Orientierung im Schilderwald

Welches Prüfsiegel macht eine Cloud wirklich sicher?

| Autor / Redakteur: Andreas Dangl* / Florian Karlstetter

Auf Grund der großen Anzahl an Zertifikaten, Testaten und Labels für Cloud-Services ist es nicht immer leicht, den Überblick zu behalten, welche davon wirklich Aussagekraft in Bezug auf Sicherheit, Datenschutz und Compliance haben.
Auf Grund der großen Anzahl an Zertifikaten, Testaten und Labels für Cloud-Services ist es nicht immer leicht, den Überblick zu behalten, welche davon wirklich Aussagekraft in Bezug auf Sicherheit, Datenschutz und Compliance haben. (Bild: Fabasoft)

Cloud Security – das Thema hat unter IT-Experten aktuell Hochkonjunktur. Mit gutem Grund, denn spektakuläre Cyberattacken auf Dienste wie Twitter, Yahoo, Soundcloud und Co. lassen keinen Zweifel an der Brisanz zu. Grund genug für einen Überblick: Welche Prüfsiegel für Cloud-Dienste gibt es überhaupt? Welches Siegel hält, was es verspricht? Wie gelingt eine sichere Verarbeitung der Daten?

Die angespannte Lage im Bereich vorwiegend privat genutzter Cloud-Applikationen wirkt sich längst auch auf die gewerbliche Cloud-Nutzung aus. Sicherheit ist nach Einschätzung der meisten Unternehmen ein absolutes Muss. Laut einer aktuellen IDG Cloud Security Studie haben 60 Prozent hohe bis sehr hohe Sicherheitsansprüche in Bezug auf ihre Daten. Die Vertrauenswürdigkeit eines Cloud-Providers ist für 57 Prozent das meistgenannte Entscheidungskriterium bei der Auswahl. Angesichts eines unübersichtlichen Markts wächst das Bedürfnis der Kunden nach Orientierung, um die Sicherheitsversprechen der zahlreichen Cloud-Anbieter richtig einschätzen zu können.

Sicherheit und Usability im Einklang

Derweil besteht die Gefahr, dass sich Sicherheitsbedenken vielerorts zum größten Hemmschuh bei der Adaptierung von Cloud-Services in Unternehmen entwickeln. Ein genauer Blick auf die Situation in Deutschland zeigt, welche Sorgen sich Unternehmen machen. So ergab die IDC-Studie Mobile Content Management im Jahr 2016, dass für Magenschmerzen vor allem Fragen nach dem Speicherort der Daten, dem jeweiligen Vertragspartner der Anwender und der Datenkontrolle sorgen. Erst mit einigem Abstand sehen Unternehmen die enormen Möglichkeiten, die ihnen der Einsatz von Cloud-Lösungen bringt. Um diesen Missstand zu beheben, haben fortschrittliche Lösungsanbieter professionelle Business-Cloud-Lösungen entwickelt, die auf Säulen wie Sicherheit, Datenschutz, Transparenz, Nachvollziehbarkeit und Compliance aufgebaut sind und zugleich höchste Agilität, Flexibilität und Innovation bieten.

Um den speziellen Sorgen deutscher Unternehmen gezielt Rechnung zu tragen, sind viele Anbieter von SaaS-Services dazu übergegangen, sich mehr oder weniger aussagekräftige Labels anzuheften, um die Sicherheit ihrer Lösung zu unterstreichen und Vertrauen beim Kunden aufzubauen. Die Krux daran: Viele dieser Labels basieren auf einer reinen Selbstauskunft des jeweiligen Cloud-Providers und haben daher überhaupt keine Aussagekraft. Hier wurden die Sorgen von Unternehmen als Grundlage für ein Geschäft genutzt, das SaaS-Services vertrauenswürdig erscheinen lässt, aber aufgrund fehlender Prüfung durch externe Auditoren oft viel zu wenig Relevanz hat. Die Tragweite externer Audits ist aus vielerlei Gründen nicht zu unterschätzen. Denn wenn ein Cloud-Provider sich extern auditieren lässt, dann sind Themen wie Sicherheit, Privacy by Design und Transparenz somit automatisch in der gesamten Firma verankert – also auch bei der Geschäftsführung oder im Vorstand.

