:quality(80)/p7i.vogel.de/wcms/d1/4f/d14f0c11fbf6e5d56fdfeb16437e7048/0115479470.jpeg "Multi-Cloud-Management ermöglicht es Unternehmen, verschiedene Cloud-Dienste effizient zu integrieren und zu verwalten für verbesserte Flexibilität, Risikominimierung und Kosteneffizienz. (Bild: Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/61/b8615878dfcb9b7383269a429384a593/0115304715.jpeg "Von klassischem Filesharing bis hin zu vollumfänglichen Collaboration-Plattformen: Dank Cloud Content Management haben Angestellte jederzeit sicheren Zugriff auf alle nötigen Daten und Anwendungen. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/98/3d98b69e471f34ee67173e2b19150983/0115412594.jpeg "Enterprise-SaaS-Angebote bringen die klassischen Geschäftsanwendungen in die Cloud – und damit hohe Flexibilität und Skalierbarkeit, um im Wettbewerb langfristig am Ball zu bleiben. (Bild: peacehunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/62/30624eca2f87ce076c5d1a130775b541/0115474244.jpeg "App- und Geräteverwaltung: Mit Microsoft Intune lässt sich der Benutzerzugriff auf Organisationsressourcen - inklusive mobiler Geräte, Desktopcomputer und virtueller Endpunkte - verwalten. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/91/2d/912d22362ea9150bda4edbeb628f2ecf/0115212768.jpeg "Mit der zunehmenden Verbreitung von Cloud Computing änderten sich auch die klassischen Software-Lizenzen - heutzutage sind Abonnement-Modelle, so genannte Subscriptions gängige Methoden der Software-Beschaffung. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/a1/f7/a1f7f8cdb0d4b00cb4e375692c9890ea/0115336164.jpeg "Nachhaltigkeit ist das Gebot der Stunde: das gilt auch für die moderne Softwareentwicklung. Wie Green Coding im Cloud-Zeitalter funktionieren kann, erklärt Marcel Russ von Exxeta im Beitrag. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/09/a709f858c72c942fd4f888e4d55d3a32/0115542555.jpeg "Die Pflicht zum ESG-Reporting oder zur sogenannten Nachhaltigkeitsberichterstattung gilt ab 2024 für alle großen börsennotierten Unternehmen und ab 2025 auch für kleine oder mittlere Unternehmen. (Bild: frei lizenziert Gerd Altmann - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/73/c1/73c18fce286de13bff07a3e0f3cf8490/0115520005.jpeg "„Rise with SAP“ bietet als All-in-One-Service viele Vorteile, lässt aber die Anwender mit vielen Arbeitsschritten alleine; Managed Service Provider leisten Hilfestellung für überforderte IT-Abteilungen. (Bild: Me studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/2f/882fac0560e86914e4cb4d400bf81296/0115521215.jpeg "Das Release 2023.11.1 von grommunio führt einen Open-Source-Rewrite der Exchange Web Services ein. (Bild: grommunio)")
:quality(80)/p7i.vogel.de/wcms/2f/d2/2fd2661061c70a86bd3aacdf35db555d/0115412159.jpeg "Softwarepiraterie ist wieder ein Problem. Doch der Ärger bei den Herstellern schlägt noch größere Wellen. (Bild: Canva/Lucas Schmidt)")
:quality(80)/p7i.vogel.de/wcms/62/45/6245dddaaa35c08e0d8aa6eb0e0f4f15/0115602618.jpeg "Multi-Cloud-Umgebungen sind mittlerweile verbreitet, aber nicht ohne Herausforderungen. Das zeigt ein aktueller Report der Cockroach Labs. (Bild: Gianni Crestani)")
:quality(80)/p7i.vogel.de/wcms/ca/b9/cab94fe31214a2a6adb0bf734ed78eda/0115377499.jpeg "Die Delos Cloud GmbH wurde erst im vergangenen Jahr gegründet. Sie soll eine souveräne Cloud-Plattform für den öffentlichen Dienst entwickeln – basierend auf Azure von Microsoft. (Bild: frei lizenziert, Coernl / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2d/b4/2db4fe8d4c7794c86d036465a2badd80/0115242134.jpeg "Vom 6. bis zum 9. November 2023 hat in Barcelona die Veranstaltung „VMware Explore 2023“ stattgefunden. Vielleicht war es die letzte Konferenz dieser Art, haben viele Besucher mehr oder weniger laut überlegt. (Bild: VMware )")
:quality(80)/p7i.vogel.de/wcms/12/6a/126a5160cdf5d91408c07621988fc04d/0115491197.jpeg "Die Cloud sorgt für positive ROIs, wie ein aktueller Report von MIT Technology Review und Infosys Cobalt zeigt. (Bild: Michaela)")
