert wurden beziehungsweise sollten innerhalb des Bewertungszeitraums Probleme aufgetreten sein, diese ordnungsgemäß behoben wurden. Das Testat sagt jedoch nichts über die sicherheitstechnischen Risiken und eventuellen zukünftigen Probleme aus.
Nach eingehender Prüfung stellen viele Unternehmen fest, dass viele ihrer Daten zu sensiblen für öffentliche Cloud-Services sind. Das Cloud-Computing stellt die traditionellen Vorstellungen zur Datenkontrolle und zur Datensicherheit in Frage. Daher müssen unter Umständen auf nationaler und internationaler Ebene neue Regeln zur Auditierung und zur Prüfung der öffentlichen Cloud-Dienste entwickelt werden. In der Zwischenzeit vermarkten die Cloud-Anbieter weiterhin ihre Dienste und wiegen die Nutzer durch unklare Aussagen in Sicherheit. Will man wasserdichte Verträge mit einem Cloud-Anbieter abschließen, dann muss man heute viel Zeit und viel juristische Kenntnisse mitbringen. Die Fragestellungen zur Sicherheit von Diensten in einer öffentlichen Cloud gehen weit über die bisherigen Grenzen hinweg und können unter Umständen nicht alle gelöst beziehungsweise zufriedenstellend beantwortet werden.
- Geheimniskrämerei beim Cloud-Computing schafft Sicherheitsprobleme
- SAS-70-Testat gilt nur für den Überprüfungszeitraum
Lesen Sie mehr zum Thema
