Cloud-Zertifikate: Stochern im Nebel

Wie man einen zuverlässigen Cloud-Anbieter erkennt

| Autor / Redakteur: Sebastian Dosch* / Florian Karlstetter

Sebastian Dosch von der Unternehmensberatung microfin bringt Licht ins Dunkel beim Thema Cloud-Zertifikate.
Sebastian Dosch von der Unternehmensberatung microfin bringt Licht ins Dunkel beim Thema Cloud-Zertifikate. (Bild: Microfin)

Beim Wochenendeinkauf sind wir es gewohnt, auf Gütesiegel zu achten: Wir kaufen nur Fairtrade-Kaffee, Spielzeug mit dem GS-Zeichen und Wandfarbe, auf der der Blaue Engel prangt. Richtig nebulös wird es aber bei der Suche nach zertifizierten Cloud-Anbietern. Welches der zahlreichen Gütesiegel und Zertifikate steht wofür, welches passt für die eigenen Ansprüche – und welches ist vertrauenswürdig?

Sebastian Dosch von der microfin Unternehmensberatung lichtet den Nebel rund um Cloud-Zertifikate: Anknüpfungspunkte für eine erste Bestandsaufnahme sind die Eigendarstellung der Zertifikatsanbieter im Internet, die Zahl der vergebenen und genutzten Zertifikate sowie die Liste der Unterstützer und Partner. Manchmal lohnt sich auch der Blick in das Impressum der Website – so wird beispielsweise beim durchaus seriös klingenden Gütesiegel „German Cloud“ klar, dass dahinter eine GmbH in Liquidation steckt. Das lässt das Zertifikat nur wenig vertrauenswürdig erscheinen.

Einige Label werden nach einem Self-Assessment vergeben, andere erst nach einem unabhängigen Audit – und manche gibt es entsprechend in verschiedenen Abstufungen. Die meisten Gütesiegel basieren unter anderem auf der Abfrage bereits bestehender Zertifikate: So ist es für die Cloud-Provider von Nutzen, nach ISO 27001 oder ISO 27017 im Bereich Informationssicherheit zertifiziert zu sein, einen SOC-2-Report vorlegen zu können oder den BSI-Grundschutz zu befolgen.

Eine Auswahl acht deutscher und internationaler Gütesiegel hat Sourcing-Berater Sebastian Dosch unter die Lupe genommen. Die Reihenfolge entspricht keiner Bewertung, sondern ist zufällig.

„Certified Cloud Service“ vom TÜV Rheinland

Diese Zertifizierung hat den Vorteil, dass der TÜV Rheinland schon lange bekannt ist und so ein gewisses Vertrauen genießt. Die Werbewirkung des Logos ist daher als bedeutsam einzustufen. Prominente Zertifikatinhaber sind derzeit z. B. die Deutsche Telekom AG oder salesforce.com.

Geprüft werden sechs Bereiche, nämlich Infrastruktur, Datensicherheit, Organisation, Compliance, Prozesse und Betrieb. Dabei stützt sich der TÜV Rheinland auf einen eigenen Prüfstandard auf Basis der ISO 27001, des BSI-Grundschutzes sowie der IT Infrastructure Library (ITIL).

„CIF certified“ vom Cloud Industry Forum

Das englische Cloud Industry Forum arbeitet auf Ebene der Europäischen Kommission an einer Standardisierung im Bereich Cloud Computing. Sein Code of Practice (CoP) stellt ein umfassendes Framework dar, das Service-Providern ermöglicht, ihre Services mit Best-Practice-Standards abzugleichen.

Nach einem Self-Assessment rund um Fragen der Daten- und IT-Sicherheit und unter Berufung auf Zertifizierungen der CSA oder nach ISO 27001 wird das Zertifikat „CIF certified“ vergeben. Erst nach einer weiteren Auditierung durch einen zugelassenen Auditor erhält man das erweiterte Zertifikat „CIF certified plus“.

„CSA STAR“ von der Cloud Security Alliance

Die amerikanische Cloud Security Alliance (CSA) bietet ein dreistufiges Zertifizierungssystem an. Die unterste Stufe bildet ein Self-Assessment, in dem die Einhaltung der sogenannten Cloud Controls Matrix (CCM) nachgewiesen werden muss. Dieses von der CSA erstellte Framework beinhaltet Kontrollregelungen im Bereich Informationssicherheit in der Cloud-Industrie. Auf Stufe 2 kommen Audits unterschiedlicher Herkunft hinzu – so muss beispielsweise zum Erreichen der „STAR Attestation“ ein SOC-2-Report vorgelegt werden. Eine kontinuierliche Auditierung führt schließlich auf Stufe 3 zum Erwerb des Zertifikats „STAR Continuous“.

Hinter der CSA stehen zahlreiche namhafte IT-Unternehmen wie z. B. Microsoft, Hewlett Packard Enterprise, Huawei oder VMware. Mehrere Hundert haben sich mittlerweile zertifizieren lassen.

Ergänzendes zum Thema
 
Microfin Cloud Guide: Überblick über den Cloud-Markt

Label Cloud der France-IT

Das Gütesiegel „Label Cloud“ wird Anbietern verliehen, die nachweisen, dass sie Best-Practice-Standards anwenden. Hierbei gibt es drei Stufen der Zertifizierung: „Initial“ entspricht einem Self-Assessment, „confirmé“ zeigt an, dass der Dienstleister sich durch einen selbst gewählten Auditor hat prüfen lassen, und die Stufe „expert“ erhält nur, wer umfänglich vor Ort geprüft worden ist.