:quality(80)/p7i.vogel.de/wcms/e5/ea/e5ea917b3c394033e9a33f64a862648d/0115393557.jpeg "Cyberangriffe mit Ransomware sind nach Einschätzung des BSI nach wie vor die größte Bedrohung für Wirtschaft und Verwaltung. Sie verursachen einen Großteil der wirtschaftlichen Schäden, die durch Cyberangriffe entstehen. (©MH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/d9/65d9fcb5f8f83f264671e8f62c4ff615/0115174800.jpeg "(Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/c4/e1/c4e1280ea1e8075ce49f0d40091ee55e/0115209201.jpeg "Nicht immer sind sich Unternehmen und ihre Mitarbeiter drohender Risiken bewusst. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/4b/9c/4b9c0bd0d9be24bf0878ccc3fa6b2624/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/6b/42/6b42dbf5f1e6e2332b6e3144da1a4b20/0115100533.jpeg "Nutanix hat mittels neuer Funktionen die Cyberresilienz seiner Cloud Platform erhöht. (Bild: Nutanix)")
:quality(80)/p7i.vogel.de/wcms/54/1a/541a51ee78f099d577ebef88748c98de/0115421247.jpeg "Die ausufernde technische Infrastruktur erfordert eine neue Kategorie von Integrationsplattformen, die den Anforderungen der Nutzer gerecht wird und Datensilos auflöst. (Bild: Software AG)")
:quality(80)/p7i.vogel.de/wcms/59/96/599648de637a03f0c1b5482c762fbd96/0115418433.jpeg "Aus der Nutzung von SAP ADM ergeben sich nicht nur technische, sondern vor allem wirtschaftliche Vorteile: Die Produktivität von IT-Abteilungen und der Projektteams wird höher. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/72/56721511461fd1c95e13fdbda06976b1/0115201012.jpeg "Die Impossible Cloud verspricht, die Cloud „neu zu denken“. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/72/77/727780360746575c594c6b0d55c314a2/0115687164.jpeg "Gemini ist das bisher größte und leistungsfähigste KI-Modell von Google. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/48/fd/48fdd5e4afaa56c7804df43af083898a/0115513692.jpeg "91 Prozent der befragten Unternehmen kämpfen mit steigenden Preisen, während geplante Investitionen für KI und Machine Learning deutlich zunehmen. (Bild: tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/95/bb956c47724c3baa54af89189bb36747/0115598503.jpeg "Aus der verstärkten Kooperation zwischen SpaceNet und Softiq geht das Joint Venture Softiq Deutschland hervor. (Bild: Tumisu)")
:quality(80)/p7i.vogel.de/wcms/a8/62/a862d5cd1d593e259b53205f46c234e9/0115654474.jpeg "Bei der Umstellung von „Perpetual“-Lizenz auf ein „Subscription“-Modell gibt es wichtige Punkte zu beachten. Welche das sind, erfahren Sie in dieser neuen Podcast-Folge. (Bild: comdivision / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/f1/50/f1501494a783487718263fc201b5a219/0115023358.jpeg "Die SAP hielt ihre TechEd 2023 in Bangalore, Indien, sowie virtuell ab. (Bild: SAP)")
:quality(80)/p7i.vogel.de/wcms/c7/36/c736f7a78dfe236e4a6a34b6536de317/0114891083.jpeg "Immer wieder heißt es, ChatGPT könne den Arbeitsalltag erleichtern. Wie kann das aussehen? (Bild: frei lizenziert)")
Cloud-Zertifizierung Cloud-Zertifizierung – eine Suche im Dschungel der Angebote
Will ein neuer Cloud Service Provider seine Kompetenz und Vertrauenswürdigkeit nachweisen, so sucht er nach geeigneten Verfahren für die Zertifizierung. Die Vielfalt von Cloud-Zertifikaten, Gütesiegeln und Normen verwirrt aber auf den ersten Blick. Erst die mühsame Analyse der Angebote trennt die Spreu vom Weizen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/f1/64f18cf620acb/stackit-logo.jpeg "stackit-logo (Privat)"){kind=logo}
„Ohne das fachspezifische Know-how wird eine angemessene Bewertung und Einordnung von Cloud Providern nicht möglich sein, also laufen wir zwangsläufig in die Zertifizierung. Wir sollten in erster Linie uns darum bemühen, Transparenz herbeizuführen“, so Andreas Weiss, Geschäftsführer von EuroCloud_eco e.V. im Insider Talk von CloudComputing-Insider. Jedes Fahrzeug muss nach strengen Kriterien zugelassen und regelmäßig geprüft werden, aber wertvolle Kundendaten in der Cloud nicht? Zertifizierung tut also not, und ohne diesen Beleg der Vertrauenswürdigkeit dürfte es Cloud Computing in Deutschland weiterhin schwer haben.
