Zum Inhalt
ISMS.online

ISO 27001 A.5.23 – Sichere Cloud-Nutzung für iGaming- und Sportwetten-Technologie

Cloud-Technologie revolutioniert iGaming- und Sportwettenplattformen, doch mit der Geschwindigkeit gehen Komplexität und neue regulatorische Risiken einher. ISO 27001 A.5.23 gewährleistet, dass Ihre Cloud-Dienste evidenzbasiert ausgewählt, verwaltet und außer Betrieb genommen werden – und verknüpft Spielerdaten, Spielintegrität und Compliance in einem Prozess, dem die Aufsichtsbehörden vertrauen. Effektive Governance bedeutet heute sicherere Abläufe und einen besseren Ruf.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Von On-Premise-Casino-Käfigen zur Public Cloud: Warum A.5.23 jetzt wichtig ist

ISO 27001 A.5.23 ist für iGaming- und Sportwettenanbieter relevant, da sie die Auswahl, den Betrieb und die Beendigung von Cloud-Diensten, die reguliertes Glücksspiel ermöglichen, regelt. Können diese Entscheidungen dokumentiert werden, ist die Wahrscheinlichkeit deutlich geringer, dass routinemäßige Technologieänderungen bei kritischen Fragen von Aufsichtsbehörden, Prüfern oder Partnern zu Problemen hinsichtlich Lizenz, Umsatz oder Spielerschutz führen.

Die Public Cloud hat iGaming- und Sportwettenplattformen in schnelllebige, global verteilte Systeme verwandelt, aber gleichzeitig die Verantwortlichkeit im Fehlerfall verwischt. Für einen lizenzierten Betreiber birgt dieser Verlust an Transparenz das Risiko, dass aus Technologierisiken schnell Lizenzrisiken, Reputationsschäden und Gefährdungen des Spielerschutzes werden.

Die Einführung von Cloud-Lösungen im Glücksspielbereich beginnt selten bei null. Viele Betreiber sind aus On-Premise- oder Colocation-Rechenzentren hervorgegangen, die sich wie moderne Versionen von Casino-Kassen anfühlten: streng kontrollierte Räume, bekannte Racks, sichtbare Hardware und das starke Gefühl, dass „alles Wichtige unter unserem Dach ist“. Wenn Workloads auf flexible, mandantenfähige Infrastrukturen verlagert werden, entsprechen diese mentalen Modelle nicht mehr der Realität, obwohl die Regulierungsbehörden weiterhin den gleichen oder sogar einen höheren Kontrollstandard erwarten.

Aus Sicht der Regulierungsbehörden ist diese Diskrepanz gefährlich. Von Ihnen als Lizenznehmer wird weiterhin erwartet, dass Sie wissen, wo Spielerdaten gespeichert sind, wer Quoten einsehen oder ändern kann, was bei einem Ausfall geschieht und wie Sie die Integrität des Spiels gewährleisten. Aufsichtsbehörden in verschiedenen Ländern erwarten zunehmend, dass Sie diese Antworten durch anerkannte Rahmenwerke wie ISO 27001 und durch eindeutige Nachweise für Cloud-Governance untermauern, nicht nur durch Zusicherungen.

Die Cloud hilft nur dann, wenn Ihre Kontrolle genauso klar ist wie Ihre Geschwindigkeit.

Die hier bereitgestellten Informationen sind allgemeiner Natur und stellen keine Rechts- oder Regulierungsberatung dar. Für Entscheidungen in den Bereichen Lizenzierung, Datenschutz oder Glücksspielregulierung sollten Sie sich von qualifizierten Fachleuten beraten lassen.

In diesem Kontext führt ISO 27001:2022 den Anhang A, Kontrollpunkt 5.23 „Informationssicherheit bei der Nutzung von Cloud-Diensten“, ein. Vereinfacht ausgedrückt besagt A.5.23, dass Sie über einen definierten und wiederholbaren Prozess verfügen müssen, um Cloud-Dienste sicher auszuwählen, zu betreiben und zu beenden – entsprechend Ihren Informationssicherheitsanforderungen und Ihrer Risikobereitschaft. Für iGaming- und Sportwettenanbieter ist die Cloud nicht länger ein Randaspekt des allgemeinen Outsourcings; sie ist ein zentrales Governance-Thema, das neben bekannteren Themen wie Geldwäschebekämpfung, Fairness und verantwortungsvollem Spielen relevant ist.

Wie die Cloud das Risikoprofil für Glücksspielbetreiber verändert hat

Die Cloud verändert Ihr Risikoprofil, da sie Skalierbarkeit und Geschwindigkeit erhöht, gleichzeitig aber Ihre Abhängigkeit von Plattformen und Diensten verstärkt, die Ihnen nicht gehören. Sie können schneller in neue Märkte eintreten und Funktionen zügig einführen, doch ohne gezielte Steuerung setzen Sie regulierte Workloads Fehlkonfigurationen, Konzentrationsrisiken und intransparentem Lieferantenverhalten aus, was den Marktschutz und die Integrität des Marktes gefährden kann.

Für einen Anbieter von Echtgeld-Glücksspielen und Sportwetten hat dies ganz konkrete Auswirkungen. Der typische Ablauf eines Spielers umfasst Registrierung, KYC-Prüfungen, Einzahlungen, Live-Wetten, Aktionen, Auszahlungen und gegebenenfalls Streitbeilegungen. Hinter jedem dieser Schritte stehen Cloud-Dienste wie Identitätsanbieter, Tools zur Dokumentenverifizierung, Risiko- und Handelssysteme, Data Warehouses, Marketingplattformen, Zahlungsportale und Protokollierungssysteme. Eine mangelhafte Steuerung dieser Dienste kann die Einhaltung der Verpflichtungen in Bezug auf Spielerschutz, Geldwäschebekämpfung, Spielfairness und Datenschutz gefährden.

Aus Sicht der Aufsichtsbehörden liegt die gesamte Lieferkette weiterhin in Ihrer Verantwortung, selbst wenn ein Großteil davon auf der Infrastruktur eines anderen Anbieters läuft. Die Aussage „Unser Cloud-Anbieter hatte ein Problem“ ist im Fehlerfall keine akzeptable Erklärung, es sei denn, Sie können nachweisen, dass Sie diesen Anbieter diszipliniert und risikobasiert ausgewählt, vertraglich gebunden, überwacht und gegebenenfalls die Zusammenarbeit beendet haben.

Eine einfache Möglichkeit, dies zu veranschaulichen, besteht darin, den Spielerpfad den wichtigsten Cloud-Diensten zuzuordnen, die er nutzt, und zu markieren, wo sich Daten, Quoten oder Geldwerte ändern können. Dieses Bild offenbart oft mehr Abhängigkeiten, Zuständigkeiten und Anbieter, als man auf den ersten Blick vermuten würde, und verdeutlicht, warum A.5.23 heute genauso wichtig ist wie die Kernfunktionen Ihres Spiels und Ihrer Handelssteuerung.

Kontakt


Was ISO 27001:2022 A.5.23 tatsächlich für die Cloud verlangt

ISO 27001 A.5.23 fordert einen klar definierten Lebenszyklus für jeden wichtigen Cloud-Dienst: von der Ermittlung und Bewertung über die Vertragsgestaltung und das Design bis hin zur Implementierung, Überwachung und Beendigung. Für iGaming- und Sportwettenanbieter bedeutet dies den Übergang von isolierten technischen Entscheidungen zu einem integrierten Governance-Prozess, der jederzeit nachvollziehbar und belegbar ist.

Im Standard ist A.5.23 in Anhang A unter den organisatorischen Kontrollmaßnahmen zu finden. Die Formulierung ist prägnant, aber aussagekräftig: Sie müssen definieren, wie Sie Cloud-Dienste einführen, betreiben und wieder entfernen, und zwar so, dass die damit verbundenen Risiken beherrscht werden. Alle weiteren Kontrollmaßnahmen leiten sich von diesem Lebenszykluskonzept ab.

Vereinfacht ausgedrückt kann ein nach A.5.23 konformer Betreiber jederzeit fünf Fragen für jeden wichtigen Cloud-Dienst beantworten:

  1. Warum haben wir es eingeführt und welche Sorgfaltsprüfung haben wir durchgeführt?
  2. Welche Anforderungen haben wir im Vertrag und in den Service-Level-Agreements (SLAs) festgelegt?
  3. Wie ist es konfiguriert und überwacht, um unsere Sicherheits- und regulatorischen Anforderungen zu erfüllen?
  4. Wer überprüft die Leistung und die Risiken im Zeitverlauf?
  5. Wie könnten wir es gegebenenfalls sicher migrieren oder beenden?

Die Beantwortung dieser Fragen ist nicht nur eine ISO-Prüfung. Sie untermauert auch die Darstellung, die Sie gegenüber Glücksspielbehörden, Banken, Zahlungsdienstleistern und Partnern hinsichtlich der Stabilität Ihrer Cloud-Strategie und der Ernsthaftigkeit Ihrer Lieferantenüberwachung präsentieren.

Aufschlüsselung von A.5.23 in einen praktischen Lebenszyklus

A.5.23 lässt sich leichter handhaben, wenn Sie die Cloud-Nutzung als strukturierten Lebenszyklus betrachten, der die Entstehung und Entwicklung von Diensten in Ihrer Umgebung widerspiegelt. In der Praxis bedeutet dieser Lebenszyklus, dass Sie Dienste ermitteln und bewerten, sie entwerfen und vertraglich vereinbaren, sie implementieren und konfigurieren, sie betreiben und überprüfen und sie bei Bedarf kontrolliert beenden oder migrieren. In späteren Abschnitten wird dieses Muster in einen konkreten, speziell auf die Glücksspielbranche zugeschnittenen Leitfaden umgewandelt.