Label Cloud wird von France-IT angeboten, einem Zusammenschluss von 2.500 französischen digitalen Unternehmen. Zertifiziert wurden bislang allerdings erst sieben Unternehmen.

StarAudit von EuroCloud

EuroCloud bietet ein Self-Assessment-Tool an, mit dessen Hilfe die Cloud-Anbieter prüfen können, ob sie dem durch EuroCloud entwickelten Kriterienkatalog entsprechen. Drei, vier oder fünf Sterne drücken dann – wie bei einer Hotelbewertung – den Reife- und Compliance-Grad hinsichtlich dieses Kriterienkatalogs aus.

EuroCloud arbeitet zusammen mit ETSI, dem Europäischen Institut für Telekommunikationsnormen, sowie mit ENISA, die Europäische Agentur für Netz- und Informationssicherheit, und ist im eco-Verband der Internetwirtschaft organisiert. Die Liste der zertifizierten Unternehmen ist jedoch kurz und umfasst nur sechs Einträge.

Trusted Cloud vom Kompetenznetzwerk Trusted Cloud e.V.

Der Trusted-Cloud-Kriterienkatalog für Cloud Services definiert die Mindestanforderungen, die ein Cloud Service zur Erlangung des Trusted-Cloud-Labels und damit für die Listung auf dem Trusted-Cloud-Portal erfüllen muss. Dieser Kriterienkatalog ist öffentlich zugänglich und gliedert sich in die Abschnitte Anbieter, Service, Subunternehmer/Rechenzentren, Zertifikate, Vertrag, Sicherheit, Datenschutz/Compliance, operative Prozesse, Interoperabilität/Portabilität und Architektur. Über die Listung von Cloud Services entscheidet der unabhängig besetzte Trusted-Cloud-Beirat.

Derzeit sind zehn Dienstleister und 16 Cloud Services gelistet. Der Anbieter ist ein Verein und wird gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWi). Außerdem besteht eine Zusammenarbeit mit den Zertifizierungsanbietern Zeker-OnLine (Niederlande) und Label Cloud (Frankreich).

Trusted Cloud Service des TÜV TRUST IT

Die österreichische TÜV AUSTRIA bietet eine Bewertung von Cloud Services in den Kategorien IT-Sicherheit, Betrieb und Datenschutz an. Der Anforderungskatalog basiert auf Best-Practice-Lösungen und Standards wie ISO 27001, ISO 27018, COBIT, ITIL oder IDW PS. Nach einem initialen Workshop erfolgt eine umfassende Prüfung des Services im Zertifizierungsaudit. Der abschließende Ergebnisbericht listet Maßnahmenvorschläge auf und mündet dann im Zertifikat mit Prüfsiegel.

Derzeit befinden sich in der Zertifikatsdatenbank lediglich zwei zugehörige Einträge, dafür ist der Anbieter TÜV TRUST IT im Markt bekannt und genießt großes Vertrauen.

Trust in Cloud von Cloud Ecosystem

Sebastian Dosch ist Senior Consultant bei der microfin Unternehmensberatung GmbH
Sebastian Dosch ist Senior Consultant bei der microfin Unternehmensberatung GmbH (Bild: INGRID JOST-FREIE / microfin)

Cloud Ecosystem prüft SaaS- und IaaS-Anbieter, aber auch Cloud Professionals und bietet entsprechende Gütesiegel an. Dabei wird das Standard-Zertifikat „Trust in Cloud“ nach einem Self-Assessment vergeben, bei dem 24 von 30 Prüfpunkten einer Checkliste erfüllt sein müssen; zudem sind vier Referenzen anzugeben. Beim erweiterten Gütesiegel „Trust in Cloud Excellence“ steigt die Anzahl der Prüfpunkte auf 100, die zudem von einem externen Auditor abgenommen werden müssen.

Hinter Cloud Ecosystem stehen diverse kleine und mittlere Unternehmen, aber auch ein Vertreter des bekannten Software-Anbieters Sage ist mit von der Partie. Bislang haben sich ca. 30 Anbieter von Cloud-Diensten zertifizieren lassen.

Weitere Zertifikate beschränken sich vorrangig auf die Prüfung einzelner Themen, etwa Datenschutz (European Privacy Seal, Trusted Cloud Datenschutz-Profil für Cloud-Dienste, TRUSTe Enterprise Privacy Certifications – hier ist auch der Entwurf zur ISO 27018 „Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung“ zu beachten) oder Buchhaltungssysteme (Keurmerk Zeker-OnLine). Und manche haben durchaus Potenzial, befinden sich aber noch in der Entwicklung (Cloud Confidence, ESCloud, NGCert des Fraunhofer AISEC).

Sowohl Cloud-Provider als auch Cloud-Interessenten haben also derzeit die Qual der Wahl. Vielleicht hilft die Übersicht dabei, den Nebel zu lichten und bei der Entscheidung für den einen oder anderen Anbieter. Doch erst die nächsten Monate und Jahre werden zeigen, welche Gütesiegel sich im Markt durchsetzen und als Standards etablieren werden.

* Sebastian Dosch, Senior Consultant, microfin Unternehmensberatung GmbH

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44839544 / Initiativen )