Geprüfte Transparenz sorgt für umfassende Sicherheit

Ein wegweisendes Beispiel für ein aussagekräftiges Zertifikat lieferte das Bundesamt für Sicherheit in der Informationstechnik (BSI), das mit dem C5 Testat, eine griffige Kurzform für Cloud Computing Compliance Controls Catalogue, einen neuen Maßstab in puncto Transparenz und Sicherheit gesetzt hat. Anhand zahlreicher Kriterien legt der Anforderungskatalog des BSI fest, welche Mindestanforderungen Cloud-Dienstleister erfüllen müssen. Dabei stellen definierte Umfeldparameter ein Alleinstellungsmerkmal dar und gewährleisten Transparenz hinsichtlich Systembeschreibung, Gerichtsbarkeit und Lokationen der Datenspeicherung, Datenverarbeitung und Datensicherung, Offenbarungs- und Ermittlungsbefugnisse sowie Zertifizierungen. Als erster europäischer Anbieter von Cloud-Dienstleistungen erhielt Fabasoft im März 2017 das Testat nach den Anforderungen des Anforderungskataloges C5.

Darüber hinaus gibt eine Reihe weiterer Testate und Prüfsiegel belastbar Aufschluss über die greifbaren Sicherheitsstandards, die einer Cloud-Lösung zugrunde liegen. Beispielsweise verbrieft die ISO 27001-Zertifizierung die Einhaltung von klar definierten technischen und sicherheitsbezogenen Standards und Service-Levels der Rechenzentren eines Cloud-Services. Der internationale Standard ISO 27018 formuliert datenschutzrechtliche Anforderungen für Cloud-Dienstleister. Diese müssen umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten erbringen, um bei Kunden und Behörden Vertrauen hinsichtlich der Verarbeitung von personenbezogenen Daten in der Cloud zu schaffen.

Das Zertifikat ISO 20000-1 dient als messbarer Qualitätsstandard für das IT-Service-Management (ITSM). Seine Zielsetzung: den Kunden IT-Services von hoher Qualität bereitzustellen. Die Ausrichtung auf die Bedürfnisse und Anforderungen der Kunden spielt dabei eine primäre Rolle. Während viele Testverfahren anerkannter Prüfinstitutionen ihren Fokus auf die Bescheinigung der Sicherheit und Einhaltung des Datenschutzes in Cloud-Umgebungen legen, ist das EuroCloud Star Audit (ECSA) ein in Europa einzigartiges Zertifizierungssystem, das anhand eines umfangreichen Kriterienkatalogs die Qualitätsstandards entlang der gesamten Cloud-Wertschöpfungskette überprüft und dadurch die gesamte Lieferkette eines Cloud-Ökosystems in den Blick nimmt. Somit werden im Audit auch die gleichen strengen Kriterien an die Qualitätsstandards eingebetteter Infrastruktur- und Plattformanbieter oder an eine „Federated Cloud“ angelegt wie an den geprüften Provider selbst. Durch eine Zertifizierung durch den TÜV Rheinland weisen Cloud-Dienstleister die Erfüllung einer ganzen Reihe sicherheitsrelevanter Anforderungen aus – darunter Sicherheit und Qualität des Datenzugriffs und der Datenspeicherung, sichere Anmeldeverfahren und Berechtigungssysteme zur Steuerung des Datenzugriffs auf Netzwerkebene sowie Schutz vor Angriffen nach dem neuesten Stand der Technik.

Ergänzendes zum Thema
 
Zertifikate und Testate der Fabasoft Cloud

Andreas Dangl, Business Unit Executive für Cloud-Services bei Fabasoft.
Andreas Dangl, Business Unit Executive für Cloud-Services bei Fabasoft. (Bild: Fabasoft)

Welches Sicherheitspaket auch immer für eine Cloud-Anwendung im Praxiseinsatz geschnürt wird – zu guter Letzt stellen sich viele Nutzer die Frage, was es dem eigenen Unternehmen bringt, wenn ein Cloud-Provider viele oder alle oben genannten Zertifikate vorweisen kann. Die Antwort ist einfach: Längst gelten die Daten, über die ein Unternehmen exklusiv verfügt, als regelrechter Schatz und zentrale Erfolgsbasis für zukunftsfähige Geschäftsmodelle. Insofern lohnt sich eine Auseinandersetzung mit der passenden Gegenfrage: Was tun, wenn es etwas unermesslich Wertvolles zu schützen gilt? Eine Parkbank mitten in einem öffentlichen Park scheidet wohl für die meisten aus, die sich diese Frage stellen. Ein blickdichter Zaun mit einem schützenden Dach könnte hingegen für manchen Schutz genug bieten. Wer auf Nummer sichergehen will, entscheidet sich womöglich für ein gemauertes Haus mit Sicherheitstüren, Zutrittscode und Überwachungskameras. Der Vergleich macht deutlich: Bei der Wahl der Mittel kommt es auf das individuelle Sicherheitsbedürfnis der Anwender an – für die Entwicklung wirksamer Lösungen stehen ihnen qualifizierte Lösungsanbieter mit der benötigten Expertise zur Seite.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44989026 / Recht und Datenschutz)