Damit dieser Ansatz funktioniert, sollten Sie definieren, welche Dienste in den Anwendungsbereich fallen (z. B. solche, die Spielerdaten, Wettentscheidungen oder die operative Überwachung verarbeiten), wie diese in den Lebenszyklus einfließen und wie Sie nachweisen, dass jede Phase eingehalten wurde. Dieser Nachweis ist das, worauf Prüfer und Aufsichtsbehörden achten, wenn A.5.23 Anwendung findet.

Wie A.5.23 mit anderen Verpflichtungen gemäß ISO 27001 und Glücksspiel zusammenhängt

A.5.23 steht nicht für sich allein; sie dient als Brücke zwischen Cloud-Entscheidungen und Ihren weitergehenden Verpflichtungen gemäß ISO 27001 und den Glücksspielbestimmungen. Das Verständnis dieser Zusammenhänge hilft Ihnen, die Cloud nicht als Nebenthema zu behandeln, sondern sie in Ihre zentrale Risiko- und Compliance-Strategie zu integrieren.

Insbesondere interagiert A.5.23 mit:

  • Kontrollmechanismen für die Lieferantenbeziehung (A.5.19–A.5.22): Diese Richtlinien legen fest, wie Sie Lieferanten auswählen, überwachen und gegebenenfalls austauschen. Cloud-Anbieter und kritische SaaS-Plattformen sind besonders einflussreiche Lieferanten, bei denen diese Prinzipien besonders streng angewendet werden müssen.
  • Zugangskontrolle und Betriebskontrollen: ISO 27002 ordnet diese Kategorien Identität, Zugriff, Betrieb und Änderung zu. In der Cloud müssen sie auf Identitäten, Rollen, Schlüssel, Netzwerke, Container und serverlose Workloads angewendet werden, nicht nur auf herkömmliche Server.
  • Datenschutz- und Datensicherheitsrahmen: Die DSGVO, lokale Datenschutzgesetze und die Vorschriften der Glücksspielbehörden zu Spielerdatensätzen und Transaktionsprotokollen schränken die Art und Weise der Datenverarbeitung ein. A.5.23 verknüpft Ihre Cloud-Entscheidungen durch Risikobewertungen, Architekturstandards und dokumentierte Datenstandortentscheidungen mit diesen Einschränkungen.

Stellen Sie sich A.5.23 im Zentrum eines einfachen Diagramms vor, mit Lieferanten, Zugriffskontrollen und Datenschutz an drei Seiten. Jede Cloud-Entscheidung sollte diese Aspekte miteinander verbinden, sodass Sie nicht nur die Funktionsweise der Technologie erläutern können, sondern auch, wie sie Ihre Lizenzbedingungen und Spielerschutzpflichten unterstützt. Die Verwendung einer Informationssicherheitsmanagement-Plattform (ISMS) wie ISMS.online kann die Pflege dieser Verbindungen vereinfachen, da Risiken, Lieferanten, Richtlinien und Nachweise in einer einheitlichen Umgebung verwaltet werden.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Übersetzung von A.5.23 in „Gemeinsame Verantwortung für IaaS, PaaS und SaaS“

A.5.23 verlangt von Ihnen, vage Zusicherungen bezüglich einer „sicheren Cloud“ in konkrete Aussagen darüber umzuwandeln, wer auf jeder Ebene jedes von Ihnen genutzten Cloud-Dienstes wofür verantwortlich ist. In iGaming- und Sportwettenumgebungen bedeutet dies, die Verantwortlichkeiten für Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) für Workloads, die Quoten, Wallets, Boni und Spielerdaten betreffen, explizit zuzuordnen.

In der Cloud ist die Aussage „Wir sind sicher“ bedeutungslos, solange nicht klar ist, wer wofür verantwortlich ist. Der Grundgedanke der geteilten Verantwortung ist einfach: Cloud-Anbieter sichern Teile der Infrastruktur, aber nicht die gesamte. Die genaue Aufteilung hängt vom jeweiligen Modell und dem betreffenden Dienst ab. A.5.23 fordert Sie auf, diese Aufteilung entsprechend Ihrem Risiko- und Regulierungsprofil zu dokumentieren und zu verwalten, anstatt sich auf Anbieterzertifizierungen zu verlassen.

Für einen iGaming- oder Sportwettenanbieter geht es bei geteilter Verantwortung nicht nur um technisches Know-how. Es geht darum sicherzustellen, dass bei allen Arbeitsabläufen, die Spielergelder, Quoten, Boni oder Entscheidungen zur Bekämpfung von Geldwäsche betreffen, eindeutig geklärt ist, wer was konfiguriert, wer was überwacht und wer sich im Fehlerfall gegenüber der Aufsichtsbehörde verantworten muss.

Entwicklung eines Modells für geteilte Verantwortung, das zu Ihren Arbeitslasten passt.

Ein gutes Modell der geteilten Verantwortung bietet Ihnen und Ihren Anbietern einen einheitlichen und eindeutigen Überblick darüber, wer für welche sensiblen Aufgaben zuständig ist. Dies beginnt mit klaren Kategorien (IaaS, PaaS, SaaS), wird aber erst dann sinnvoll, wenn Sie diese Kategorien den tatsächlichen Diensten zuordnen, die Ihre Glücksspielaktivitäten betreiben, und die jeweilige Aufgabenverteilung dokumentieren.

Ein praktischer Ansatz besteht darin, für jede wichtige Arbeitslastkategorie eine Matrix der geteilten Verantwortlichkeiten zu erstellen. Zum Beispiel:

  • Spielerkonto- und Wallet-Dienste: – Es soll klargestellt werden, wer Betriebssysteme härtet, Firewall-Regeln oder Sicherheitsgruppen einrichtet, IAM-Rollen definiert und überprüft, die Datenbankverschlüsselung konfiguriert und Anmelde-, Einzahlungs- und Auszahlungsereignisse überwacht.
  • Risiko- und Handelssysteme: – Erfassung der Verantwortlichkeiten im Zusammenhang mit Preisfeeds, Cache-Ebenen, Container-Orchestrierung, Konfiguration von Message Queues und der Protokollierung von Quotenänderungen oder manuellen Überschreibungen.
  • Bonus- und Beförderungssysteme: – Definieren Sie, wer für die Logik der Berechtigung und der Beschränkungen verantwortlich ist, wer die Regelbereitstellungsprozesse steuert und wer auf Anomalien und Missbrauchsmuster achtet.
  • KYC-, AML- und Betrugsanalyse: – Legen Sie fest, welche Partei personenbezogene Dokumente aufnimmt und speichert, wer Modellpipelines und Feature-Stores verwaltet und wer für den Zugriff auf Quelldokumente und abgeleitete Risikobewertungen verantwortlich ist.

Eine einfache Vergleichstabelle hilft Ihnen, diese Verantwortlichkeiten in den gängigen Cloud-Modellen klar zu veranschaulichen:

Schicht | Anbieter übernimmt typischerweise die Verarbeitung | Operator muss die Verarbeitung übernehmen
—|—|—
Physisches Rechenzentrum | Stromversorgung, Kühlung, physische Sicherheit | Sorgfältige Prüfung und Standortwahl
Kernplattform | Hypervisoren, verwaltete Datenbanken, Laufzeitumgebungen | Dienstauswahl und sichere Konfiguration
Anwendungen | Zugrundeliegende SaaS-Plattform | Benutzerdefinierte Logik, Geschäftsregeln und Integrationen
Daten | Ausfallsichere Speicheroptionen | Datenqualität, Klassifizierung und Verschlüsselungsschlüssel
Zugriff und Überwachung | Native IAM- und Protokollierungstools | Rollendesign, Benachrichtigungen und Untersuchungen

Für jede Zelle Ihrer eigenen Matrix (zum Beispiel „Netzwerksicherheit für eine Handelscache-Schicht“) sollte das Modell die Verantwortlichkeiten des Anbieters, die Verantwortlichkeiten des Betreibers und die gemeinsamen Aufgaben wie die Untersuchung von Vorfällen oder die forensische Rekonstruktion identifizieren.

A.5.23 ist nur dann erfüllt, wenn es sich bei diesen Modellen nicht um theoretische Präsentationen handelt, sondern um reale Dokumente, die in Verträgen, Designprüfungen, Notfallplänen und Prüfungsunterlagen referenziert werden. Ihre Aktualität ist genauso wichtig wie ihre sorgfältige Gestaltung.

Gemeinsame Verantwortung durch Wandel aufrechterhalten

Modelle geteilter Verantwortung sind nur dann wertvoll, wenn sie sich an die Realität anpassen und sich mit der Weiterentwicklung Ihrer Architektur, Teamstruktur und Lieferantenlandschaft weiterentwickelt. A.5.23 setzt implizit voraus, dass Sie diese Anpassung im Laufe der Zeit aufrechterhalten, nicht nur zu Projektbeginn.

Die Infrastruktur von Sportwettenanbietern verändert sich ständig: Neue Datenlieferanten werden integriert, Cloud-native Datenbanken eingeführt, Datenpipelines umstrukturiert und Teams experimentieren mit neuen Tools und KI-Diensten. Um die Effektivität von A.5.23 aufrechtzuerhalten, sollten Sie Folgendes beachten:

  • Verantwortungsmodelle in die Veränderungssteuerung integrieren: – Machen Sie sie zu obligatorischen Eingaben für die Genehmigung wichtiger Änderungen, die Einbindung von Lieferanten und Architekturprüfungen.
  • Verknüpfen Sie sie mit Identitäts- und Zugriffsmanagement: – Stellen Sie sicher, dass die Rollendefinitionen und Gruppenzuordnungen in Ihren Cloud-Plattformen mit der RACI-Matrix (Verantwortlich, Rechenschaftspflichtig, Beratend, Informiert) in Ihren Modellen übereinstimmen.
  • Binden Sie sie in die Reaktion auf Vorfälle ein: – Wenn Probleme auftreten, sollten die Einsatzkräfte sofort wissen, welche Verantwortlichkeiten zu übernehmen sind, anstatt mitten im Einsatz über die Zuständigkeit zu streiten.

