Cloud-Sicherheit ist mehr als vielschichtig Neue Ansätze für eine Cloud-Zertifizierung in der EU

Für Anwenderunternehmen ist es nicht leicht, sich ein Bild über die Cloud-Sicherheit zu verschaffen. Zu komplex sind die Cloud-Bedrohungen. Doch es tut sich etwas bei der Cloud-Zertifizierung, denn ENISA arbeitet an einem Schema, mit dem sich Cloud-Dienste EU-weit zertifizieren lassen sollen.

Firmen zum Thema

Die Komplexität der Cloud-Umgebungen und die Vielfalt der Sicherheitsbedrohungen machen es schwierig, ein normiertes Security-Zertifikat für Clouds zu entwickeln.
Die Komplexität der Cloud-Umgebungen und die Vielfalt der Sicherheitsbedrohungen machen es schwierig, ein normiertes Security-Zertifikat für Clouds zu entwickeln.
(Bild: © Marco2811 - stock.adobe.com)

Wie steht es um die Sicherheit der genutzten Cloud-Dienste? Viele Unternehmen wüssten darauf gerne eine Antwort. In Umfragen sagen die meisten Unternehmen, dass Sicherheit und Datenschutz für sie die Top-Kriterien bei der Wahl eines Cloud-Services sind. Doch die Bewertung der Cloud-Sicherheit ist keineswegs einfach, die Cloud-Bedrohungen ändern sich häufig.

Eine Multi-Cloud-Strategie macht Unternehmen anfälliger für Ransomware, so eine Veritas-Umfrage. Je komplexer die Cloud-Umgebungen, desto höher ist das Risiko, Daten nicht optimal sichern zu können. Unternehmen nutzen demnach im Schnitt zwölf Cloud-Anbieter, um ihre digitale Transformation voranzutreiben. 64 Prozent der IT-Executives sind der Ansicht, dass ihre Unternehmenssicherheit mit der Komplexität der IT nicht Schritt hält. Je mehr Clouds in einem Unternehmen zum Einsatz kommen, desto schwieriger ist die Wiederherstellung der Daten nach einer Ransomware-Attacke. Ohne umfassende Datensicherungslösung und mehr Transparenz birgt eine komplexe Cloud-Architektur hohe Risiken.

Laut einer Trend-Micro-Umfrage haben 82 Prozent der deutschen Unternehmen während der Corona-Pandemie ihre Cloud-Migration intensiviert, fast keines versteht dabei jedoch seine Verantwortung für die Sicherheit. 89 Prozent (92 Prozent weltweit) der Befragten geben an, dass sie sich ihrer Verantwortung für die Sicherheit in der Cloud bewusst sind. Doch fast alle (99 Prozent in Deutschland, 97 Prozent weltweit) glauben auch, dass ihr Cloud-Service-Provider (CSP) einen ausreichenden Schutz für ihre Daten bietet. Offensichtlich muss hier mehr Aufklärung geschehen, für die eine Cloud-Transparenz wichtig wäre.

Mehr Transparenz wäre wichtig

Doch ein besserer Überblick über die tatsächliche Cloud-Sicherheit ist in Sicht. Nach dem EU-Gesetz zur Cybersicherheit (CSA) von 2019 unterstützt die EU-Agentur für Cybersicherheit ENISA die Vorbereitung von Zertifizierungssystemen für Cybersicherheit.

ENISA hat entsprechend Ende 2020 einen Entwurf des EU-Zertifizierungssystems für Cybersicherheit für Cloud-Dienste (EUCS) der Europäischen Union veröffentlicht. Das Programm zielt darauf ab, die Binnenmarktbedingungen der Union für Cloud-Dienste weiter zu verbessern, indem die Cybersicherheitsgarantien der Dienste verbessert und gestrafft werden. Mit dem Entwurf des EUCS-Kandidatensystems soll die Sicherheit von Cloud-Diensten mit EU-Vorschriften, internationalen Standards, Best Practices der Branche sowie mit bestehenden Zertifizierungen in EU-Mitgliedstaaten in Einklang gebracht werden.

