WAF++ WAF++
Back to WAF++ Homepage

WAF-SUS-090 – ESG Reporting & Compliance Automation

Pillar: Sustainability | Severity: Medium | Kategorie: ESG Reporting | Automatisierbar: Mittel

Beschreibung

CSRD-pflichtige Organisationen MÜSSEN dokumentierte Prozesse für das Erfassen und Reporten von Cloud-IT-Emissionen als Scope-3-GHG-Inventar (Kategorie 11) haben. Cloud-IT-Emissionsdaten MÜSSEN mindestens quartalsweise automatisiert aus Cloud-Provider-Tools exportiert werden. CSRD-in-scope-Organisationen MÜSSEN Cloud-Emissionen nach ESRS E1-6 berichten. AWS Budgets und Cost-Management-Exports MÜSSEN konfiguriert und aktiv sein als Sustainability-Proxy. Ein CSRD-Scoping-Assessment MUSS dokumentiert sein.

Rationale

CSRD ist für berichtspflichtige Organisationen keine Best Practice, sondern eine gesetzliche Pflicht. ESRS E1-6 verlangt Angaben zu Scope 3 Kategorie 11 — worunter Cloud-IT-Dienste fallen. Fehlende oder fehlerhafte ESG-Berichte können zu Bußgeldern führen. Greenwashing-Ansprüche ohne Datenbasis sind ein wachsendes Reputations- und Haftungsrisiko. Automatisierung ist der einzige Weg zu konsistenten, audit-fähigen Daten — manuelle Jahres-Prozesse produzieren fehleranfällige Berichte.

Bedrohungskontext

Risiko Beschreibung

CSRD-Bußgeld

Fehlende oder unvollständige Nachhaltigkeitsberichte für in-scope Unternehmen können zu empfindlichen Bußgeldern führen.

ESG-Audit-Finding

Fehlende IT-Emissionsdaten sind bei ersten CSRD-Prüfungsrunden typische Audit-Findings mit Nachbesserungspflicht.

Greenwashing-Haftung

Nachhaltigkeitsversprechen ohne Datenunterbau sind nach CSRD und EU Green Claims Directive ein Haftungsrisiko.

SBTi-Zielgefährdung

Scope-3-Reduktionsziele können ohne Cloud-IT-Emissionsdaten nicht glaubwürdig verfolgt oder belegt werden.

Anforderung

  • CSRD-Scoping-Assessment MUSS dokumentiert sein (in scope, out of scope, ab wann)

  • Emissions-Datenerfassungs-Prozess MUSS dokumentiert sein (Quellen, Methodik, Frequenz, Owner)

  • Cloud-IT-Emissionen MÜSSEN als Scope 3 Kategorie 11 im GHG-Inventar geführt werden

  • Automatisierte Cloud-Carbon-Exports MÜSSEN für alle genutzten Cloud-Provider konfiguriert sein

  • AWS Budgets MÜSSEN Notifications konfiguriert haben

  • Emissions-Baseline MUSS definiert und dokumentiert sein

Implementierungsanleitung

  1. CSRD-Scoping: Legal-Assessment: ist die Organisation direkt oder indirekt CSRD-pflichtig? Ab welchem Geschäftsjahr?

  2. Daten-Inventar: Alle Cloud-Provider Carbon-Tools aktivieren; Export-Konfiguration für S3/BigQuery

  3. Aggregation: Multi-Cloud Carbon Ledger; Methodik nach GHG Protocol Scope 3 dokumentieren

  4. ESRS E1-Mapping: Cloud-IT-Emissionen explizit in ESRS E1-6-Sektion des Nachhaltigkeitsberichts

  5. Budget-Alerts: AWS Budgets mit Notifications auf 80% und 100% Schwelle + Forecasted

  6. Retention: 7-Jahres-Retention für Carbon-Daten (CSRD-Dokumentationspflicht)

  7. Assurance vorbereiten: Datenquellen, Methodik, Berechnungskette für Third-Party-Assurance dokumentieren

Reifegrad-Abstufung

Level Bezeichnung Kriterien

1

Keine Reporting-Pflicht bekannt

CSRD-Pflicht nicht geklärt; keine Prozesse; keine Daten.