Hier erweist sich ein strukturiertes Informationssicherheitsmanagementsystem als praktisch und nicht bürokratisch. Indem Sie Verantwortlichkeitsmatrizen neben Risikoregistern, Lieferantendateien und Richtlinien führen, können Sie Prüfern und Aufsichtsbehörden ein einheitliches und zusammenhängendes Bild präsentieren, anstatt verstreuter Dokumente. Dies gilt insbesondere, wenn Sie eine dedizierte ISMS-Plattform wie ISMS.online verwenden, um die Abstimmung aller Daten zu gewährleisten.



Bedrohungen für die iGaming-Cloud: Fehlkonfiguration, Manipulation und regulatorische Schocks

Fehlkonfigurationen in der Cloud gehören zu den häufigsten Gründen, warum ansonsten gut geführte iGaming- und Sportwettenanbieter Vorfälle gegenüber Aufsichtsbehörden erklären müssen. A.5.23 kann zwar nicht jedes Risiko ausschließen, aber ein stabiler Lebenszyklus von Cloud-Diensten reduziert die Wahrscheinlichkeit drastisch, dass fehlerhafte Einstellungen oder eine mangelhafte Integration von Anbietern zu Lizenzproblemen, Schäden für Spieler oder Bedenken hinsichtlich der Marktintegrität führen.

Bei Sportwetten- oder Casino-Plattformen ist Fehlkonfiguration selten ein abstraktes Konzept. Sie kann beispielsweise bedeuten, dass ein Speicherbereich mit KYC-Scans öffentlich zugänglich ist, eine zu permissive Zugriffsrolle Händlern erlaubt, Limits im Produktivbetrieb zu ändern, oder ein Protokollierungssystem Entscheidungen auf Wettebene stillschweigend nicht mehr erfasst. Angreifer suchen zunehmend gezielt nach solchen Schwachstellen, und Regulierungsbehörden behandeln sie als Governance-Versagen und nicht als unglückliche Zufälle.

Das Verständnis der Bedrohungslandschaft ist daher unerlässlich. Es ist eine Grundvoraussetzung für die Gestaltung von A.5.23-Prozessen, die den Fokus auf die wichtigsten Aspekte legen: Cloud-Einstellungen und das Verhalten von Anbietern, die, falls fehlerhaft, den Spielerschutz, die Geldwäschebekämpfung oder die Fairness gefährden würden.

Wo sich Fehlkonfigurationen in der Cloud im iGaming am stärksten auswirken

Fehlkonfigurationen in der Cloud richten dort besonders großen Schaden an, wo sie sensible Daten offenlegen, Integritätskontrollen schwächen oder die Überwachung risikoreicher Aktionen untergraben. Im iGaming betrifft dies häufig die Speicherung von KYC-Dokumenten, Systeme, die Quoten oder Auszahlungen beeinflussen, sowie Dienste, die wichtige Handels- oder Bonusereignisse protokollieren, da diese die Kernanliegen der Regulierungsbehörden direkt berühren.

Einige wenige Fehlkonfigurationsmuster tauchen immer wieder in Untersuchungen und Sanierungsprojekten auf. Die Konzentration auf diese Muster ermöglicht schnelle Erfolge bei der Stärkung der A.5.23-Implementierung und bereitet Sie auf detailliertere regulatorische Fragen zu Cloud und Outsourcing vor.

Häufige Muster mit hoher Auswirkung sind:

  • Öffentliche oder nur schwach kontrollierte Lagerung: – Speicherbereiche oder Objektspeicher für Protokolle, Spielerdokumente oder Zahlungsberichte, die dem Internet ausgesetzt sind oder über unzureichende Berechtigungen verfügen.
  • Überprivilegierte IAM-Rollen und -Schlüssel: – Servicekonten oder Administratoren, denen weitreichende Berechtigungen zur Änderung von Quoten, Bonusregeln, Auszahlungslogik oder kritischer Infrastruktur erteilt wurden.
  • Unsegmentierte Netzwerke und Umgebungen: – Kaum Trennung zwischen Test- und Produktionsumgebungen oder zwischen risikoreichen Arbeitslasten und Dienstleistungen mit geringerem Risiko, was einen Wechsel zwischen den Bereichen erleichtert.
  • Unvollständige oder nicht überwachte Protokollierung: – Wichtige Aktionen, wie z. B. Quotenüberschreibungen oder große Abhebungen, werden nicht in manipulationssicheren Protokollen erfasst oder nicht zentralisiert und überwacht.
  • Schwache Kontrollen über Verbindungen von Drittanbietern: – Integrationen mit Feeds, Spielestudios oder Zahlungsabwicklern, denen ein breiter Zugriff ohne strenge Regeln, Überwachung oder regelmäßige Überprüfung gewährt wird.

Jeder dieser Punkte kann zu Datenlecks, unfairen Vorteilen, unkontrolliertem Bonusmissbrauch, unentdecktem Betrug oder längeren Ausfällen während Spitzenzeiten führen. A.5.23 fordert Sie dazu auf, diese Schwachstellen in Ihrer Umgebung zu identifizieren und die zugrunde liegenden Cloud-Dienste und -Anbieter entsprechend abzusichern.

Eine einfache Heatmap, die Fehlkonfigurationstypen und deren Auswirkungen auf Spielerdaten, Märkte und Lizenzen darstellt, hilft Ihnen bei der Entscheidung, wo Sie Ihre Prioritäten setzen sollten. Die Bereiche mit der höchsten Auswirkung auf dieser Karte sollten Ihre ersten Maßnahmen zur Behebung von Fehlern gemäß A.5.23 steuern.

Vom technischen Fehler zum regulatorischen Ereignis

In regulierten Märkten hängen die Folgen einer Cloud-Fehlkonfiguration ebenso sehr von der Art und Weise der Vorfallsregulierung ab wie von den technischen Details. Eine kleine Fehlkonfiguration, die schnell erkannt, eingedämmt, analysiert und innerhalb der regulatorischen Fristen gemeldet wird, kann zu Anweisungen zur Behebung des Problems und einer engmaschigeren Überwachung führen. Bleibt dieselbe Fehlkonfiguration monatelang unentdeckt oder wird sie unzureichend mit vagen Erklärungen zur Einhaltung der Vorschriften gemeldet, kann dies Lizenzprüfungen, Bußgelder und neue Sonderauflagen nach sich ziehen.

A.5.23 unterstützt bessere Ergebnisse auf zweierlei Weise:

  • Prävention und verringertes Risiko: – Indem Sie gezwungen werden, Konfigurationsgrundlagen, Überwachungsprozesse und Überprüfungszyklen für Cloud-Dienste festzulegen, wird die Wahrscheinlichkeit verringert, dass gefährliche Fehlkonfigurationen entstehen oder fortbestehen.
  • Verbesserte Reaktionsfähigkeit und Verteidigungsfähigkeit: – Wenn es zu Zwischenfällen kommt, können Sie nachweisen, dass Risiken identifiziert, Verantwortlichkeiten aufgeteilt, Lieferanten bewertet und ein risikobasiertes Überwachungssystem entwickelt wurden. Das macht den Vorfall zwar nicht ungeschehen, aber es ändert die Darstellung von Fahrlässigkeit zu einem kontrollierten Risikomanagement.

Damit dies in der Praxis funktioniert, muss sich Ihr Cloud-Governance-Konzept explizit auf die Fehlkonfigurationsklassen und das Verhalten von Lieferanten konzentrieren, die das größte Potenzial haben, Ihre Lizenz und Ihren Ruf zu schädigen. Diese Fokussierung gibt Ihren Technikern, Compliance-Spezialisten und Lieferanten zudem ein klares, gemeinsames Ziel vor, wenn sie in die Absicherung kritischer Dienste investieren.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


A.5.23 Cloud-Governance-Leitfaden für iGaming und Sportwetten

Ein effektives Cloud-Governance-Konzept wandelt A.5.23 von einer kurzen Kontrollanweisung in eine sichtbare, alltägliche Arbeitsweise um. Für iGaming- und Sportwettenanbieter muss dieses Konzept den gesamten Lebenszyklus ihrer Dienste abdecken und die Sprache der Technologie-, Sicherheits-, Compliance-, Rechts- und Produktteams sprechen, damit Governance als gemeinsamer Rahmen und nicht als reine Prüfung wahrgenommen wird.

Ein Cloud-Governance-Leitfaden ist die praktische Umsetzung von A.5.23 in Ihrem Unternehmen. Er wandelt die abstrakte Anforderung an Prozesse für Anschaffung, Nutzung, Verwaltung und Deaktivierung in eine sichtbare, wiederholbare Arbeitsweise um, die Ihre Teams befolgen und Ihre Auditoren bei der Prüfung cloudbezogener Nachweise erkennen können.

Aufbau eines Lebenszyklus, der den Arbeitslasten im Glücksspielbereich entspricht

Die nützlichsten Blaupausen basieren auf einem Lebenszyklus, der den tatsächlichen Ablauf regulierter Arbeitslasten in Ihrer Umgebung widerspiegelt. Der zuvor vorgestellte sechsstufige Lebenszyklus lässt sich für Glücksspielunternehmen konkretisieren, indem er in klare, wiederholbare Schritte unterteilt wird, die sich leicht in Projekt- und Lieferantenprozesse integrieren lassen.

Schritt 1 – Entdecken

Führen Sie ein Verzeichnis der genutzten Cloud-Dienste, einschließlich „Schatten-IT“ und eingebetteter SaaS in Plattformen, und klassifizieren Sie jeden Dienst nach Kritikalität, Datenklassen und regulatorischen Auswirkungen.

