09.11.2017
Cloud-Zertifizierungen
1. Teil: „Cloud-Prüfsiegel für mehr Datenschutz“
Cloud-Prüfsiegel für mehr Datenschutz
Autor: Konstantin Pfliegl
laymanzoom / Shutterstock.com
Wenn Unternehmen kritische Datensätze in die Cloud verlagern, ist viel Vertrauen in die Leistungsfähigkeit und Zuverlässigkeit des Anbieters gefragt. Zertifizierungen sollen dieses Vertrauen schaffen.
In vielen Unternehmen ist Cloud-Computing heute eine Selbstverständlichkeit: Zwei von drei Firmen in Deutschland setzen bereits auf die Cloud. Mit 29 Prozent nutzt dabei ein Drittel Public-Cloud-Dienste – also für jeden verfügbare Angebote frei zugänglicher Provider, bei denen man sich die Server mit unzähligen weiteren Kunden teilt.
Vielerlei Zertifizierungen von zahlreichen Unternehmen und Interessenverbänden sollen das Vertrauen in Cloud-Dienste stärken und Orientierung bieten im Dschungel der vielen Cloud-Angebote. „Zertifizierungen sind der Grundstein für das Vertrauen in den Cloud-Anbieter“, so die Erfahrung von Frank Strecker, Senior Vice President Cloud Partner Products & Ecosystems bei T-Systems. Er verantwortet das weltweite Cloud-Geschäft der Deutschen Telekom.
„Wir kennen die Vorbehalte der KMUs gegenüber dem Einsatz von Anwendungen aus der Cloud“, weiß auch Frank Türling, Geschäftsführer von Cloud Ecosystem, aus seiner täglichen Arbeit zu berichten. Aus diesem Grund bietet auch sein Unternehmen als neutraler Verband ein Zertifizierungsprogramm für Cloud-Lösungen sowie Dienstleister als Entscheidungshilfe für KMUs an.
Die diversen Zertifizierungsstellen prüfen etwa die Sicherheit der Rechenzentren und die Vertragsbedingungen. Gerade in einem Land wie Deutschland, das den TÜV erfunden hat und in dem viele Kunden vor Anschaffungen erst einmal die Testberichte der „Stiftung Warentest“ studieren, ist das Vertrauen in Prüf- und Gütesiegel hoch.
Doch es gibt einen Wust an Zertifikaten und vielen IT-Entscheidern bereitet es Mühe, den Überblick zu behalten, welche Zertifikate tatsächlich für Qualität stehen und welche eher als Marketinginstrumente von Interessenverbänden anzusehen sind. Weltweit geht man derzeit von rund 200 Zertifikaten für Cloud-Angebote aus. Vor allem kleineren Mittelständlern mit einer überschaubaren IT-Abteilung fällt da die Entscheidung schwer. Von einer Standardisierung bei der Cloud-Zertifizierung ist man noch meilenweit entfernt.
2. Teil: „Für mehr Datenschutz“
Für mehr Datenschutz
Vor allem in Hinblick auf die Europäische Datenschutz-Grundverordnung (DSGVO), deren Umsetzung europäische Unternehmen bis zum 25. Mai kommenden Jahres erledigt haben sollen, steht das Thema Datenschutz laut Frank Strecker aktuell im Vordergrund. Seiner Ansicht nach werden Kunden auf Garantien und Nachweise bestehen, dass der Cloud-Anbieter die Datenschutzregularien einhält. „IT-Sicherheits- sowie Datenschutzbeauftragte haben dank Cloud-Zertifikaten die Chance, die gewissenhafte Auswahl eines Anbieters nachzuweisen. Nach aktuellem Stand der Technik, mit einer vertraglichen Regelung der verpflichtenden Auftragsdatenverarbeitung (ADV).“
Als Auftragsdatenverarbeitung bezeichnet man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister. Welche Rechte, Pflichten und Maßnahmen im Einzelnen durch einen Vertrag zwischen Auftraggeber und Auftragnehmer, also etwa einem Cloud-Dienstleister, zu treffen sind, regeln §11 des Bundesdatenschutzgesetzes (BDSG) und Art. 28 der Europäischen Datenschutz-Grundverordnung.
