WAF-SUS-010 – Carbon Footprint Measurement & Reporting

Pillar: Sustainability | Severity: High | Kategorie: Carbon Measurement | Automatisierbar: Hoch

Beschreibung

Cloud-Provider Carbon-Footprint-Tools (AWS Customer Carbon Footprint Tool, Azure Emissions Impact Dashboard, GCP Carbon Footprint) MÜSSEN aktiviert und mindestens monatlich ausgewertet werden. Emissionsdaten MÜSSEN mit Workload-Tags verknüpft sein, um eine Workload-Attribution zu ermöglichen. Für CSRD-pflichtige Organisationen MÜSSEN Cloud-IT-Emissionen in die ESRS E1-6 Berichterstattung als Scope-3-Kategorie-11-Emissionen aufgenommen werden.

Rationale

Emissionsreduktion erfordert zuerst Messung. Cloud-IT ist ein messbarer, direkt beeinflussbarer Scope-3-Faktor. CSRD verpflichtet berichtspflichtige Unternehmen zur Offenlegung von Scope-3-Emissionen — Cloud-IT ist dort ausdrücklich enthalten. Ohne systematische Messung sind Reduktionsziele nicht verifizierbar und ESG-Berichte nicht CSRD-konform.

Bedrohungskontext

Risiko	Beschreibung
CSRD Non-Compliance	Fehlende IT-Emissionsdaten in ESRS E1-6 sind ein klassisches Audit-Finding in der CSRD-Erstprüfung — Bußgeld-Risiko.
Greenwashing-Vorwurf	Nachhaltigkeitsversprechen ohne messbare CO₂-Daten sind regulatorisch und reputational ein Hochrisiko-Szenario.
SBTi-Zielverfehlung	Scope-3-Reduktionsziele können nicht verfolgt oder nachgewiesen werden ohne Cloud-IT-Emissionsdaten.
Investoren-Anfragen	ESG-bewusste Investoren stellen explizit nach Cloud-IT-Emissionsdaten; fehlende Antworten schaden der Bewertung.

Risiko

Beschreibung

CSRD Non-Compliance

Fehlende IT-Emissionsdaten in ESRS E1-6 sind ein klassisches Audit-Finding in der CSRD-Erstprüfung — Bußgeld-Risiko.

Greenwashing-Vorwurf

Nachhaltigkeitsversprechen ohne messbare CO₂-Daten sind regulatorisch und reputational ein Hochrisiko-Szenario.

SBTi-Zielverfehlung

Scope-3-Reduktionsziele können nicht verfolgt oder nachgewiesen werden ohne Cloud-IT-Emissionsdaten.

Investoren-Anfragen

ESG-bewusste Investoren stellen explizit nach Cloud-IT-Emissionsdaten; fehlende Antworten schaden der Bewertung.

Anforderung

Cloud-Provider Carbon-Footprint-Tools MÜSSEN für alle genutzten Cloud-Provider aktiviert sein
Emissionen MÜSSEN mindestens monatlich exportiert und archiviert werden
Workload-Tagging MUSS Carbon-Attribution auf Workload-Ebene ermöglichen
CSRD-pflichtige Organisationen MÜSSEN Cloud-IT in ESRS E1-6 Scope-3 integrieren
Carbon-Daten MÜSSEN mindestens 7 Jahre aufbewahrt werden (CSRD-Pflicht)
Eine Emissions-Baseline MUSS dokumentiert sein

Implementierungsanleitung

Cloud-Provider-Tools aktivieren: AWS CCF Tool in Cost Explorer; Azure Emissions Impact Dashboard aktivieren; GCP Carbon Footprint in Cloud Console
Workload-Tagging sicherstellen: Pflicht-Tags workload, cost-center, environment auf allen Ressourcen
Monatlicher Export-Prozess: Automatisierten S3/BigQuery-Export konfigurieren; Lambda-Scheduler für monthly Pull
Carbon Ledger aufbauen: Multi-Cloud-Aggregation in einheitlichem Format; CSRD-konforme Methodik dokumentieren
CSRD-Scoping: Assessment ob und ab wann CSRD-Pflicht gilt; ESRS E1 Mapping für Cloud-IT-Emissionen
Baseline festlegen: Ersten vollständigen Jahres-Footprint als Baseline dokumentieren
Retention einrichten: S3-Lifecycle mit 7-Jahres-Retention für Carbon-Daten (CSRD-Pflicht)

Reifegrad-Abstufung

Level	Bezeichnung	Kriterien
1	Carbon-blind	Keine Cloud-Carbon-Tools aktiviert; IT-Emissionen unbekannt.
2	Tool aktiv, ad-hoc	Carbon-Tool aktiviert; gelegentliche manuelle Abfragen; keine systematische Attribution.
3	Regelmäßig, workload-attribuiert	Monatlicher Export; Workload-Attribution durch Tagging; in ESG-Report integriert.
4	Automatisierte Pipeline, ESG-integriert	Automatisierter monatlicher Export aus allen Cloud-Providern; CSRD-Daten-Feed; SCI für Tier-1.
5	Echtzeit-Dashboard, CSRD-automatisiert	Echtzeit-Carbon-Dashboard; automatische CSRD/ESRS-E1-Integration; Third-Party-Assurance.