2

Manuelle Jahres-Abfragen

Manuelle Carbon-Daten für Jahresbericht; CSRD-Pflicht bekannt aber nicht strukturiert adressiert.

3

Quartalsexport mit Methodik

Quarterly Export; CSRD-Scoping-Assessment; Cloud-IT in ESRS E1 mit dokumentierter Methodik.

4

Automatisierte Pipeline, Assurance-ready

Automatisierte monatliche Pipeline; SBTi-Ziele gesetzt; vollständige Datenherkunft dokumentiert.

5

Echtzeit-Dashboard, Third-Party-Assurance

Echtzeit-Dashboard; externem Assurance-Provider bestanden; vollständige CSRD-Automatisierung.

Terraform Checks

waf-sus-090.tf.aws.cost-explorer-export-s3

Prüft: S3-Bucket für Carbon/ESG-Exports hat purpose-Tag und Lifecycle-Policy.

Compliant Non-Compliant 
resource "aws_s3_bucket" "esg_data" {
  bucket = "acme-esg-carbon-exports"
  tags = {
    purpose     = "esg-reporting"
    owner       = "sustainability-team"
    environment = "production"
    workload    = "esg-reporting"
  }
}
resource "aws_s3_bucket_lifecycle_configuration" "esg" {
  bucket = aws_s3_bucket.esg_data.id
  rule {
    id     = "csrd-7year"
    status = "Enabled"
    expiration { days = 2555 }
  }
}
 
resource "aws_s3_bucket" "esg_data" {
  bucket = "esg-exports-bucket"
  # WAF-SUS-090 Warning: kein purpose-Tag,
  # keine Lifecycle-Policy, kein 7-Jahres-Retention
}

Remediation: purpose = "esg-reporting" Tag setzen; 7-Jahres-Lifecycle-Policy konfigurieren; Versioning aktivieren für Audit-Trail.

waf-sus-090.tf.aws.budgets-sustainability-alert

Prüft: AWS Budgets haben Notifications konfiguriert.

Compliant Non-Compliant 
resource "aws_budgets_budget" "sustainability" {
  name         = "sustainability-proxy"
  budget_type  = "COST"
  limit_amount = "500"
  limit_unit   = "USD"
  time_unit    = "MONTHLY"
  notification {
    comparison_operator        = "GREATER_THAN"
    threshold                  = 80
    threshold_type             = "PERCENTAGE"
    notification_type          = "ACTUAL"
    subscriber_email_addresses = [var.sustainability_email]
  }
}
 
resource "aws_budgets_budget" "main" {
  name         = "monthly-budget"
  budget_type  = "COST"
  limit_amount = "1000"
  limit_unit   = "USD"
  time_unit    = "MONTHLY"
  # WAF-SUS-090 Violation: keine Notifications
}

Remediation: Mindestens zwei Notifications konfigurieren: 80% (ACTUAL) und 100% (FORECASTED). Zusätzlich ANOMALY_DETECTION für unerwartete Spikes.

Evidenz

Typ Pflicht Beschreibung

Governance

✅ Pflicht

CSRD-Scoping-Assessment (in scope / out of scope / ab welchem Jahr).

Process

✅ Pflicht

Emissions-Datenerfassungs-Prozess: Quellen, Methodik, Frequenz, verantwortlicher Owner.

Config

Optional

Automatisierter Cloud-Carbon-Export (S3 für AWS, BigQuery für GCP, Power BI für Azure).

Governance

Optional

ESRS E1 / GHG Protocol Scope 3 Report-Sektion mit IT-Emissionen und Methodik.

Governance

Optional

SBTi-Commitment-Brief oder internes Emissionsreduktionsziel-Dokument.

Verwandte Controls

Best Practice