Schritt 2 – Bewerten

Führen Sie Risiko- und Folgenabschätzungen durch, die Sicherheit, Datenschutz, Resilienz, Datenresidenz und Lieferantenkonzentration abdecken und Lizenzbedingungen sowie einschlägige Datenschutzgesetze berücksichtigen.

Schritt 3 – Genehmigen

Neue oder geänderte Cloud-Dienste durchlaufen einen strukturierten Genehmigungsprozess unter Einbeziehung der Abteilungen Technologie, Sicherheit, Compliance und gegebenenfalls Recht und Beschaffung.

Schritt 4 – Umsetzen

Die Dienste werden gemäß den genehmigten Referenzarchitekturen und Konfigurationsstandards für Identität, Verschlüsselung, Protokollierung, Überwachung, Datensicherung und Umgebungssegmentierung bereitgestellt.

Schritt 5 – Überwachen und überprüfen

Leistung, Vorfälle und Lieferantenwechsel verfolgen, regelmäßige Kontrollprüfungen und -tests durchführen und Risikobewertungen aktualisieren, damit frühere Annahmen weiterhin Gültigkeit haben.

Schritt 6 – Beenden

Planen und testen Sie, wie Sie von Cloud-Diensten migrieren oder diese beenden würden, einschließlich Datenexport, Löschung und Aufbewahrung von Nachweisen für Spielerrechte und AML-Aufzeichnungen.

A.5.23 ist erfüllt, wenn dieser Lebenszyklus konsequent implementiert, dokumentiert und nachweislich zur Entscheidungsfindung und Überwachung von Cloud-Diensten genutzt wird, die für Ihre Glücksspielaktivitäten am wichtigsten sind.

Klärung von Rollen und Verantwortlichkeiten über den gesamten Lebenszyklus hinweg

Ein Lebenszyklus ohne klar definierte Verantwortlichkeiten wird dem alltäglichen Projektdruck und den kommerziellen Fristen nicht standhalten. Damit A.5.23 sich bewährt, benötigen Sie für jede Phase eine einfache, vereinbarte RACI-Matrix. So weiß jeder, wo er hingehört und was von ihm erwartet wird, wenn neue Cloud-Dienste hinzukommen oder bestehende sich ändern.

Ein typisches Muster in einem Operator könnte sein:

  • Technologie- und Plattformteams, die für die Konzeption und Implementierung von Cloud-Diensten verantwortlich sind.
  • Der Sicherheitsbereich ist verantwortlich für die Festlegung von Risikobewertungsstandards, technischen Grundlagen und Überwachungserwartungen.
  • Die Compliance-Abteilung ist für die Einhaltung der Lizenz- und Datenschutzbestimmungen verantwortlich.
  • Die Rechts- und Einkaufsabteilung ist für Vertragsbestimmungen, Service-Level-Agreements (SLAs) und Ausstiegsbedingungen zuständig.
  • Die Teams für Betrieb und Kundenservice wurden hinsichtlich der betrieblichen Auswirkungen und des Servicelevels konsultiert.

Wenn die RACI-Matrix schriftlich festgehalten, abgestimmt und in Ihre ISMS-Workflows integriert ist, lässt sich gegenüber Auditoren und Aufsichtsbehörden deutlich leichter nachweisen, dass Cloud-Entscheidungen nicht isoliert getroffen oder einzelnen Ingenieuren überlassen werden. Dies stärkt zudem das Vertrauen der Mitarbeiter, dass Cloud-Risiken eine gemeinsame Verantwortung und keine unausgesprochene Last sind.

Verknüpfung von Datenklassifizierung, Rechtsordnungen und Cloud-Optionen

Die Datenklassifizierung ist der Punkt, an dem das Konzept spezifisch für das Glücksspiel wird und sich von der allgemeinen Cloud-Governance abhebt. Sie verarbeiten mehrere besonders sensible Informationskategorien: Identitäts- und KYC-Dokumente; Zahlungsinstrumente; Wettverläufe und Verhaltensindikatoren; AML- und Bonitätsprüfungen; Quotenmodelle; Spiellogik; und Indikatoren für verantwortungsvolles Spielen.

Ihr Entwurf sollte Folgendes verbinden:

  • Datenklassen: – Welche Arten von Daten ein Dienst verarbeitet, z. B. KYC-Dokumente, Transaktionen oder Verhaltenssignale.
  • Regulatorische Einschränkungen: – Welche Gesetze und Lizenzbedingungen für diese Daten gelten, einschließlich Datenschutzbestimmungen und glücksspielspezifischer Aufzeichnungspflichten.
  • Cloud-Designregeln: – Welche Regionen, Anbieter, Verschlüsselungsmodelle, Zugriffsmuster und Protokollierungsanforderungen sind akzeptabel oder obligatorisch?

Ein einfacher Entscheidungsbaum, der von „Vorgeschlagener Cloud-Dienst“ über „Beteiligte Datenklassen“ und „Betroffene Märkte“ bis hin zu „Zulässige Regionen und Kontrollen“ reicht, macht diese Zusammenhänge leicht nachvollziehbar. Durch die explizite Darstellung können Ihre Teams Cloud-Optionen schnell und sicher bewerten, und Sie können Auditoren nachweisen, dass Ihre Cloud-Nutzung sowohl den Anforderungen der ISO 27001 als auch den spezifischen Verpflichtungen im Glücksspielbereich entspricht. Die Verwendung einer strukturierten Plattform wie ISMS.online, auf der diese Regeln zusammen mit Risiken, Lieferanten und Richtlinien verwaltet werden, erleichtert die Pflege dieser Zuordnung erheblich.



Kontrolle in der Cloud: Zugriff, Protokollierung und Datenspeicherung auf wichtigen Cloud-Plattformen

A.5.23 setzt voraus, dass Ihre Richtlinien, Lebenszyklen und Modelle zur gemeinsamen Verantwortung in den tatsächlichen Einstellungen Ihrer Cloud-Plattformen abgebildet werden. Für iGaming- und Sportwetten-Technologien sind typischerweise drei Kontrollbereiche von größter Bedeutung: Zugriffskontrolle, Protokollierung und Überwachung sowie Datenresidenz. Schwächen in einem dieser Bereiche können monatelange Governance-Arbeit durch einen einzigen Vorfall zunichtemachen.

Für Plattformen, die bei großen Cloud-Anbietern laufen, bedeutet dies die Umsetzung schriftlicher Standards in Identitäten, Rollen, Protokolle, Schlüssel, Regionen und Pipelines. Bei Inkonsistenzen in dieser Umsetzung werden Prüfer und Aufsichtsbehörden die Diskrepanz zwischen Ihrem angegebenen A.5.23-Ansatz und der tatsächlichen Konfiguration Ihrer Cloud schnell erkennen.

Zugriffskontrolle und privilegierter Zugriff für Glücksspiel-Workloads

Strenge Zugriffskontrollen verhindern versehentliche oder böswillige Änderungen an den Systemen, die Quoten, Zahlungen und Spielergebnisse steuern. Gemäß A.5.23 sind Sie verpflichtet, Zugriffsregelungen zu definieren und durchzusetzen, die das Prinzip der minimalen Berechtigungen, die Funktionstrennung und die Nachverfolgbarkeit in Ihrer gesamten Cloud-Umgebung gewährleisten – nicht nur innerhalb einzelner Anwendungen.

Die Zugriffskontrolle in der Cloud beschränkt sich nicht mehr auf lokale Serverkonten, sondern umfasst zentrale Identitätsanbieter, föderierte Anmeldungen, Rollen und Richtlinien. Um die Anforderungen der ISO 27002 an die Zugriffskontrolle und die Lebenszyklusvorgaben gemäß A.5.23 zu erfüllen, sollten Betreiber Folgendes beachten:

  • Zentrale Identität und Single Sign-On verwenden: – Integrieren Sie Cloud-Plattformen und wichtige SaaS-Dienste mit Ihrem zentralen Identitätsanbieter und erzwingen Sie eine starke Authentifizierung und bedingten Zugriff.
  • Rollenbasierte Zugriffsrechte definieren: – Ordnen Sie Geschäftsrollen wie Händler, Risikoanalyst, Kundendienstmitarbeiter und DevOps-Ingenieur Cloud-Rollen zu, die dem Prinzip der minimalen Berechtigungen entsprechen.
  • Privilegierte Zugriffe streng kontrollieren: – Nutzen Sie Just-in-Time-Elevation, Break-Glass-Verfahren und Sitzungsaufzeichnung für administrative Aktionen an kritischen Ressourcen wie Wallets, Quotenmaschinen oder Produktionsdatenbanken.
  • Getrennte Aufgaben: – Sicherstellen, dass keine einzelne Rolle ohne Aufsicht sowohl Code bereitstellen als auch Produktionskonfigurationen für risikoreiche Komponenten ändern kann.

Diese Maßnahmen erleichtern es erheblich, nachzuweisen, wer welche Änderungen in Ihrer Cloud-Umgebung vornehmen kann, und den Hergang des Geschehens zu rekonstruieren, falls ein Integritätsverstoß oder ein Betrugsfall behauptet wird.

Protokollierung, Überwachung und forensische Bereitschaft

Die Protokollierung ist die Grundlage für Fairness und Kontrolle im regulierten Glücksspiel. Eine A.5.23-konforme Cloud-Umgebung muss nicht nur detaillierte Protokolle erfassen, sondern diese auch sicher speichern, korrelieren und für Untersuchungen bereithalten, wenn Fragen zu bestimmten Wetten, Sitzungen oder manuellen Eingriffen auftreten.

