:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/12/ac12533969f097b2761a5ffc292f0909/0111421066.jpeg "Geoweb steht für eine räumliche Organisation von Informationen im Netz. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/8a/25/8a2573a800c6056ea8fdbd3b75be4a6f/0111649194.jpeg "Mit generativer KI wollen SAP und Microsoft dem Fachkräftemangel begegnen. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/0a/52/0a527890d1a49aec0eec7681c66b642f/0111370569.jpeg "Das Spatial Web beschreibt die nächste Evolutionsstufe des World Wide Web mit immersivem Nutzererlebnis. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/e5/c5/e5c5f8f0b91aeeda75c0f113d2dce4ae/0110332587.jpeg "Wolf Schumacher von Productive Vision erläutert die besonderen Herausforderungen bei der Implementierung von Cloud-ERP. (Bild: frei lizenziert SplitShire / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/50/74/5074b80b67c29ba7dae0f3d2a18ef565/0111290551.jpeg "Der Befreiungsschlag gegen Vendor Lock-in: Open Source – es gibt aber auch hier einige Regeln zu beachten. (Bild: zinco79 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/41/ae4152fb7e8354e775a61b08dd62a776/0111450846.jpeg "Mit Windows 11 22H2 hat Microsoft die Integration der Cloud-Apps in den Windows-Explorer weiter ausgebaut. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a5/25/a525b276d26f8e9050d48a5fccf0004c/0111392876.jpeg "Die Conga Revenue Lifecycle Cloud macht das Umsatzmanagement einfacher und flexibler. (Bild: Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/8f/9f/8f9f044f1cb1f366ec1b59fc024108da/0111997059.jpeg "Cloud Native Rockstars on stage (oben, v.l.): Thomas Hartinger, Phil Korte, Alina Schneider, Nadège Jakob, Tobias Renk, Sebastian Kister, Volker Zöpfel und Linda Früh, daneben die Juroren Dr. Jens Eckhard und Dr. Nils Kaufmann mit Vorjahres-Preisträgerin Emma Wehrwein. In der unteren Reihe (v.l.) Erik Schubert, Moderatorin Lydia Hundsdörfer und Stephan Augsten von den Vogel IT-Medien, Stefan Jacobs, Juror und Keynote-Speaker Maximilian Hille sowie Preisträger Tim Urlaub. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/55/45/5545ca406bfa514a17cbb2b6f89052e3/0111357194.jpeg "Unternehmen, die sich für SaaS-Lösungen entscheiden, müssen ihre Hausaufgaben hinsichtlich der eigenen IT-Sicherheit selbst machen und diese auch immer wieder auf den Prüfstand stellen. (Bild: enzozo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/b8/bdb8ca7d32882a78b17c0518b3b71852/0111696631.jpeg "Matt Hicks wurde im Juli 2022 zum President und Chief Executive Officer von Red Hat ernannt. Hier eröffnet er das Red Hat Summit 2023 in Boston. (Bild: Müller)")
:quality(80)/p7i.vogel.de/wcms/ca/6c/ca6cf337dbc30fb78a7d5fedcc4432ab/0112163967.jpeg "Mit der Vison Pro hat Apple die lang erwartete Datenbrille auf der Entwicklerkonferenz WWDC 2023 präsentiert. (Bild: Apple)")
:quality(80)/p7i.vogel.de/wcms/2a/93/2a93c381498c656fbc3072a4c4097515/0111742844.jpeg "DigiCert und Oracle wollen künftig gemeinsame Wege gehen. (Bild: DigiCert)")
:quality(80)/p7i.vogel.de/wcms/b0/0d/b00d8ac7f8dae9c24cb3ba1856ddcd99/0111370120.jpeg "Wenn Unternehmen die technischen und geschäftlichen Vorteile der Cloud nutzen wollen, ist es wichtig, dass sie auch die finanziellen Auswirkungen einer solchen Umstellung berücksichtigen. (Bild: Jacky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/38/0a383b5bb511ccf680cb8aa5b325b736/0111386397.jpeg "Der transatlantische Datenverkehr ist aus datenschutzrechtlicher Sicht noch immer nicht klar geregelt; Hoffnung keimt mit TADPF auf. (Bild: frei lizenziert Photo Mix - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a6/0b/a60bb13d799fcf8237498ad2b2364c06/0110417630.jpeg "Laut der diesjährigen von Arcserve in Auftrag gegebenen Studie sind 59 Prozent der befragten deutschen IT-Entscheidungsträger der Meinung, die Anbieter öffentlicher Cloud-Dienste seien für den Schutz und die Wiederherstellung der gespeicherten Daten verantwortlich. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/d1/4ed14acc9526abdbb275aac022586b24/0110957079.jpeg "Die Snowflake Manufacturing Data Cloud soll die Lieferkette stärken, die Zusammenarbeit mit Partnern und Zulieferern vereinfachen und die Produktqualität verbessern. (Bild: Snowflake)")
