Cloud-Zertifizierung

Cloud-Zertifizierung – eine Suche im Dschungel der Angebote

| Autor / Redakteur: Michael Matzer / Florian Karlstetter

Standards und Datenschutz-Zertifikate für Cloud Computing - der Versuch einer Übersicht und Einordnung.
Standards und Datenschutz-Zertifikate für Cloud Computing - der Versuch einer Übersicht und Einordnung. (Bild: © dizain - Fotolia.com)

Will ein neuer Cloud Service Provider seine Kompetenz und Vertrauenswürdigkeit nachweisen, so sucht er nach geeigneten Verfahren für die Zertifizierung. Die Vielfalt von Cloud-Zertifikaten, Gütesiegeln und Normen verwirrt aber auf den ersten Blick. Erst die mühsame Analyse der Angebote trennt die Spreu vom Weizen.

„Ohne das fachspezifische Know-how wird eine angemessene Bewertung und Einordnung von Cloud Providern nicht möglich sein, also laufen wir zwangsläufig in die Zertifizierung. Wir sollten in erster Linie uns darum bemühen, Transparenz herbeizuführen“, so Andreas Weiss, Geschäftsführer von EuroCloud_eco e.V. im Insider Talk von CloudComputing-Insider. Jedes Fahrzeug muss nach strengen Kriterien zugelassen und regelmäßig geprüft werden, aber wertvolle Kundendaten in der Cloud nicht? Zertifizierung tut also not, und ohne diesen Beleg der Vertrauenswürdigkeit dürfte es Cloud Computing in Deutschland weiterhin schwer haben.

Andreas Weiss hat Recht mit seiner Forderung nach Transparenz bei Bewertung und Einordnung von Cloud-Providern. In der Tat erscheint mitunter die Vielfalt der Gütesiegel und Zertifizierungsstellen wie ein Dschungel. Nicht nur kleine und mittlere Unternehmen, die zunehmend nach Entlastung durch SaaS-Angebote suchen, wünschen sich einen Leitfaden durch dieses Dickicht. Auch ein neuer Cloud Service Provider, der dem Wunsch ihrer Kunden nach Belegen für die Vertrauenswürdigkeit und Zuverlässigkeit seiner Services belegen will, sucht entsprechende Zertifikate. Die Auswahl fällt angesichts der Vielfalt der Angebote schwer.

Schnell stoßen die Interessenten auf Gütesiegel, die lediglich eine Selbstverpflichtung deklarieren. Dazu gehört der Titel „Software hosted in Germany“ (PDF), das vom Bundesverband des IT-Mittelstands BITMi vergeben wird. Der SaaS-Anbieter CAS Software in Karlsruhe weist dieses Siegel vor. Will man erfahren, mit welchen Zertifikaten er dies belegen kann, wird man an seinen Internet-Provider InternetX verwiesen.

Das ist nur folgerichtig, denn der Provider ist der wirklich relevante Geschäftspartner für einen Kunden: Hier wird die SaaS-Software gehostet, hier werden die Daten des Kunden gespeichert. Die einschlägigen Zertifikate von InternetX bekommt man auf Anfrage gezeigt. „InternetX hat uns sein ISO27001-Zertifikat gezeigt“, berichtet Martin Kirchner, Teamleiter für das Open Backend bei CAS Software. „Das gehört zu den Mindestanforderungen, ebenso wie ein Zertifikat nach ISO 9000.“ Dass SaaS-Lösungen mandantenfähig sind und die Kundendaten gesichert und verschlüsselt, ist für Kirchner ebenso selbstverständlich. „CAS Software investiert in drei Forschungsprojekte für die Cloud-Sicherheit.“

Die Standards

Maßgebliche und verbreitete Standards, an denen sich der Interessent orientieren kann, wenn er einen Cloud-Provider auswählt, sind die bereits erwähnte ISO 27001, der IT-Sicherheit und deren Management belegt; die ISAE3402 Typ 2, das das interne Kontrollsystem und die Wirksamkeit der Kontrollen prüft und nachweist, sowie ISO/IEC 20000-1 (IT-Service Management) und ISO/IEC 27018 (Schutz personenbezogener Daten).

Der österreichische Cloud Provider Fabasoft hat sich nach all diesen Standards auditieren lassen. Dafür war eine erstaunliche Anzahl von Zertifizierungsstellen nötig, so etwa der TÜV Rheinland, der TÜV Austria, das Wirtschaftsprüfungsunternehmen PriceWaterhouseCooper (PwC) und nicht zuletzt die wohl bekannteste Zertifizierungsstelle EuroCloud Star Audit (ECSA). Um die höchste Auszeichnung ECSA v3.0 mit fünf Sternen zu erringen, musste Fabasoft die Hochverfügbarkeit und Ausfallsicherheit seiner Informationstechnik nachweisen.

Andere Provider fragen sich wahrscheinlich, ob sie wirklich solchen Aufwand treiben müssen. Jede Auditierung bedeutet nämlich eine beträchtlich Investition in zeitlichen, personellen und finanziellen Aufwand. „Allein die interne Vorbereitung für ein Audit wird uns 30.000 bis 40.000 Euro kosten“, so Kirchner von CAS Software. Die Kosten für die externe Auditierung kämen natürlich hinzu. Das Bundesministerium für Wirtschaft (BMWI) förderte solche Zertifizierungen in einem Forschungsprojekt und übernahm teilweise die Kosten. Kirchner: „Wir haben das Angebot damals nicht genutzt, weil wir vor einem Versionswechsel unserer CRM-Cloudsysteme standen.“

Tiefergelegt

Geht es nicht auch eine Nummer kleiner? Tatsächlich bemühen sich mehrere Initiativen und nicht zuletzt die Behörden der deutschen Bundesregierung sowie der Europäischen Kommission, Hilfe bei alternativen Zertifizierungen zu bieten. So wird etwa vom Bund das Projekt NGcert, also Next-Generation Certification mitgetragen. Der oben erwähnte EuroCloud Deutschland_eco e.V. bringt hierbei seine Erfahrungen durch das EuroCloud Star Audit in das Projekt ein. Weitere Partner sind das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), Technische Universität München, Universität Köln, Universität Passau, Universität Kassel, Fujitsu Technology und die Anstalt für Kommunale Datenverarbeitung in Bayern. Das AISEC nimmt selbst Sicherheitsbewertungen vor und kann nach eigenen Angaben die technische Prä-Auditierung ausführen.

Der Verband Cloud Ecosystem stellt das Gütesiegel „Trust in Cloud“ und andere Zertifikate aus, allerdings nur für SaaS, IaaS und Cloud-Berater. Das geht also an Providern vorbei. „Trust in Cloud“ darf allerdings nicht mit Trusted Cloud verwechselt werden. Der „Verein Kompetenznetzwerk Trusted Cloud“ vergibt dieses Gütesiegel unter der Schirmherrschaft des BMWI; der Kriterienkatalog, den ein Bewerber erfüllen müssen, ist seit Februar 2016 veröffentlicht, so dass ihn sowohl Anbieter wie Nutzer einsehen können. Die Angaben muss der Bewerber selbst angeben, darunter auch die Zertifikate seiner Dienstleister und ihrer Rechenzentren. Der Leser muss sich darauf verlassen können, dass diese Angaben und Belege der Wahrheit entsprechen, aber ein Zertifikat selbst sieht anders aus.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44171938 / Initiativen )