Ein effektiver Ansatz für Protokollierung und Überwachung sollte Folgendes umfassen:

  • Protokollquellen und Aufbewahrungsdauer für jede Arbeitslast definieren: – Zum Beispiel die Erfassung von Wettplatzierungen und -abrechnungen, Quotenänderungen, Bonusvergaben und -anpassungen, KYC- und AML-Entscheidungen, administrative Maßnahmen und Infrastrukturänderungen.
  • Protokolle zentralisieren und schützen: – Weiterleitung von Protokollen in manipulationssichere Speicher, Einschränkung des Zugriffs und der Abfragemöglichkeiten, Schutz vor Löschung und gegebenenfalls regionsübergreifende Sicherung.
  • Korrelieren und alarmieren: – Erstellen Sie Überwachungsregeln, die Ereignisse über Anwendungs-, Infrastruktur- und Identitätsdomänen hinweg korrelieren, sodass Muster wie ungewöhnliche Wahrscheinlichkeitsänderungen nach privilegierten Anmeldungen schnell erkannt werden.
  • Übung forensischer Verfahren: – Üben Sie regelmäßig, wie Sie anhand von Protokollen den Verdacht auf Spielmanipulation, Bonusmissbrauch oder strittige Live-Wetten untersuchen würden.

Diese Vorgehensweisen geben Prüfern und Aufsichtsbehörden die Gewissheit, dass Sie strittige Ergebnisse auf Ebene einzelner Ereignisse untersuchen und erklären können, nicht nur anhand von Tageszusammenfassungen. Sie helfen internen Teams außerdem, Probleme schneller zu lösen und aus Vorfällen zu lernen.

Umsetzung von Entscheidungen zur Datenresidenz und -souveränität

Fragen zum Datenstandort und zur Datensouveränität sind oft die ersten, die Regulierungsbehörden stellen, wenn sie das Wort „Cloud“ hören. Sie wollen wissen, wo Glücksspieltransaktionsdaten und Spielerdatensätze physisch gespeichert sind, wer darauf zugreifen kann und unter welcher Rechtsgrundlage. A.5.23 bietet Ihnen eine Struktur, um diese Entscheidungen zu kodieren und nachzuweisen, dass Sie sie in Ihrer gesamten Cloud-Umgebung einhalten.

Gemäß A.5.23 sollten Sie Folgendes beachten:

  • Definition von Aufenthaltsregeln nach Markt und Datenklasse: – Beispielsweise kann vorgeschrieben werden, dass alle primären Glücksspieltransaktionsprotokolle und Spielerdatensätze für eine bestimmte Lizenz in festgelegten Regionen gespeichert werden müssen, während abgeleitete Analysen unter strengen Bedingungen breiter gestreut werden dürfen.
  • Regeln in Architekturvorlagen einbetten: – Zulässige Regionen, Replikationsoptionen, Schlüsselverwaltungsstandorte und Datenexportbeschränkungen in Infrastruktur-als-Code- und Plattformstandards aufnehmen.
  • Dokumentenzugriff über Grenzen hinweg: – Dokumentieren Sie, wo sich Supportteams, Incident-Responder und Drittanbieter befinden und wie sie auf Cloud-Umgebungen zugreifen, und erläutern Sie, wie dies mit Datenschutz- und Glücksspielregulierungsvorschriften vereinbar ist.
  • Abstimmung mit der Ausstiegs- und Kontinuitätsplanung: – Stellen Sie sicher, dass die Aufenthaltsbestimmungen mit den Strategien zur Notfallwiederherstellung und den Ausstiegsplänen vereinbar sind, damit Sie nicht die heutige Einhaltung der Vorschriften gegen ein unüberschaubares Risiko von morgen eintauschen.

Da diese Entscheidungen kodiert und nachvollziehbar sind, können Sie schnell und sicher reagieren, wenn Aufsichtsbehörden oder Prüfer fragen, wo die Daten gespeichert sind und wie Sie das Zuständigkeitsrisiko im normalen Geschäftsbetrieb und bei Zwischenfällen managen.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Der Nachweis der Wirksamkeit: Belege, Auditvorbereitung und häufige Fallstricke gemäß A.5.23

A.5.23 wird letztendlich anhand Ihrer Nachweise beurteilt. Für iGaming- und Sportwettenanbieter bedeutet dies, einen lebendigen Satz von Dokumenten vorweisen zu können, der belegt, wie Sie Cloud-Dienste identifizieren, bewerten, genehmigen, implementieren, überwachen und beenden und wie diese Aktivitäten Spielergelder, Märkte und Daten schützen. Gut organisierte Nachweise erleichtern ISO-27001-Audits, Lizenzprüfungen und die Due-Diligence-Prüfung von Partnern erheblich.

Die Gestaltung von Governance-Prozessen und Cloud-Kontrollen ist nur die halbe Miete. ISO-27001-Zertifizierung, Überwachungsaudits und Bewertungen durch Glücksspielaufsichtsbehörden hängen davon ab, was Sie tatsächlich nachweisen können, nicht nur von Ihren Absichten. Solide Nachweise erleichtern auch die interne Arbeit: Wenn Vorstand, Investoren, Käufer oder Partner fragen: „Haben wir unsere Cloud und unsere Lieferanten wirklich im Griff?“, können Sie auf klare, aktuelle Dokumente verweisen, anstatt auf hastig zusammengestellte Unterlagen.

Wie gute A.5.23-Nachweise in der Praxis aussehen

Sie können die Nachweise gemäß A.5.23 nach dem gleichen Lebenszyklus organisieren, den Sie für Ihre Cloud-Entscheidungen verwenden. Dadurch wird es für Prüfer und Aufsichtsbehörden einfacher, Ihren Ablauf nachzuvollziehen und zu überprüfen, ob jede Phase in der Praxis funktioniert und nicht nur auf dem Papier.

Beispiele nach Lebenszyklusphase:

  • Entdecken Sie: – Ein aktuelles Verzeichnis von Cloud-Diensten mit Angaben zu Eigentümern, Datenklassifizierungen und Zuständigkeiten.
  • Beurteilen: – Risiko- und Folgenabschätzungen für wichtige Dienstleistungen, einschließlich Bedrohungen, Kontrollmaßnahmen, Restrisiken und regulatorischer Aspekte.
  • Genehmigen: – Aufzeichnungen über Governance-Entscheidungen für neue und geänderte Dienstleistungen, einschließlich Genehmigungen, Ausnahmen und Bedingungen.
  • Implementieren: – Cloudspezifische Richtlinien und Standards, Referenzarchitekturen, Konfigurationsbaselines und Matrizen zur gemeinsamen Verantwortung.
  • Überwachen und überprüfen: – Lieferantenprüfungsunterlagen, SLAs, Service-Reviews, Ergebnisse von Penetrationstests und Nachverfolgung von Abhilfemaßnahmen.
  • Exit: – Dokumentierte Ausstiegs- und Migrationspläne, Verfahren zur Datenaufbewahrung und -löschung sowie alle abgeschlossenen Migrations- oder Stilllegungsaufzeichnungen.

Je besser diese Dokumente eine zusammenhängende Geschichte bilden – verknüpft durch Ihr ISMS anstatt verstreut auf verschiedenen Laufwerken –, desto einfacher werden Ihre Audits und behördlichen Prüfungen. Eine Plattform wie ISMS.online kann Sie dabei unterstützen, indem sie Richtlinien, Risiken, Lieferanten, Nachweise und Arbeitsabläufe zentral verwaltet und mit A.5.23 abstimmt.

Häufige Fallstricke gemäß A.5.23 für iGaming- und Sportwettenorganisationen

Selbst erfahrene Betreiber stoßen bei der Anwendung von A.5.23 auf wiederkehrende Probleme. Diese frühzeitig zu erkennen, stärkt Ihre Position vor einer Umstellung auf ISO 27001 oder einer behördlichen Überprüfung und ermöglicht Ihnen einen klareren Fahrplan zur Behebung von Problemen im Bereich Cloud- und Lieferanten-Governance.

Zu den häufigen Fallstricken gehören:

  • Schatten-Cloud-Dienste: – Teams übernehmen SaaS-Tools oder Cloud-native Funktionen, ohne diese durch die Governance-Strukturen zu leiten, wodurch Lücken in Inventaren, Verträgen und Risikobewertungen entstehen.
  • Nicht dokumentierte kritische Zulieferer: – Drittanbieter von Quotenfeeds, Spieleplattformen oder Zahlungsgateways führen Workloads in ihren eigenen Clouds aus, aber Sie haben nur begrenzten Einblick in die Art und Weise, wie diese verwaltet werden.
  • Schwache Ausstiegsplanung: – Verträge und Architekturen gehen davon aus, dass die wichtigsten Plattformen immer verfügbar sein werden, ohne dass ein realistischer Plan für die Datenextraktion und die Migration von Workloads existiert, falls eine Beziehung endet oder ein Anbieter seine Strategie ändert.
  • Inkonsistente Datenstandortdatensätze: – Unterschiedliche Dokumente geben widersprüchliche Antworten darüber, wo Daten gespeichert und verarbeitet werden, was das Vertrauen in Ihre Ansprüche auf Wohnsitz und Souveränität untergräbt.
  • Übermäßiges Vertrauen in die Zusicherungen der Anbieter: – Die Betreiber verlassen sich zu sehr auf die Zertifizierungen und das Marketing der Anbieter, ohne unabhängige Kontrollen oder eine explizite Dokumentation ihrer eigenen Verantwortlichkeiten durchzuführen.

Indem Sie diese Fallstricke als kurze interne Checkliste betrachten, können Sie schnell erkennen, wo Ihre aktuelle A.5.23-Haltung Schwächen aufweist und die Korrekturmaßnahmen dort konzentrieren, wo sie am wichtigsten sind.

Die Beweissammlung zu einer lebendigen Disziplin machen

Der ungünstigste Zeitpunkt für die Erstellung eines A.5.23-Nachweispakets ist der Monat vor einem Audit oder nach Erhalt eines Fragebogens der Aufsichtsbehörde. Um dies zu vermeiden, müssen die Nachweise organisch aus der täglichen Governance- und Entwicklungsarbeit generiert werden und dürfen nicht auf Dokumentensuche oder manueller Zusammenstellung aus zahlreichen Systemen beruhen.