Was man nämlich wissen muss: Auch wenn ein Unternehmen seine Daten von einem externen Cloud-Dienstleister verarbeiten lässt, so ist das Unternehmen nach wie vor die verantwortliche Stelle, die gewährleisten muss, dass die einschlägigen Datenschutzgesetze eingehalten werden. So muss ein Unternehmen nach §11 Abs. 2 des BDSG den Cloud-Dienstleister auf die Einhaltung von geeigneten technischen und organisatorischen Maßnahmen zur IT-Sicherheit überprüfen. Theoretisch würde das bedeuten, dass der Cloud-Dienstleister jedem Kunden im Rahmen der Überprüfung Zugang zum Rechenzentrum gewähren muss. Das ist natürlich weder organisatorisch und zeitlich noch personell machbar. Hinzu kommt, dass es einem Unternehmen bei einem Besuch im Rechenzentrum in der Regel dennoch nicht möglich wäre, die korrekte Einhaltung der Datenschutzanforderungen zu überprüfen.
Hier kommen die Zertifikate ins Spiel: Es gibt Zertifikate, die zeigen, dass ein Cloud-Anbieter die Datenschutzregeln bezüglich des Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung sorgfältig einhält.
3. Teil: „TCDP“
TCDP
Das relativ neue Trusted-Cloud-Datenschutz-Profil (TCDP) ist der nach eigenen Angaben erste und einzige Prüfstandard für Cloud-Dienstleister, der die Anforderungen des deutschen Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung vollständig abbildet. Mit einem solchen Zertifikat weist ein Cloud-Anbieter nach, dass sein Dienst die gesetzlichen Anforderungen erfüllt. Entwickelt wurde das TCDP im Rahmen des Programms Trusted Cloud des Bundesministeriums für Wirtschaft und Energie (BMWi) unter der Leitung der TÜV Informationstechnik GmbH (TÜViT) des TÜV Nord. Ebenfalls beteiligt waren zahlreiche maßgebliche Akteure auf dem Feld der Datenschutz-Zertifizierung, insbesondere Datenschutzaufsichtsbehörden, Anbieter von Cloud-Diensten unterschiedlicher Größenordnung, Anbieter von Prüf- und Zertifizierungsleistungen sowie Verbände und Institutionen der IT und des Datenschutzes.
Das Trusted-Cloud-Datenschutz-Profil wird im kommenden Jahr besonders in den Fokus rücken, so die Prognose von Frank Strecker von T-Systems, weil diese Auszeichnung am besten mit der Europäischen Datenschutz-Grundverordnung vereinbar sei. Sein Rat: „Bei drohenden Strafen von bis zu 20 Millionen Euro für einen Verstoß gegen die Verordnung sollten Unternehmen insbesondere auf Zertifikate des Anbieters in diesem Bereich achten.“
Das Trusted-Cloud-Datenschutz-Profil bildet laut TÜV Nord die gesetzlichen Anforderungen des Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung ab, was eine ISO-Norm allein nicht leisten könnte. Das Zertifikat stellt einen umfangreichen Schutz bezüglich Datenschutz und Datensicherheit bereit, da der Prüfstandard die Normen von ISO/IEC 27018, ISO/IEC 27017 und ISO/IEC 27002 miteinbezieht. Darüber hinaus wird durch die Zertifizierung nachgewiesen, dass die datenschutzrechtlichen Vorgaben der Europäischen Datenschutz-Grundverordnung eingehalten werden.
Am Zertifizierungsverfahren des TCDP sind drei Parteien beteiligt: der zu prüfende Cloud-Anbieter, eine Prüfstelle sowie eine Zertifizierungsstelle. Der Cloud-Anbieter hat im Rahmen der Prüfung Mitwirkungs- und Auskunftspflichten gegenüber der Prüfstelle. Die Prüfung der Voraussetzungen erfolgt zunächst anhand der Prüfstelle übermittelter Dokumente. Im zweiten Schritt folgt in der Regel eine Begehung der Rechenzentren des Coud-Anbieters und die Einsicht in die Verwaltungs-Software des Dienstes. Auf Grundlage der Prüfung erstellt die Prüfstelle einen Prüfbericht, welcher der Zertifizierungsstelle übergeben wird. Die Prüf- und die Zertifizierungsstelle müssen dabei rechtlich eigenständige und voneinander unabhängige Stellen sein, denn die Zertifizierung erfolgt auf Grundlage des Prüfberichts, der die Einhaltung der Anforderungen des TCDP feststellen soll.