Andreas Weiss hat Recht mit seiner Forderung nach Transparenz bei Bewertung und Einordnung von Cloud-Providern. In der Tat erscheint mitunter die Vielfalt der Gütesiegel und Zertifizierungsstellen wie ein Dschungel. Nicht nur kleine und mittlere Unternehmen, die zunehmend nach Entlastung durch SaaS-Angebote suchen, wünschen sich einen Leitfaden durch dieses Dickicht. Auch ein neuer Cloud Service Provider, der dem Wunsch ihrer Kunden nach Belegen für die Vertrauenswürdigkeit und Zuverlässigkeit seiner Services belegen will, sucht entsprechende Zertifikate. Die Auswahl fällt angesichts der Vielfalt der Angebote schwer.
Schnell stoßen die Interessenten auf Gütesiegel, die lediglich eine Selbstverpflichtung deklarieren. Dazu gehört der Titel „Software hosted in Germany“ (PDF), das vom Bundesverband des IT-Mittelstands BITMi vergeben wird. Der SaaS-Anbieter CAS Software in Karlsruhe weist dieses Siegel vor. Will man erfahren, mit welchen Zertifikaten er dies belegen kann, wird man an seinen Internet-Provider InternetX verwiesen.
Das ist nur folgerichtig, denn der Provider ist der wirklich relevante Geschäftspartner für einen Kunden: Hier wird die SaaS-Software gehostet, hier werden die Daten des Kunden gespeichert. Die einschlägigen Zertifikate von InternetX bekommt man auf Anfrage gezeigt. „InternetX hat uns sein ISO27001-Zertifikat gezeigt“, berichtet Martin Kirchner, Teamleiter für das Open Backend bei CAS Software. „Das gehört zu den Mindestanforderungen, ebenso wie ein Zertifikat nach ISO 9000.“ Dass SaaS-Lösungen mandantenfähig sind und die Kundendaten gesichert und verschlüsselt, ist für Kirchner ebenso selbstverständlich. „CAS Software investiert in drei Forschungsprojekte für die Cloud-Sicherheit.“
Die Standards
Maßgebliche und verbreitete Standards, an denen sich der Interessent orientieren kann, wenn er einen Cloud-Provider auswählt, sind die bereits erwähnte ISO 27001, der IT-Sicherheit und deren Management belegt; die ISAE3402 Typ 2, das das interne Kontrollsystem und die Wirksamkeit der Kontrollen prüft und nachweist, sowie ISO/IEC 20000-1 (IT-Service Management) und ISO/IEC 27018 (Schutz personenbezogener Daten).
Der österreichische Cloud Provider Fabasoft hat sich nach all diesen Standards auditieren lassen. Dafür war eine erstaunliche Anzahl von Zertifizierungsstellen nötig, so etwa der TÜV Rheinland, der TÜV Austria, das Wirtschaftsprüfungsunternehmen PriceWaterhouseCooper (PwC) und nicht zuletzt die wohl bekannteste Zertifizierungsstelle EuroCloud Star Audit (ECSA). Um die höchste Auszeichnung ECSA v3.0 mit fünf Sternen zu erringen, musste Fabasoft die Hochverfügbarkeit und Ausfallsicherheit seiner Informationstechnik nachweisen.