Level

Bezeichnung

Kriterien

Carbon-blind

Keine Cloud-Carbon-Tools aktiviert; IT-Emissionen unbekannt.

Tool aktiv, ad-hoc

Carbon-Tool aktiviert; gelegentliche manuelle Abfragen; keine systematische Attribution.

Regelmäßig, workload-attribuiert

Monatlicher Export; Workload-Attribution durch Tagging; in ESG-Report integriert.

Automatisierte Pipeline, ESG-integriert

Automatisierter monatlicher Export aus allen Cloud-Providern; CSRD-Daten-Feed; SCI für Tier-1.

Echtzeit-Dashboard, CSRD-automatisiert

Echtzeit-Carbon-Dashboard; automatische CSRD/ESRS-E1-Integration; Third-Party-Assurance.

Terraform Checks

waf-sus-010.tf.aws.cloudwatch-carbon-export

Prüft: CloudWatch Log Groups haben Retention Policy (kein infinite Retention für Carbon-Audit-Daten).

Compliant Non-Compliant

Compliant	Non-Compliant
`resource "aws_cloudwatch_log_group" "carbon_audit" { name = "/sustainability/carbon-footprint" retention_in_days = 365 tags = { purpose = "carbon-audit" workload = "sustainability-reporting" } }`	`resource "aws_cloudwatch_log_group" "carbon_audit" { name = "/sustainability/carbon-footprint" # retention_in_days fehlt # WAF-SUS-010 Violation: infinite retention }`

resource "aws_cloudwatch_log_group" "carbon_audit" {
  name              = "/sustainability/carbon-footprint"
  retention_in_days = 365
  tags = {
    purpose  = "carbon-audit"
    workload = "sustainability-reporting"
  }
}

resource "aws_cloudwatch_log_group" "carbon_audit" {
  name = "/sustainability/carbon-footprint"
  # retention_in_days fehlt
  # WAF-SUS-010 Violation: infinite retention
}

Remediation: retention_in_days auf mindestens 365 für Carbon-Audit-Log-Groups setzen. Für CSRD-Pflicht: 7-Jahres-Retention über S3-Lifecycle-Archivierung ergänzen.

waf-sus-010.tf.aws.s3-carbon-lifecycle

Prüft: S3-Buckets für Carbon-Daten haben Lifecycle-Rules.

# Compliant: 7-Jahres-Retention für CSRD-konforme Aufbewahrung
resource "aws_s3_bucket_lifecycle_configuration" "carbon_exports" {
  bucket = aws_s3_bucket.carbon_data.id
  rule {
    id     = "csrd-retention"
    status = "Enabled"
    transition {
      days          = 365
      storage_class = "GLACIER"
    }
    expiration {
      days = 2555  # 7 Jahre
    }
  }
}

Evidenz

Typ	Pflicht	Beschreibung
Config	✅ Pflicht	Screenshot/API-Bestätigung: Cloud-Provider Carbon-Tool aktiviert (AWS CCF, Azure EID, GCP CF).
Governance	✅ Pflicht	Monatliche Carbon Footprint Exports (min. 3 Monate) mit Workload-Breakdown.
Process	Optional	Carbon-Review-Meeting-Protokolle oder Jira-Tickets mit monatlichem Review-Nachweis.
Governance	Optional	ESRS E1 Report-Sektion mit Cloud-IT-Emissionen und Methodik-Vermerk.

Typ

Pflicht

Beschreibung

Config

✅ Pflicht

Screenshot/API-Bestätigung: Cloud-Provider Carbon-Tool aktiviert (AWS CCF, Azure EID, GCP CF).

Governance

✅ Pflicht

Monatliche Carbon Footprint Exports (min. 3 Monate) mit Workload-Breakdown.

Process

Optional

Carbon-Review-Meeting-Protokolle oder Jira-Tickets mit monatlichem Review-Nachweis.

Governance

Optional

ESRS E1 Report-Sektion mit Cloud-IT-Emissionen und Methodik-Vermerk.