:quality(80)/p7i.vogel.de/wcms/cb/d3/cbd3ea8f142599b07ce6f623808a20b4/0111321611.jpeg "Cloud-Analysen gewinnen angesichts stetig steigender Datenmengen an Bedeutung; sie liefern das Material, mit dem moderne Knowledge Worker in Unternehmen heute arbeiten. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/aa/3daa0c8718e54b361b5761972c3983c2/0110965189.jpeg "Einer Veritas-Studie zufolge wollen 40 Prozent der Verbraucher Unternehmen künftig nicht mehr unterstützen, die Daten grundlos dauerhaft speichern und wegen der damit verbundenen Energieverschwendung zu Umweltschäden beitragen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a5/ae/a5ae6286537bab7fc3a6629d4d5809f5/0111413019.jpeg "Mangelnde IT-Optimierung belastet die entsprechenden Budgets, wie eine aktuelle Umfrage von LeanIX zeigt. (Bild: Tumisu)")
:quality(80)/p7i.vogel.de/wcms/df/32/df32d21050444e04acf3dfc4741629e5/0111354551.jpeg "Eine FinOps-Strategie lässt sich mithilfe der drei Säulen „Inform“, „Optimize“ und „Operate“ entwickeln und umsetzen. (Bild: Watchara - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/05/bc05ef8a79336137189f244034c304ef/0111306153.jpeg "Der „Stand der Technik“ – ein vermeintlich einfacher Begriff. Welche direkten Auswirkungen hat er auf die Gestaltung der eigenen Security von Unternehmen und Organisationen? (Bild: CrazyCloud - stock.adobe.com)")
Cloud-Zertifikate: Stochern im Nebel Wie man einen zuverlässigen Cloud-Anbieter erkennt
Beim Wochenendeinkauf sind wir es gewohnt, auf Gütesiegel zu achten: Wir kaufen nur Fairtrade-Kaffee, Spielzeug mit dem GS-Zeichen und Wandfarbe, auf der der Blaue Engel prangt. Richtig nebulös wird es aber bei der Suche nach zertifizierten Cloud-Anbietern. Welches der zahlreichen Gütesiegel und Zertifikate steht wofür, welches passt für die eigenen Ansprüche – und welches ist vertrauenswürdig?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/61/38/6138bf525ebdb/cronon-logo.jpeg "cronon-logo (Cronon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Sebastian Dosch von der microfin Unternehmensberatung lichtet den Nebel rund um Cloud-Zertifikate: Anknüpfungspunkte für eine erste Bestandsaufnahme sind die Eigendarstellung der Zertifikatsanbieter im Internet, die Zahl der vergebenen und genutzten Zertifikate sowie die Liste der Unterstützer und Partner. Manchmal lohnt sich auch der Blick in das Impressum der Website – so wird beispielsweise beim durchaus seriös klingenden Gütesiegel „German Cloud“ klar, dass dahinter eine GmbH in Liquidation steckt. Das lässt das Zertifikat nur wenig vertrauenswürdig erscheinen.
Einige Label werden nach einem Self-Assessment vergeben, andere erst nach einem unabhängigen Audit – und manche gibt es entsprechend in verschiedenen Abstufungen. Die meisten Gütesiegel basieren unter anderem auf der Abfrage bereits bestehender Zertifikate: So ist es für die Cloud-Provider von Nutzen, nach ISO 27001 oder ISO 27017 im Bereich Informationssicherheit zertifiziert zu sein, einen SOC-2-Report vorlegen zu können oder den BSI-Grundschutz zu befolgen.
Eine Auswahl acht deutscher und internationaler Gütesiegel hat Sourcing-Berater Sebastian Dosch unter die Lupe genommen. Die Reihenfolge entspricht keiner Bewertung, sondern ist zufällig.