Der aktuelle Entwurf des EUCS-Kandidatenschemas basiert auf Expertenbeiträgen der CSPCERT-Arbeitsgruppe (Cloud Service Provider Certification) und der Ad-hoc-Arbeitsgruppe EUCS, der Mitglieder aus der Industrie sowie Teilnehmer aus Mitgliedstaaten und europäischen Institutionen angehören. Der Entwurf berücksichtigt auch internationale Standards und nationale Zertifizierungssysteme in der gesamten Union.

Orientierung an bewährten Verfahren

Der Exekutivdirektor der EU-Agentur für Cybersicherheit, Juhan Lepassaar, sagte: „Cloud-Dienste spielen eine zunehmend wichtige Rolle im Leben der europäischen Bürger und Unternehmen, und ihre Sicherheit ist für das Funktionieren des digitalen Binnenmarktes von wesentlicher Bedeutung. Eine einheitliche europäische Cloud-Zertifizierung ist entscheidend für den freien Datenfluss in ganz Europa und ein wichtiger Faktor für die Förderung von Innovation und Wettbewerbsfähigkeit in Europa.“

Lorena Boix Alonso, Generaldirektorin für digitale Netzwerke, Inhalte und Technologie der Europäischen Kommission (GD CONNECT), sagte auf der ENISA-Konferenz zur Zertifizierung der Cybersicherheit: „Wir müssen die Zertifizierung der Cybersicherheit sicherstellen. Nach einem vernünftigen risikobasierten Ansatz wird das richtige Gleichgewicht mit flexiblen Lösungen und Zertifizierungssystemen gefunden, um zu vermeiden, dass sie schnell veraltet sind. Und wir brauchen einen klaren Fahrplan, damit sich Industrie, nationale Behörden und Normungsgremien im Voraus vorbereiten können.“

Die Zertifizierung von Cloud-Diensten ist mit Herausforderungen verbunden, z. B. einer Vielzahl von Marktteilnehmern, komplexen Systemen und einer sich ständig weiterentwickelnden Landschaft von Cloud-Diensten sowie der Existenz unterschiedlicher Systeme in den Mitgliedstaaten, so ENISA.

Der Entwurf des EUCS-Kandidatensystems begegnet diesen Herausforderungen, indem er bewährte Verfahren für die Cybersicherheit auf drei Sicherheitsebenen fordert und einen Übergang von den derzeitigen nationalen Systemen in der EU ermöglicht. Der Entwurf des EUCS-Kandidatenschemas ist ein Schema, das Cybersicherheit in der gesamten Cloud-Lieferkette gewährleisten und eine solide Grundlage für sektorale Systeme bilden soll.

Das EUCS-Schema

Einige Eckpunkte zeigen, in welche Richtung die geplante Zertifizierungsgrundlage geht. Der Entwurf des EUCS-Schemas steht für ein freiwilliges Programm, er gilt für alle Arten von Cloud-Diensten, von der Infrastruktur bis zu Anwendungen. EUCS steigert das Vertrauen in Cloud-Dienste, indem ein Referenzsatz von Sicherheitsanforderungen definiert wird. Der neue Ansatz ist inspiriert von den bestehenden nationalen Systemen und von internationalen Standards.

EUCS definiert einen Übergangspfad von nationalen Systemen in der EU, sieht eine dreijährige Zertifizierung vor, die erneuert werden kann, und enthält Transparenzanforderungen wie den Ort der Datenverarbeitung und -speicherung, auch für den Datenschutz nach Datenschutz-Grundverordnung (DSGVO) der EU wichtig. Die Zertifikate des Systems gelten dann für alle EU-Mitgliedstaaten, sie decken drei Sicherheitsstufen ab: „Basic“, „Substantial“ und „High“.

Fazit des Autors

Zweifellos ist EUCS ein spannender Ansatz für eine dringend notwendige EU-weite Zertifizierung der Cloud-Sicherheit. Auf die weitere Entwicklung kann man gespannt sein.

Artikelfiles und Artikellinks

(ID:47124608)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research