4. Teil: „BSI C5, ISO 27001 und ISO 27018“
BSI C5, ISO 27001 und ISO 27018
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Anforderungskatalog entwickelt, der Kriterien an die Cloud-Sicherheit beschreibt, die nach Ansicht des BSI nicht unterschritten werden sollten. Der sogenannte Cloud Computing Compliance Controls Catalogue, kurz C5, ist in insgesamt 17 thematische Bereiche unterteilt, etwa Organisation der Informationssicherheit, Identitäts- und Berechtigungsmanagement, Compliance und Datenschutz. Der Katalog basiert auf etablierten Standards wie ISO/IEC 27001:2013.
Der Cloud-Dienstleister erhält bei erfolgreicher Prüfung jedoch kein Zertifikat, sondern ein Testat. Der Hintergrund: Da das Cloud-Computing international aufgestellt ist, hat das BSI darauf verzichtet, ein weiteres nationales Zertifikat einzuführen.
ISO 27001 und ISO 27018
Die ISO-Norm ISO/IEC 27001 ist ein Katalog aus knapp 150 Anforderungen rund um Datensicherheit, Prozesse und Abläufe innerhalb eines Unternehmens, die ein bestimmtes IT-Sicherheitsniveau garantieren. Dabei handelt es sich zwar um keine cloudspezifische Norm, sie hat aber am meisten Gewicht und wird auch beim IT-Grundschutz-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) berücksichtigt. Auch große Cloud-Anbieter wie Amazon, Google und Microsoft lassen ihre Dienste in Hinblick auf diese ISO-Norm prüfen.
2014 führte die International Organization for Standardization (ISO) die Erweiterung ISO/IEC 27018:2014 ein, einen Anhang zu ISO/IEC 27001. Diese ist auf Cloud-Dienste abgestimmt und regelt den Datenschutz in der Cloud. Im Vordergrund steht zum Beispiel der Schutz von Kundendaten.
Fazit
Cloud-Kunden sollten vor der Wahl eines Cloud-Dienstleisters trotz Werbung mit Zertifizierungen genau hinsehen, welche Kriterien das jeweilige Zertifikat voraussetzt und wer es vergeben hat – eine bekannte Institution oder etwa ein Interessenverband, von dem man bis dato kaum etwas gehört hat. Trotz alledem kann man als Unternehmen, das sich für einen zertifizierten Dienst entscheidet, halbwegs sicher sein, dass der Dienst wenigstens einige Mindestanforderungen in Bezug auf die Sicherheit erfüllt. Wenn ein Cloud-Dienst über kein Prüfsiegel verfügt, dann bedeutet das wiederum auch nicht, dass es sich um einen schlechten Dienst handelt.
Nach Einschätzung von Frank Türling präsentieren sich die guten und empfehlenswerten Public-Cloud-Anbieter bereits sehr positiv. Die Spreu sollte sich so also ganz gut vom Weizen trennen lassen.
Anstatt nur auf Prüfsiegel zu achten, lohnt es sich auch, sicherzustellen, dass ein Wechsel des Cloud-Anbieters jederzeit möglich ist. Denn echte Cloud-Standards gibt es nicht, vielmehr dominieren mehrere De-facto-Standards den Markt. Was aber, wenn ein Unternehmen seine Daten und Anwendungen wieder ins eigene Rechenzentrum zurückholen möchte? Oder wenn man den Anbieter wechseln will, weil ein anderer günstiger ist? Ein weiteres Szenario: Das Unternehmen plant die parallele Nutzung mehrerer Dienste – beim Anbieter A sollen Daten verarbeitet und dann in der Cloud des Anbieters B weiterverarbeitet werden. Jeder Cloud-Anbieter verwendet eigene Technologien. Vielfach sind die Dienste untereinander inkompatibel.
Frank Strecker empfiehlt Unternehmen, auf Cloud-Dienste zu setzen, die Open-Source-Architekturen wie OpenStack verwenden. Der größte Vorteil von Open Source: Man muss keinen Vendor-Lock-in fürchten, also die Abhängigkeit von einem Anbieter. Wenn beide Cloud-Anbieter – der aktuelle sowie der neue Dienstleister – zum Beispiel das Open-Source-Projekt OpenStack unterstützen, dann ist ein Wechsel meist jederzeit möglich. Sein Resümee: „Dank OpenStack hat jeder Anwender zu jeder Zeit die Option, seine Daten zwischen unterschiedlichen Providern zu bewegen, und bleibt so stets flexibel.“
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>