„Certified Cloud Service“ vom TÜV Rheinland
Diese Zertifizierung hat den Vorteil, dass der TÜV Rheinland schon lange bekannt ist und so ein gewisses Vertrauen genießt. Die Werbewirkung des Logos ist daher als bedeutsam einzustufen. Prominente Zertifikatinhaber sind derzeit z. B. die Deutsche Telekom AG oder salesforce.com.
Geprüft werden sechs Bereiche, nämlich Infrastruktur, Datensicherheit, Organisation, Compliance, Prozesse und Betrieb. Dabei stützt sich der TÜV Rheinland auf einen eigenen Prüfstandard auf Basis der ISO 27001, des BSI-Grundschutzes sowie der IT Infrastructure Library (ITIL).
„CIF certified“ vom Cloud Industry Forum
Das englische Cloud Industry Forum arbeitet auf Ebene der Europäischen Kommission an einer Standardisierung im Bereich Cloud Computing. Sein Code of Practice (CoP) stellt ein umfassendes Framework dar, das Service-Providern ermöglicht, ihre Services mit Best-Practice-Standards abzugleichen.
Nach einem Self-Assessment rund um Fragen der Daten- und IT-Sicherheit und unter Berufung auf Zertifizierungen der CSA oder nach ISO 27001 wird das Zertifikat „CIF certified“ vergeben. Erst nach einer weiteren Auditierung durch einen zugelassenen Auditor erhält man das erweiterte Zertifikat „CIF certified plus“.
„CSA STAR“ von der Cloud Security Alliance
Die amerikanische Cloud Security Alliance (CSA) bietet ein dreistufiges Zertifizierungssystem an. Die unterste Stufe bildet ein Self-Assessment, in dem die Einhaltung der sogenannten Cloud Controls Matrix (CCM) nachgewiesen werden muss. Dieses von der CSA erstellte Framework beinhaltet Kontrollregelungen im Bereich Informationssicherheit in der Cloud-Industrie. Auf Stufe 2 kommen Audits unterschiedlicher Herkunft hinzu – so muss beispielsweise zum Erreichen der „STAR Attestation“ ein SOC-2-Report vorgelegt werden. Eine kontinuierliche Auditierung führt schließlich auf Stufe 3 zum Erwerb des Zertifikats „STAR Continuous“.
Hinter der CSA stehen zahlreiche namhafte IT-Unternehmen wie z. B. Microsoft, Hewlett Packard Enterprise, Huawei oder VMware. Mehrere Hundert haben sich mittlerweile zertifizieren lassen.
Label Cloud der France-IT
Das Gütesiegel „Label Cloud“ wird Anbietern verliehen, die nachweisen, dass sie Best-Practice-Standards anwenden. Hierbei gibt es drei Stufen der Zertifizierung: „Initial“ entspricht einem Self-Assessment, „confirmé“ zeigt an, dass der Dienstleister sich durch einen selbst gewählten Auditor hat prüfen lassen, und die Stufe „expert“ erhält nur, wer umfänglich vor Ort geprüft worden ist.
Label Cloud wird von France-IT angeboten, einem Zusammenschluss von 2.500 französischen digitalen Unternehmen. Zertifiziert wurden bislang allerdings erst sieben Unternehmen.
StarAudit von EuroCloud
EuroCloud bietet ein Self-Assessment-Tool an, mit dessen Hilfe die Cloud-Anbieter prüfen können, ob sie dem durch EuroCloud entwickelten Kriterienkatalog entsprechen. Drei, vier oder fünf Sterne drücken dann – wie bei einer Hotelbewertung – den Reife- und Compliance-Grad hinsichtlich dieses Kriterienkatalogs aus.
EuroCloud arbeitet zusammen mit ETSI, dem Europäischen Institut für Telekommunikationsnormen, sowie mit ENISA, die Europäische Agentur für Netz- und Informationssicherheit, und ist im eco-Verband der Internetwirtschaft organisiert. Die Liste der zertifizierten Unternehmen ist jedoch kurz und umfasst nur sechs Einträge.
Trusted Cloud vom Kompetenznetzwerk Trusted Cloud e.V.
Der Trusted-Cloud-Kriterienkatalog für Cloud Services definiert die Mindestanforderungen, die ein Cloud Service zur Erlangung des Trusted-Cloud-Labels und damit für die Listung auf dem Trusted-Cloud-Portal erfüllen muss. Dieser Kriterienkatalog ist öffentlich zugänglich und gliedert sich in die Abschnitte Anbieter, Service, Subunternehmer/Rechenzentren, Zertifikate, Vertrag, Sicherheit, Datenschutz/Compliance, operative Prozesse, Interoperabilität/Portabilität und Architektur. Über die Listung von Cloud Services entscheidet der unabhängig besetzte Trusted-Cloud-Beirat.
