WAF++ WAF++
Back to WAF++ Homepage

WAF-SUS-010 – Carbon Footprint Measurement & Reporting

Pillar: Sustainability | Severity: High | Kategorie: Carbon Measurement | Automatisierbar: Hoch

Beschreibung

Cloud-Provider Carbon-Footprint-Tools (AWS Customer Carbon Footprint Tool, Azure Emissions Impact Dashboard, GCP Carbon Footprint) MÜSSEN aktiviert und mindestens monatlich ausgewertet werden. Emissionsdaten MÜSSEN mit Workload-Tags verknüpft sein, um eine Workload-Attribution zu ermöglichen. Für CSRD-pflichtige Organisationen MÜSSEN Cloud-IT-Emissionen in die ESRS E1-6 Berichterstattung als Scope-3-Kategorie-11-Emissionen aufgenommen werden.

Rationale

Emissionsreduktion erfordert zuerst Messung. Cloud-IT ist ein messbarer, direkt beeinflussbarer Scope-3-Faktor. CSRD verpflichtet berichtspflichtige Unternehmen zur Offenlegung von Scope-3-Emissionen — Cloud-IT ist dort ausdrücklich enthalten. Ohne systematische Messung sind Reduktionsziele nicht verifizierbar und ESG-Berichte nicht CSRD-konform.

Bedrohungskontext

Risiko Beschreibung

CSRD Non-Compliance

Fehlende IT-Emissionsdaten in ESRS E1-6 sind ein klassisches Audit-Finding in der CSRD-Erstprüfung — Bußgeld-Risiko.

Greenwashing-Vorwurf

Nachhaltigkeitsversprechen ohne messbare CO₂-Daten sind regulatorisch und reputational ein Hochrisiko-Szenario.

SBTi-Zielverfehlung

Scope-3-Reduktionsziele können nicht verfolgt oder nachgewiesen werden ohne Cloud-IT-Emissionsdaten.

Investoren-Anfragen

ESG-bewusste Investoren stellen explizit nach Cloud-IT-Emissionsdaten; fehlende Antworten schaden der Bewertung.

Anforderung

  • Cloud-Provider Carbon-Footprint-Tools MÜSSEN für alle genutzten Cloud-Provider aktiviert sein

  • Emissionen MÜSSEN mindestens monatlich exportiert und archiviert werden

  • Workload-Tagging MUSS Carbon-Attribution auf Workload-Ebene ermöglichen

  • CSRD-pflichtige Organisationen MÜSSEN Cloud-IT in ESRS E1-6 Scope-3 integrieren

  • Carbon-Daten MÜSSEN mindestens 7 Jahre aufbewahrt werden (CSRD-Pflicht)

  • Eine Emissions-Baseline MUSS dokumentiert sein

Implementierungsanleitung

  1. Cloud-Provider-Tools aktivieren: AWS CCF Tool in Cost Explorer; Azure Emissions Impact Dashboard aktivieren; GCP Carbon Footprint in Cloud Console

  2. Workload-Tagging sicherstellen: Pflicht-Tags workload, cost-center, environment auf allen Ressourcen

  3. Monatlicher Export-Prozess: Automatisierten S3/BigQuery-Export konfigurieren; Lambda-Scheduler für monthly Pull

  4. Carbon Ledger aufbauen: Multi-Cloud-Aggregation in einheitlichem Format; CSRD-konforme Methodik dokumentieren

  5. CSRD-Scoping: Assessment ob und ab wann CSRD-Pflicht gilt; ESRS E1 Mapping für Cloud-IT-Emissionen

  6. Baseline festlegen: Ersten vollständigen Jahres-Footprint als Baseline dokumentieren

  7. Retention einrichten: S3-Lifecycle mit 7-Jahres-Retention für Carbon-Daten (CSRD-Pflicht)

Reifegrad-Abstufung

Level Bezeichnung Kriterien

1

Carbon-blind

Keine Cloud-Carbon-Tools aktiviert; IT-Emissionen unbekannt.

2

Tool aktiv, ad-hoc

Carbon-Tool aktiviert; gelegentliche manuelle Abfragen; keine systematische Attribution.

3

Regelmäßig, workload-attribuiert

Monatlicher Export; Workload-Attribution durch Tagging; in ESG-Report integriert.

4

Automatisierte Pipeline, ESG-integriert

Automatisierter monatlicher Export aus allen Cloud-Providern; CSRD-Daten-Feed; SCI für Tier-1.

5

Echtzeit-Dashboard, CSRD-automatisiert

Echtzeit-Carbon-Dashboard; automatische CSRD/ESRS-E1-Integration; Third-Party-Assurance.

Terraform Checks

waf-sus-010.tf.aws.cloudwatch-carbon-export

Prüft: CloudWatch Log Groups haben Retention Policy (kein infinite Retention für Carbon-Audit-Daten).

Compliant Non-Compliant 
resource "aws_cloudwatch_log_group" "carbon_audit" {
  name              = "/sustainability/carbon-footprint"
  retention_in_days = 365
  tags = {
    purpose  = "carbon-audit"
    workload = "sustainability-reporting"
  }
}
 
resource "aws_cloudwatch_log_group" "carbon_audit" {
  name = "/sustainability/carbon-footprint"
  # retention_in_days fehlt
  # WAF-SUS-010 Violation: infinite retention
}

Remediation: retention_in_days auf mindestens 365 für Carbon-Audit-Log-Groups setzen. Für CSRD-Pflicht: 7-Jahres-Retention über S3-Lifecycle-Archivierung ergänzen.

waf-sus-010.tf.aws.s3-carbon-lifecycle

Prüft: S3-Buckets für Carbon-Daten haben Lifecycle-Rules.

# Compliant: 7-Jahres-Retention für CSRD-konforme Aufbewahrung
resource "aws_s3_bucket_lifecycle_configuration" "carbon_exports" {
  bucket = aws_s3_bucket.carbon_data.id
  rule {
    id     = "csrd-retention"
    status = "Enabled"
    transition {
      days          = 365
      storage_class = "GLACIER"
    }
    expiration {
      days = 2555  # 7 Jahre
    }
  }
}

Evidenz

Typ Pflicht Beschreibung

Config

✅ Pflicht

Screenshot/API-Bestätigung: Cloud-Provider Carbon-Tool aktiviert (AWS CCF, Azure EID, GCP CF).

Governance

✅ Pflicht

Monatliche Carbon Footprint Exports (min. 3 Monate) mit Workload-Breakdown.

Process

Optional

Carbon-Review-Meeting-Protokolle oder Jira-Tickets mit monatlichem Review-Nachweis.

Governance

Optional

ESRS E1 Report-Sektion mit Cloud-IT-Emissionen und Methodik-Vermerk.

Verwandte Controls

Best Practice