Andere Provider fragen sich wahrscheinlich, ob sie wirklich solchen Aufwand treiben müssen. Jede Auditierung bedeutet nämlich eine beträchtlich Investition in zeitlichen, personellen und finanziellen Aufwand. „Allein die interne Vorbereitung für ein Audit wird uns 30.000 bis 40.000 Euro kosten“, so Kirchner von CAS Software. Die Kosten für die externe Auditierung kämen natürlich hinzu. Das Bundesministerium für Wirtschaft (BMWI) förderte solche Zertifizierungen in einem Forschungsprojekt und übernahm teilweise die Kosten. Kirchner: „Wir haben das Angebot damals nicht genutzt, weil wir vor einem Versionswechsel unserer CRM-Cloudsysteme standen.“
:quality(80)/images.vogel.de/vogelonline/bdb/1053700/1053717/original.jpg "Eine Übersicht über die wichtigsten Cloud-Zertifizierer bietet diese Tabelle. ECSA ist EuroCloud Star Audit. CSA ist die US-amerikanische Cloud Security Alliance.")
:quality(80)/images.vogel.de/vogelonline/bdb/1053700/1053718/original.jpg "Die Pyramide der Anforderungen an die Auszeichnung durch EuroCloud Star Audit. Fünf Sterne zu erringen, erfordert den Nachweis einer High Availability (HA) Fähigkeit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1053700/1053719/original.jpg "Ein reales Cloud-Zertifikat, das der TÜV Saarland ausgestellt hat.")
:quality(80)/images.vogel.de/vogelonline/bdb/1053700/1053720/original.jpg "Der TÜV Nord hat der Firma Uniscon für deren Dienst IDGARD ein bedingtes Zertifikat ausgestellt: Nur wenn die 2-Faktor-Authentifizierung genutzt wird, gilt die höchste Schutzklasse III.")
Tiefergelegt
Geht es nicht auch eine Nummer kleiner? Tatsächlich bemühen sich mehrere Initiativen und nicht zuletzt die Behörden der deutschen Bundesregierung sowie der Europäischen Kommission, Hilfe bei alternativen Zertifizierungen zu bieten. So wird etwa vom Bund das Projekt NGcert, also Next-Generation Certification mitgetragen. Der oben erwähnte EuroCloud Deutschland_eco e.V. bringt hierbei seine Erfahrungen durch das EuroCloud Star Audit in das Projekt ein. Weitere Partner sind das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), Technische Universität München, Universität Köln, Universität Passau, Universität Kassel, Fujitsu Technology und die Anstalt für Kommunale Datenverarbeitung in Bayern. Das AISEC nimmt selbst Sicherheitsbewertungen vor und kann nach eigenen Angaben die technische Prä-Auditierung ausführen.
Der Verband Cloud Ecosystem stellt das Gütesiegel „Trust in Cloud“ und andere Zertifikate aus, allerdings nur für SaaS, IaaS und Cloud-Berater. Das geht also an Providern vorbei. „Trust in Cloud“ darf allerdings nicht mit Trusted Cloud verwechselt werden. Der „Verein Kompetenznetzwerk Trusted Cloud“ vergibt dieses Gütesiegel unter der Schirmherrschaft des BMWI; der Kriterienkatalog, den ein Bewerber erfüllen müssen, ist seit Februar 2016 veröffentlicht, so dass ihn sowohl Anbieter wie Nutzer einsehen können. Die Angaben muss der Bewerber selbst angeben, darunter auch die Zertifikate seiner Dienstleister und ihrer Rechenzentren. Der Leser muss sich darauf verlassen können, dass diese Angaben und Belege der Wahrheit entsprechen, aber ein Zertifikat selbst sieht anders aus.
(ID:44171938)
:quality(80)/p7i.vogel.de/wcms/4a/56/4a564fdc4fff6c35f3ab456ff845591e/0109381019.jpeg "Mit CloudGate von Microfin sollen Banken und Versicherungen jetzt Risikobewertungen für die Google Cloud deutlich effizienter erstellen können. (Bild: frei lizenziert Gerd Altmann - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/73/3b/733ba48b0c28a33e80ddfe6ae66bc9a7/0109414498.jpeg "T-Systems offeriert mit der Open Telekom Cloud eine sichere Alternative zu den Hyperscalern. (Bild: gemeinfrei, cocoparisienne / Pixabay)")