Derzeit sind zehn Dienstleister und 16 Cloud Services gelistet. Der Anbieter ist ein Verein und wird gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWi). Außerdem besteht eine Zusammenarbeit mit den Zertifizierungsanbietern Zeker-OnLine (Niederlande) und Label Cloud (Frankreich).
Trusted Cloud Service des TÜV TRUST IT
Die österreichische TÜV AUSTRIA bietet eine Bewertung von Cloud Services in den Kategorien IT-Sicherheit, Betrieb und Datenschutz an. Der Anforderungskatalog basiert auf Best-Practice-Lösungen und Standards wie ISO 27001, ISO 27018, COBIT, ITIL oder IDW PS. Nach einem initialen Workshop erfolgt eine umfassende Prüfung des Services im Zertifizierungsaudit. Der abschließende Ergebnisbericht listet Maßnahmenvorschläge auf und mündet dann im Zertifikat mit Prüfsiegel.
Derzeit befinden sich in der Zertifikatsdatenbank lediglich zwei zugehörige Einträge, dafür ist der Anbieter TÜV TRUST IT im Markt bekannt und genießt großes Vertrauen.
Trust in Cloud von Cloud Ecosystem
Cloud Ecosystem prüft SaaS- und IaaS-Anbieter, aber auch Cloud Professionals und bietet entsprechende Gütesiegel an. Dabei wird das Standard-Zertifikat „Trust in Cloud“ nach einem Self-Assessment vergeben, bei dem 24 von 30 Prüfpunkten einer Checkliste erfüllt sein müssen; zudem sind vier Referenzen anzugeben. Beim erweiterten Gütesiegel „Trust in Cloud Excellence“ steigt die Anzahl der Prüfpunkte auf 100, die zudem von einem externen Auditor abgenommen werden müssen.
Hinter Cloud Ecosystem stehen diverse kleine und mittlere Unternehmen, aber auch ein Vertreter des bekannten Software-Anbieters Sage ist mit von der Partie. Bislang haben sich ca. 30 Anbieter von Cloud-Diensten zertifizieren lassen.
Weitere Zertifikate beschränken sich vorrangig auf die Prüfung einzelner Themen, etwa Datenschutz (European Privacy Seal, Trusted Cloud Datenschutz-Profil für Cloud-Dienste, TRUSTe Enterprise Privacy Certifications – hier ist auch der Entwurf zur ISO 27018 „Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung“ zu beachten) oder Buchhaltungssysteme (Keurmerk Zeker-OnLine). Und manche haben durchaus Potenzial, befinden sich aber noch in der Entwicklung (Cloud Confidence, ESCloud, NGCert des Fraunhofer AISEC).
Sowohl Cloud-Provider als auch Cloud-Interessenten haben also derzeit die Qual der Wahl. Vielleicht hilft die Übersicht dabei, den Nebel zu lichten und bei der Entscheidung für den einen oder anderen Anbieter. Doch erst die nächsten Monate und Jahre werden zeigen, welche Gütesiegel sich im Markt durchsetzen und als Standards etablieren werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1327500/1327558/original.jpg "An Cloud-Dienste verliehene Zertifikate oder Testate stehen für die Erfüllung gewisser Standards wie Datensicherheit und Datenschutz. (© scottchan - stock.adobe.com)")
Sicherheit in der Cloud
Cloud Zertifikate - Was sind C5 und TCDP?
* Sebastian Dosch, Senior Consultant, microfin Unternehmensberatung GmbH
Artikelfiles und Artikellinks
Link: Microfin im Internet
(ID:44839544)
:quality(80)/images.vogel.de/vogelonline/bdb/1943200/1943231/original.jpg "Ein Register wie „Cloud Gate“ soll für den revisionssicheren Betrieb sowie für Transparenz diverser Use-Cases sorgen und so das Onboarding von Cloud-Diensten einfacher gestalten. (gemeinfrei: Kanenori )")
:quality(80)/images.vogel.de/vogelonline/bdb/1953200/1953225/original.jpg "Micro Focus bietet Hybrid Cloud Management X (HCMX) ab sofort auch als SaaS-Variante an. (Bethany Drouin)")