Das bedeutet:

  • Die Erstellung von Nachweisen wird in Arbeitsabläufe integriert, sodass Risikobewertungen, Genehmigungen, Lieferantenbewertungen und Designfreigaben automatisch nachvollziehbare Datensätze erzeugen.
  • Verknüpfen Sie Vorfälle und Erkenntnisse mit Risiken und Kontrollen in Ihrem ISMS, um Lernprozesse und Verbesserungen anstelle von isolierten Korrekturen nachzuweisen.
  • Regelmäßige Überprüfungen von Dienstleistungen und Lieferanten mit hohem Risiko einplanen und Folgemaßnahmen bis zum Abschluss verfolgen.
  • Sicherstellen, dass die Verantwortung dafür übernommen wird, dass Diagramme und Inventarlisten der Realität entsprechen und nicht nur den bisherigen Projektplänen.

Eine strukturierte ISMS-Plattform wie ISMS.online macht dies wesentlich einfacher als der Versuch, E-Mail-Verläufe und Tabellenkalkulationen über mehrere Teams und Zuständigkeitsbereiche hinweg zu koordinieren, da sie Richtlinien, Risiken, Lieferanten, Nachweise und Arbeitsabläufe an einem Ort hält und auf den von Ihnen definierten Lebenszyklus und die Verantwortlichkeiten abstimmt.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online unterstützt Ihr iGaming- oder Sportwettenunternehmen bei der Umsetzung von ISO 27001 A.5.23 in ein praxisorientiertes Cloud-Governance-System, das Ihre Lizenz, Spieler und Märkte schützt. Durch die Zusammenführung von Cloud-Risiken, Lieferanten, Kontrollen und Nachweisen in einer strukturierten Umgebung können Sie von reaktiver Dokumentation zu proaktiver, auditierbarer Kontrolle übergehen.

Wenn Sie unter Druck stehen, auf ISO 27001:2022 umzustellen oder detailliertere regulatorische Fragen zu Cloud und Outsourcing zu beantworten, hilft Ihnen ISMS.online dabei, die Anhänge A.5.19–A.5.23 auf Ihre Cloud- und Lieferantenlandschaft abzubilden. Cloud-spezifische Checklisten, Vorlagen und Workflows erleichtern es Ihnen, Lücken zu identifizieren, Prioritäten für die Behebung zu setzen und genau darzustellen, wie Sie Cloud-Dienste sicher beschaffen, nutzen, verwalten und beenden.

Für Technologie- und Plattformverantwortliche unterstützt ISMS.online die direkte Verknüpfung von Cloud-Architekturentscheidungen, Modellen gemeinsamer Verantwortung und Konfigurationsstandards mit den Risiken und Kontrollen Ihres ISMS. So können Sie aufzeigen, wie Schutzmaßnahmen und Muster in Ihren Cloud-Umgebungen nicht nur bewährte Verfahren darstellen, sondern gezielte Reaktionen auf A.5.23 und verwandte Kontrollen sind.

Für Sicherheits- und Compliance-Teams bietet ISMS.online strukturierte Bereiche für die Lieferantenprüfung, Vertrags- und SLA-Dokumentation, Risikobewertungen und Auditnachweise. Aufgaben und Workflows tragen dazu bei, dass Prüfungen tatsächlich durchgeführt, Ergebnisse nachverfolgt und die Dokumentation auf Anfrage von Prüfern, Aufsichtsbehörden oder Partnern bereitgestellt wird.

Für Führungskräfte und Vorstände ergibt sich dadurch ein klarerer Zusammenhang zwischen Cloud-Strategieentscheidungen und der tatsächlichen Kontrolle und Verantwortlichkeit. Dashboards und Berichte verdeutlichen, wo kritische Dienste und Lieferanten im Risikoprofil positioniert sind, wie Vorfälle gemanagt werden und wo sich Investitionen in Governance durch reduziertes Risiko auszahlen.

Könnten Sie morgen, wenn Sie jemand nach einer einzigen, nachvollziehbaren Darstellung fragen würde, wie Ihr Unternehmen Cloud-Dienste erwirbt, nutzt und wieder abschafft, die Ihre Glücksspielaktivitäten unterstützen, diese souverän präsentieren? Eine maßgeschneiderte Einführung in ISMS.online ist ein einfacher Weg, um zu sehen, wie schnell Sie A.5.23 in Ihre tägliche Arbeit integrieren und Aufsichtsbehörden und Wirtschaftsprüfern zeigen können, dass Ihre Cloud-Nutzung bewusst, kontrolliert und resilient ist.


Häufig gestellte Fragen (FAQ)

Was ändert ISO 27001 A.5.23 konkret für einen iGaming- oder Sportwettenanbieter in der Public Cloud?

ISO 27001 A.5.23 wandelt Ihre Public-Cloud-Infrastruktur von „vielen cleveren Teams, die ihr eigenes Ding machen“ in eine einheitlicher, gesteuerter Cloud-Service-Lebenszyklus dass Glücksspielaufsichtsbehörden und ISO-Auditoren sie verstehen und ihnen vertrauen können.

Für einen iGaming- oder Sportwettenanbieter bedeutet das, dass jeder bedeutende Cloud-Dienst, der daran beteiligt ist, Spielerdaten, Gelder, Quoten, Boni oder behördliche Nachweise wird in einen einheitlichen, strukturierten Prozess überführt. Anstelle von Ad-hoc-Entscheidungen wird von Ihnen Folgendes erwartet:

  • Wissen Sie, welche Cloud- und SaaS-Dienste Sie nutzen und zu welchem ​​Zweck?
  • Beurteilen Sie, wie sich die einzelnen Dienste auf den Spielerschutz, die Lizenzbedingungen und die Resilienz auswirken.
  • Legen Sie fest und dokumentieren Sie, wer welche Verantwortlichkeiten trägt (Sie vs. Anbieter).
  • Beobachten Sie diese Dienste im Laufe der Zeit und wissen Sie, wie Sie sie sicher verlassen können.

Wie sieht ein praktischer A.5.23-Lebenszyklus für iGaming aus?

Man kann sich A.5.23 so vorstellen, dass es einen wiederholbaren „Cloud-Pfad“ für Dienste wie Wallets, Handelsplattformen, KYC/AML-Tools, CRM, Datenplattformen und Reporting vorschreibt:

  • Entdecken und inventarisieren: – Führen einer aktuellen Liste der IaaS-, PaaS- und SaaS-Dienste, die für Konten, Wallets, Quoten, Bonuslogik, AML, Betrug, Protokollierung und regulatorische Berichterstattung verwendet werden.
  • Risiko und Auswirkungen einschätzen: – dokumentieren, wie sich Fehler, Missbrauch oder Kompromittierung auf die Privatsphäre der Spieler, die Gelder, die Integrität der Quoten, die Verfügbarkeit und die Lizenzbedingungen auswirken könnten.
  • Genehmigen und einbinden: – festlegen, wer neue Dienstleistungen genehmigen kann, welche Prüfungen erforderlich sind (Sicherheit, Datenschutz, verantwortungsvolles Spielen) und wie diese nachgewiesen werden.
  • Implementierung mit Baselines: – sichere Standardeinstellungen für Speicherung, Identität, Netzwerk, Protokollierung und Datenresidenz standardisieren und in Vorlagen und Pipelines einbetten.
  • Überwachen und überprüfen: – Verantwortliche zuweisen, Häufigkeiten und Auslöser für eine erneute Bewertung überprüfen (Vorfälle, Fehlkonfigurationen, neue Regionen, wesentliche Änderungen des Umfangs).
  • Beenden und migrieren: – realistische Pläne für die Beendigung oder den Ersatz wichtiger Dienste erstellen, ohne Daten, Gelder oder behördliche Protokolle zu verlieren.

Sie werden nicht aufgefordert, die internen Sicherheitsvorkehrungen Ihres Cloud-Anbieters neu zu implementieren. Sie werden lediglich aufgefordert, Folgendes nachzuweisen:

  • Du verstehst genau dort, wo ihre Verantwortung endet und Ihre beginnt.
  • Diese Aufteilung spiegelt sich in Ihren Richtlinien, Risikoaufzeichnungen, Kontrollen und Lieferantendateien wider.
  • Die rasante Einführung von Cloud-Lösungen erfolgt innerhalb eines kontrollierten Systems, nicht allein auf Vertrauensbasis.

Wenn Sie eine ISMS-Plattform wie z. B. ISMS.online Durch die Verknüpfung jedes Cloud-Dienstes mit seinen Risiken, Kontrollen, Lieferantenprüfungen, Diagrammen und Bewertungen erhalten Sie eine zentrale Plattform, um Ihre A.5.23-Story nachzuweisen. Dies erleichtert die schnelle und reibungslose Migration in die Public Cloud, ohne den Schutz der Nutzer zu beeinträchtigen oder Ihre Lizenzen zu gefährden.

Wie können wir ein Modell der geteilten Verantwortung für die Cloud-Sicherheit entwerfen, das die Plattform schützt, es den Teams aber dennoch ermöglicht, schnell zu liefern?

Sie gestalten geteilte Verantwortung so, dass Die Teams wissen stets, was ihnen gehört, was dem Cloud-Anbieter gehört und wie sich dies auf ihre Designentscheidungen auswirkt.-ohne das Gefühl zu haben, dass jede Änderung eine Ausschusssitzung erfordert.

Ein gutes Modell basiert auf Ihren tatsächlichen Arbeitslasten und nicht auf generischen Herstellerdiagrammen. Für die meisten iGaming- und Sportwettenanbieter umfassen diese Arbeitslasten Folgendes:

  • Wallets und Zahlungsabwicklung
  • Spielerkonten, Registrierung und KYC
  • Handels-, Quoten- und Marktaussetzungslogik
  • Bonus- und Promotion-Engines
  • AML-, Betrugs- und verantwortungsvolle Glücksspielanalysen
  • Protokollierung, Beobachtbarkeit und regulatorische Berichterstattung

Wie können wir geteilte Verantwortung in etwas umwandeln, das Ingenieure tatsächlich nutzen?