Regulatorisches Mapping

Framework	Controls
EU CSRD (Corporate Sustainability Reporting Directive)	ESRS E1 – Climate change; ESRS G1 – Governance; ESRS S1 – Own workforce; ESRS S2 – Workers in own workforce; ESRS S3 – Affected communities; ESRS S4 – Human rights
GHG Protocol (Corporate Accounting and Reporting Standard)	Scope 1 – Direct emissions; Scope 2 – Indirect emissions from purchased energy; Scope 3 – Other indirect emissions
Green Software Foundation (GSF)	Software Engineering Principles – Carbon-aware computing; Carbon accounting standards
SBTi (Science Based Targets initiative)	Target setting methodology; Validation and verification; Corporate target standards
ISO 14001:2015	Clause 6.1 – Actions to address risks and opportunities; Clause 8.1 – Operational planning and control; Clause 9.1.1 – Monitoring, measurement, analysis and evaluation
ISO 14064-1:2018	Clause 5 – GHG inventory quantification; Clause 6 – GHG inventory validation and verification
GDPR	Art. 28 – Processor obligations; Art. 32 – Security of processing
CSRD	ESRS E1-6 – Emissions; ESRS G1-3 – Governance
NIST SP 800-53	AU-1 – Audit and accountability policy; AU-2 – Audit events; AU-3 – Content of audit records
NIST CSF 2.0	GV.PO – Policy; DE.CM – Continuous monitoring; RV.RP – Recovery planning
TISAX	Information security – Sustainability; Prototype protection – Environmental protection
ANSSI SecNumCloud	Domain – Environmental impact
BIO	BIO – Milieueffecten
ENS High	op.exp.9 – Gestión del impacto ambiental
UK NCSC CAF	B6 – Environmental impact
CMMC 2.0	AU.L2-3.8.1 – Automated audit logging
IRAP	ISM – Environmental monitoring
CCCS PBMM	AU-2 – Audit events
MAS TRM	Ch.12 – Outsourcing risk management
ISMAP	Sustainability and environmental impact
FISC	Operational measures – Environmental impact

Framework

Controls

EU CSRD (Corporate Sustainability Reporting Directive)

ESRS E1 – Climate change; ESRS G1 – Governance; ESRS S1 – Own workforce; ESRS S2 – Workers in own workforce; ESRS S3 – Affected communities; ESRS S4 – Human rights

GHG Protocol (Corporate Accounting and Reporting Standard)

Scope 1 – Direct emissions; Scope 2 – Indirect emissions from purchased energy; Scope 3 – Other indirect emissions

Green Software Foundation (GSF)

Software Engineering Principles – Carbon-aware computing; Carbon accounting standards

SBTi (Science Based Targets initiative)

Target setting methodology; Validation and verification; Corporate target standards

ISO 14001:2015

Clause 6.1 – Actions to address risks and opportunities; Clause 8.1 – Operational planning and control; Clause 9.1.1 – Monitoring, measurement, analysis and evaluation

ISO 14064-1:2018

Clause 5 – GHG inventory quantification; Clause 6 – GHG inventory validation and verification

GDPR

Art. 28 – Processor obligations; Art. 32 – Security of processing

CSRD

ESRS E1-6 – Emissions; ESRS G1-3 – Governance

NIST SP 800-53

AU-1 – Audit and accountability policy; AU-2 – Audit events; AU-3 – Content of audit records

NIST CSF 2.0

GV.PO – Policy; DE.CM – Continuous monitoring; RV.RP – Recovery planning

TISAX

Information security – Sustainability; Prototype protection – Environmental protection

ANSSI SecNumCloud

Domain – Environmental impact

BIO

BIO – Milieueffecten

ENS High

op.exp.9 – Gestión del impacto ambiental

UK NCSC CAF

B6 – Environmental impact

CMMC 2.0

AU.L2-3.8.1 – Automated audit logging

IRAP

ISM – Environmental monitoring

CCCS PBMM

AU-2 – Audit events

MAS TRM

Ch.12 – Outsourcing risk management

ISMAP

Sustainability and environmental impact

FISC

Operational measures – Environmental impact

Best Practice

CO₂-Fußabdruck messen und reporten →

WAF-SUS-010 – Carbon Footprint Measurement & Reporting

Beschreibung

Rationale

Bedrohungskontext

Anforderung

Implementierungsanleitung

Reifegrad-Abstufung

Terraform Checks

waf-sus-010.tf.aws.cloudwatch-carbon-export

waf-sus-010.tf.aws.s3-carbon-lifecycle

Evidenz

Regulatorisches Mapping

Verwandte Controls

Best Practice