Ein praktisches Vorgehen besteht darin, eine einfache Matrix nach Arbeitslast zu erstellen. und nach technischer Ebene, zum Beispiel:

  • Netzwerk und Perimeter: – VPCs, Subnetze, Sicherheitsgruppen, WAF
  • Plattformdienste: – verwaltete Datenbanken, Warteschlangen, Caches, Streaming
  • Laufzeit: – Betriebssystem, Containerplattform, Serverless-Konfiguration (wo Sie diese verwalten)
  • Anwendungsschicht: – Code, Konfiguration, APIs
  • Datum: – Klassifizierung, Verschlüsselung, Aufbewahrung, Maskierung
  • Identität und Zugriff: – IAM-Rollen, SSO, privilegierter Zugriff
  • Protokollierung und Überwachung: – Protokollquellen, Aufbewahrung, Benachrichtigungen

Für jeden Schnittpunkt definieren Sie in einfacher Sprache:

  • Was zum Cloud-Anbieter ist verantwortlich für (zum Beispiel physische Sicherheit, zugrundeliegender Hypervisor, bestimmte Managed-Service-Patches).
  • Was Ihre Organisation müssen entworfen, ausgeführt und überprüft werden (z. B. IAM-Richtlinien, Netzwerkregeln, Administratorzugriff, Datenaufbewahrung, Anwendungsprotokollierung).
  • Wie du aus der Ferne überprüfen dass beide Seiten ihren Teil beitragen (z. B. Konfigurations-Baselines, Sicherheitsüberprüfungen, Berichte des Anbieters, interne Überwachung).

Wenn diese Matrizen innerhalb Ihres ISMS gespeichert sind und mit folgenden verknüpft sind: benannte Teams und RollenEs geht nicht nur um Berufsbezeichnungen, sie hören auf, theoretisch zu sein. Ein Ingenieur, der eine neue verwaltete Datenbank oder eine SaaS-Lösung zur Betrugserkennung einführt, kann sofort Folgendes erkennen:

  • Welche Verantwortlichkeiten sie vom Anbieter übernehmen.
  • Welche Entscheidungen und Kontrollmechanismen ihnen gehören.
  • Welche Genehmigungen oder Prüfungen sind erforderlich?

Unterbringung dieses Modells der geteilten Verantwortung in ISMS.online Neben Richtlinien, Risiken, Änderungsworkflows und Lieferantendatensätzen bleibt alles stets aktuell, wenn sich Services und Teams ändern. Es bietet Ihnen außerdem eine sehr direkte Möglichkeit, Prüfern und Aufsichtsbehörden zu erläutern, wie Cloud-Aufgaben auf Ihrer iGaming-Plattform gestaltet, vereinbart und umgesetzt werden.

Welche Fehlkonfigurationen in der Cloud schaden iGaming-Betreibern am meisten, und wie hilft uns A.5.23 dabei, diese zu verhindern?

Die Fehlkonfigurationen, die im iGaming den größten Schaden anrichten, sind in der Regel nicht die subtilen – sie sind die offensichtliche Schwächen die es jemandem ermöglichen, Dinge zu sehen oder zu beeinflussen, die er niemals berühren sollte: Spielerdaten, Märkte, Kontostände oder regulatorische Nachweise.

A.5.23 hilft Ihnen dabei, von gelegentlichen, reaktiven Korrekturen zu übergehen gezielte, wiederholbare Prävention, basierend darauf, wie Ihre eigenen Arbeitslasten tatsächlich funktionieren.

Welche spezifischen Fehler haben die größten Auswirkungen auf Glücksspielplattformen?

Häufige Fehlkonfigurationen mit gravierenden Folgen sind:

  • Öffentliche oder nur unzureichend geschützte Lagerräume: bei KYC-Dateien, Wetthistorie, Protokollen oder Berichten von Aufsichtsbehörden, wo bereits eine einfache Fehlkonfiguration der Berechtigungen sensible Daten offenlegen kann.
  • Überprivilegierte IAM-Rollen oder Dienstkonten: die es einer einzelnen Person oder einem einzelnen Werkzeug ermöglichen, Quoten anzupassen, Märkte zu verändern oder Abrechnungsregeln mit geringer oder gar keiner Aufsicht zu bearbeiten.
  • Flache Netzwerksegmente: wo Backoffice-, Werbe- und Produktionssysteme gemeinsame Wege haben, was eine seitliche Bewegung trivial macht, sobald man einmal Fuß gefasst hat.
  • Unvollständige oder leicht zu manipulierende Protokollierung: Daher fehlen wichtige Aktionen (Änderungen der Quotentabelle, hohe Bonuszahlungen, AML-Entscheidungen, administrative Genehmigungen) oder sind veränderbar.
  • Tools von Drittanbietern: (zum Beispiel Martech- oder Legacy-Betrugslösungen), die den Zugriff auf APIs oder Datenbanken mit hohem Risiko auch lange nach der Implementierung beibehalten.

A.5.23 fordert Sie auf:

  • Ermitteln Sie, welche Cloud-Dienste hinter diesen Risiken stehen – beispielsweise Objektspeicher für Protokolle und KYC, verwaltete Datenbanken für Wallets, Analyseplattformen für AML.
  • Definieren Sie was „standardmäßig sicher“ Mittel für jedes dieser Systeme (privater Speicher, verschlüsselte Daten, strenges IAM, unveränderliche zentrale Protokollierung, strenge Netzwerkkontrollen).
  • Wandeln Sie diese Definitionen in Standardmuster in den Bereichen Infrastruktur als Code, Referenzarchitekturen, CI/CD-Prüfungen und Cloud-Posture-Tools.
  • Übertragen Sie diese Muster auf die Verträge und technischen Kontrollen, die Sie mit wichtigen SaaS- und Managed-Service-Anbietern verwenden.

Der Einsatz von ISMS.onlineSie können jedes Fehlkonfigurationsrisiko mit Folgendem verknüpfen:

  • Die Cloud-Dienste und Workloads, bei denen es auftreten könnte.
  • Die vereinbarten Ausgangswerte und Muster, die das Risiko reduzieren.
  • Die Überwachungsaktivitäten und Überprüfungen, die Abweichungen aufdecken werden.

Das hilft Ihnen, Prüfern und Aufsichtsbehörden zu zeigen, dass Sie nicht nur auf auftretende Schwachstellen in der Cloud reagieren. Stattdessen nutzen Sie A.5.23, um Reduzieren Sie systematisch die Arten von Fehlern, die Fairness, Spielerschutz und Ihre Lizenzen gefährden können..

Wie sollten wir mit Cloud- und Managed-Service-Anbietern umgehen, damit sowohl A.5.23 als auch die Glücksspielaufsichtsbehörden eine starke Kontrolle gewährleisten können?

Sie behandeln Cloud- und Managed-Service-Anbieter als Erweiterungen Ihrer Kontrollumgebungnicht als separates Universum. Für iGaming- und Sportwettenanbieter ist dies besonders wichtig, da viele kritische Funktionen – Zahlungen, KYC, AML, Betrugsanalyse, CRM – auf externen Plattformen laufen, deren Verständnis und Überwachung von den Aufsichtsbehörden erwartet wird.

A.5.23 bietet einen hilfreichen Ansatzpunkt für die Darstellung dieser Aufsicht. Regulierungsbehörden sind in der Regel beruhigt, wenn sie sehen können, dass Ihre Lieferanten einen vorhersehbaren Lebenszyklus durchlaufen und Risikoentscheidungen dokumentiert und nicht nur implizit getroffen werden.

Wie sieht ein aufsichtsrechtlich verträglicher Lebenszyklus für Cloud-Anbieter aus?

Ein klarer Lebenszyklus folgt typischerweise diesen Schritten:

  • Klassifizieren: – Lieferanten nach Funktion und Datensensibilität gruppieren: Kernplattform, Zahlungsverkehr, KYC/AML, Handelsunterstützung, Tools für verantwortungsvolles Spielen, Marketing, Analytik, Infrastruktur. Lieferanten mit Bezug zu Gelder, Spieleridentität, Quoten oder Lizenznachweise Platzieren Sie sich in der höchsten Stufe.
  • Beurteilen: – Durchführung strukturierter Sicherheits- und Datenschutzbewertungen für wichtige Lieferanten, Überprüfung von Zertifizierungen, Hosting-Standorten, Unterauftragnehmern, Zugriffspfaden, Vorfallprozessen und Resilienzmaßnahmen.
  • Vertrag & Service-Level-Agreement: – Nehmen Sie konkrete Formulierungen zu Verfügbarkeit und Wiederherstellung, Zeitpunkt der Benachrichtigung bei Datenschutzverletzungen, Datenspeicherung, Bedingungen der Datenverarbeitung, Prüfungs- und Inspektionsrechten sowie Unterstützung beim Ausstieg (einschließlich Datenexport und -löschung) auf.
  • Am Bord: – Kontrollieren, wie der Erstzugriff gewährt wird, Erwartungen hinsichtlich der gemeinsamen Verantwortung abstimmen, Starterkonfigurationen bestätigen und interne Verantwortliche zuweisen sowie Überprüfungszeitpläne festlegen.
  • Überwachen und überprüfen: – Lieferanten regelmäßig nach Stufe und bei Eintritt wichtiger Ereignisse (Vorfälle, Eigentümerwechsel, Erweiterung des Leistungsumfangs, neue Regionen) neu bewerten. Ergebnisse und Abhilfemaßnahmen bis zum Abschluss verfolgen.
  • Exit: – Wenn Sie einen Lieferanten verlassen, stellen Sie sicher, dass der Zugriff entfernt wird, die Daten zurückgegeben oder sicher gelöscht werden und alle gewonnenen Erkenntnisse für zukünftige Entscheidungen festgehalten werden.

Wenn dieser Lebenszyklus in Ihrem ISMS abgebildet und durch konkrete Nachweise belegt ist, lassen sich Fragen von Prüfern und Aufsichtsbehörden wie beispielsweise folgende problemlos beantworten:

  • „Warum haben Sie sich für diesen Anbieter entschieden?“
  • „Woher wissen Sie, dass sie Ihre Sicherheits- und Lizenzverpflichtungen weiterhin erfüllen?“
  • „Was würden Sie tun, wenn dieser Dienst ausfallen oder ersetzt werden müsste?“

Eine ISMS-Plattform wie ISMS.online Damit können Sie Lieferantenklassifizierungen, Risikobewertungen, Fragebögen, Verträge, SLAs, Rezensionen und Probleme zentral verwalten. Das erleichtert die Verteidigung Ihrer Position gemäß A.5.23 erheblich, da Sie Zeigen, anstatt nur zu behauptendass ausgelagerte Cloud-Dienste genauso sorgfältig kontrolliert werden wie Systeme, die Sie selbst hosten.

Wie setzen wir A.5.23 in konkrete Zugriffs-, Protokollierungs- und Datenspeicherungsmuster auf unseren Cloud-Plattformen um?

Sie setzen A.5.23 von einer Klausel in die alltägliche Realität um, indem Sie sich für eine Handvoll Entscheidungen entscheiden. Standardmuster für Zugriff, Protokollierung und Datenlokalisierung und anschließende Integration dieser Muster in die Art und Weise, wie Ingenieure Cloud-Workloads bereitstellen und ändern.

Für einen iGaming- oder Sportwettenanbieter sollten diese Muster auf dem basieren, was für Ihr Unternehmen tatsächlich wichtig ist:

  • Quoten und Marktintegrität: – um sicherzustellen, dass nur die richtigen Personen und Prozesse das verändern können, was die Spieler sehen.
  • Fondsschutz: – Verhinderung der stillschweigenden Manipulation von Kontoständen und Auszahlungen.
  • Spielerdatenschutz: – Kontrolle darüber, wo Identitäts- und Verhaltensdaten gespeichert und verarbeitet werden.
  • Regulatorische Nachweise: – Aufbewahrung der Protokolle und Berichte, die Ihre Lizenz unterstützen.

Wie könnten diese Muster in der Praxis aussehen?

Für Zugriff und Identität:

  • Verwenden Sie Rollendesigns, die direkt Ihren Jobs entsprechen – Händler, Risikoanalysten, Betriebsmitarbeiter, Supportmitarbeiter, Ingenieure – und setzen Sie für jeden das Prinzip der minimalen Berechtigungen durch.
  • Trennen Sie die Aufgaben, damit keine einzelne Person sowohl Quoten oder Salden konfigurieren als auch die Protokolle ändern kann, die diese Änderungen verfolgen.
  • Für alle privilegierten Aktionen sollte eine Multi-Faktor-Authentifizierung erforderlich sein, und für Live-Umgebungen sollte eine zeitlich begrenzte oder genehmigungsbasierte Rechteerweiterung verwendet werden.

Für Protokollierung und Beobachtbarkeit:

  • Entscheiden Sie, welche Ereignisse für Fairness und Lizenzschutz unerlässlich sind (Wettplatzierung, Abrechnung, Quotenaktualisierungen, Bonusgewährungen, AML-Entscheidungen, administrative Maßnahmen).
  • Leiten Sie diese Ereignisse an einen zentralen Protokollierungsdienst mit einmalig beschreibbarer oder manipulationssicherer Speicherung und Aufbewahrung weiter, der Ihren regulatorischen Verpflichtungen entspricht.
  • Beschränken Sie den Personenkreis, der diese Protokolle lesen, exportieren oder maskieren kann, und stellen Sie sicher, dass regelmäßige Kontrollen zur Überprüfung der Abdeckung und Integrität durchgeführt werden.

Für Datenresidenz und Datenbewegung:

  • Definiere in klaren Regeln, wo EU-Spielerdaten, Regulierungsregister Großbritanniens und Zahlungsinformationen können dort verbleiben und verarbeitet werden.
  • Diese Regeln sollten fest in die Auswahl von Regionen, Replikationsstrategien, Speicherorten der Verschlüsselungsschlüssel und grenzüberschreitenden Zugriffswegen einprogrammiert werden.
  • Alle Ausnahmen, die Gründe dafür und die kompensierenden Kontrollmaßnahmen sind zu dokumentieren.

Indem Sie diese Muster in Ihrem ISMS dokumentieren und in Ihrem Architekturvorlagen, IaC-Module und ÄnderungsprozesseDadurch wird es deutlich einfacher, einem Prüfer oder einer Glücksspielaufsichtsbehörde nachzuweisen, dass A.5.23 realen technischen Entscheidungen zugrunde liegt. Mit einer Plattform wie ISMS.onlineSie können noch einen Schritt weiter gehen und jede Arbeitslast mit dem spezifischen Muster verknüpfen, das sie verwendet, sodass die Prüfer die Kette von der schriftlichen Regel bis zur implementierten Konfiguration nachvollziehen können.

Wie können wir die Einhaltung von A.5.23 bei ISO-Audits und Überprüfungen durch Glücksspielbehörden nachweisen, ohne einen weiteren Berg an Papierkram zu erzeugen?

Man kann die Handhabung von Beweismitteln gemäß A.5.23 deutlich vereinfachen, indem man sie so gestaltet, dass sie Ergibt sich ganz natürlich aus Ihrer bestehenden Vorgehensweise beim Betrieb von Cloud-Diensten., anstatt als separates Projekt zu existieren, das man vor jeder Prüfung oder Lizenzüberprüfung wieder hervorholt.

Prüfer und Aufsichtsbehörden achten in der Regel auf drei Dinge:

  • Sie wissen, auf welche Cloud- und SaaS-Dienste Sie angewiesen sind.
  • Sie haben über die Aufteilung von Risiko und Verantwortung für jeden Einzelnen nachgedacht.
  • Sie können aufzeigen, wie diese Entscheidungen im Laufe der Zeit angewendet und überprüft werden.

Wie sieht ein „schlanker, aber vollständiger“ Nachweissatz gemäß A.5.23 aus?

Anstatt Informationen in verschiedenen Berichten zu duplizieren, können Sie Ihre Beweise auf eine kleine Anzahl von Artefakten stützen, die dem von Ihnen gewählten Lebenszyklus entsprechen:

  • Cloud-Service-Inventar: – einschließlich IaaS, PaaS und wichtiger SaaS-Dienste mit Angaben zu Eigentümern, Zweck, Kritikalität und Verbindungen zu Workloads (Wallets, Handel, KYC, AML, CRM, Reporting).
  • Risikobewertungen: – prägnante Aufzeichnungen, die die Auswirkungen auf Sicherheit, Datenschutz und Lizenzen für jeden wichtigen Dienst aufzeigen und darlegen, auf welche Kontrollen gemäß Anhang A Sie sich zur Bewältigung dieser Risiken stützen.
  • Dokumente zur gemeinsamen Verantwortung: – Matrizen pro Workload-Familie, die zeigen, wie die Aufgaben zwischen dem Cloud-Anbieter und Ihren Teams in den Bereichen Identität, Netzwerk, Plattform, Daten und Protokollierung aufgeteilt sind.
  • Lieferantenbewertungen und SLAs: – Nachweise über Sorgfaltsprüfungen, Zertifizierungen, vereinbarte Service-Levels und Ausstiegsbedingungen für Hyperscaler und wichtige Managed Services.
  • Architekturskizzen und Basislinien: – aktuelle Diagramme und Konfigurationsstandards, die veranschaulichen, wie Zugriff, Protokollierung, Datenspeicherung und Ausfallsicherheit implementiert werden.
  • Datensätze prüfen und ändern: – Protokolle regelmäßiger Überprüfungen, wichtiger Änderungsentscheidungen, Erkenntnisse aus Vorfällen und daraus resultierender Verbesserungen.
  • Ausstiegs- und Migrationsübersicht: – dokumentierte Optionen für den Austausch oder die Beendigung kritischer Anbieter, ohne Gelder, Spielerdaten oder Lizenznachweise zu gefährden.

Wenn diese Artefakte im Rahmen der normalen Arbeitsabläufe erstellt und aktualisiert werden – beispielsweise bei der Einführung einer neuen Betrugsplattform, dem Verschieben von Protokollen in eine neue Region oder der Optimierung des Identitäts- und Zugriffsmanagements (IAM) für das Wahrscheinlichkeitsmanagement –, vermeiden Sie die typische „Audit-Panik“. Anstatt jedes Mal ein individuelles Paket zu erstellen, können Sie Prüfern und Aufsichtsbehörden dasselbe aktuelle Bild präsentieren, das Ihre Teams verwenden.

Prozesse, die Entscheidungen unauffällig im laufenden Betrieb erfassen, beeindrucken Prüfer in der Regel mehr als komplexe Dokumente, die in letzter Minute verfasst werden.

Eine ISMS-Plattform wie z. B. ISMS.online Dies hilft, indem all diese Elemente miteinander verknüpft werden: Cloud-Service-Aufzeichnungen, Risiken, Kontrollen, Lieferanteninformationen, Muster, Überprüfungen und Genehmigungen befinden sich an einem zentralen Ort. Wenn Sie also gefragt werden, wie Sie die Anforderungen von A.5.23 erfüllen, beschreiben Sie nicht nur Ihre Absicht, sondern führen den Fragesteller Schritt für Schritt durch den Prozess. eine sichtbare, konsistente Art und Weise, Cloud-Dienste zu betreiben Das stellt den Schutz der Spieler, Fairness und Lizenzen in den Mittelpunkt Ihrer Public-Cloud-Strategie.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.