27.09.2016
Die Wahl des Cloud-Anbieters
1. Teil: „Cloud-Zertifikaten fehlt die Aussagekraft“
Cloud-Zertifikaten fehlt die Aussagekraft
Autor: Konstantin Pfliegl
Rawpixel.com / Shutterstock.com
Zertifikate dienen als Orientierungshilfe beim Umstieg in die Cloud und sollen ein Prädikat für Sicherheit und Zuverlässigkeit darstellen. Aber was taugen sie wirklich?
Cloud-Computing ist mittlerweile in vielen Unternehmen Standard. In den IT-Abteilungen stellt sich schon lange nicht mehr die Frage, Cloud ja oder nein, sondern vielmehr, welche Cloud es sein soll. Laut den Analysten von IDC nutzen oder planen rund sechs von zehn deutschen Unternehmen den Einsatz von Cloud-Diensten.
In Zeiten von Enthüllungen diverser staatlicher Schnüffelaktionen brauchen vor allem ausländische Cloud-Anbieter starke Argumente, um das Vertrauen deutscher Unternehmen zu gewinnen. So sind laut IDC für 57 Prozent von ihnen das deutsche Vertragsrecht und für 47 Prozent ein Rechenzentrum im Inland die wichtigsten Kriterien bei der Auswahl eines Anbieters.
Für Orientierung auf dem undurchsichtigen Cloud-Markt sollen Zertifikate sorgen. Zahlreiche Organisationen bieten Prüfsiegel für Cloud-Dienste an und wollen so Rechtssicherheit und Vertrauen schaffen. Die Zertifizierungsstellen prüfen etwa die Sicherheit der Rechenzentren sowie die Vertragsbedingungen.
Cloud-Zertifikate in der Praxis
Wenn sich ein Cloud-Anbieter zertifizieren lassen möchte, dann schaut ihm eine Zertifizierungsstelle in die Karten und bewertet seine Leistungen anhand eines Katalogs. Erfüllt der Cloud-Anbieter die Mindestanforderungen der Zertifizierungsstelle, erhält er von dieser ein Zertifikat. Mit diesem Zertifikat kann der Anbieter dann werben.
Wissen sollte man, dass es für Cloud-Zertifikate keinen weltweit gültigen Standard gibt. Jede Organisation kann für ihr Prüfsiegel eigene Kriterien festlegen. Die Qualität eines Zertifikats steht und fällt also damit, welche Maßstäbe eine Organisation für das Prüfsiegel anlegt.
Tabelle:
TÜV Rheinland, Cloud Ecosystem oder ein Projekt des Bundeswirtschaftsministeriums – Prüfsiegel für Cloud-Dienste gibt es in Deutschland etliche.
Man unterscheidet zwischen zwei Varianten von Zertifikaten: dem Audit und dem Self-Assessment. Bei einem Audit checkt ein unabhängiger Prüfer der Zertifizierungsorganisation, ob bei einem Cloud-Dienst die genannten Voraussetzungen gegeben sind. Ein Audit ist für den Cloud-Anbieter kein kostengünstiges Unterfangen.
Bei Self-Assessments wird das Prüfsiegel allein anhand einer Selbstauskunft des Cloud-Anbieters vergeben. Er beantwortet quasi einen Fragenkatalog – und wenn die Mindestanforderungen erfüllt sind, gibt es das Prüfsiegel. Self-Assessments sind für den Anbieter kostengünstiger, allerdings muss der Kunde darauf vertrauen, dass dieser bei der Beantwortung des Fragenkatalogs nicht geschummelt hat.
2. Teil: „Anbieter von Cloud-Zertifikaten und Standards“
Anbieter von Cloud-Zertifikaten und Standards
Weltweit gibt es schätzungsweise rund 150 Prüfsiegel für Cloud-Angebote. Die meisten davon dürften aber so gut wie keine Rolle spielen. Zu dem bekanntesten Prüforganisationen hierzulande gehören TÜV Rheinland, Cloud Ecosystem und EuroCloud Europe. Auch das Bundesministerium für Wirtschaft und Energie mischt mit: Das Trusted Cloud Label soll vertrauenswürdige Cloud-Dienste auszeichnen.
Dennoch lässt sich sagen: Wer sich für einen zertifizierten Dienst entscheidet, kann sicher sein, dass dieser einige Mindestanforderungen erfüllt, etwa was die Sicherheit betrifft.
Übrigens: Wenn ein Cloud-Dienst über keine Zertifizierung verfügt, dann bedeutet das nicht, dass es sich dabei um einen schlechten Dienst handelt. Die Großen der Branche wie Amazon, Google, Microsoft & Co. scheren sich gar nicht erst um irgendwelche Prüfsiegel, sie verzichten einfach darauf.
ISO-Standard für die Cloud
Wer auf der Suche nach einem Cloud-Anbieter ist, sollte, statt allzu sehr auf Prüfsiegel zu setzen, darauf achten, dass dieser eine ISO-Zertifizierung nach ISO/IEC27001 vorweisen kann. Sie hat am meisten Gewicht und wird auch beim IT-Grundschutz-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) berücksichtigt.
Bei ISO/IEC27001 handelt es sich um keine spezifische Cloud-Zertifizierung. Der ISO/IEC27001-Katalog besteht aus knapp 150 Anforderungen rund um Datensicherheit, Prozesse und Abläufe innerhalb des Unternehmens. So ist der Aufbau eines IT-Security-Management-Systems (ISMS) Voraussetzung für eine Zertifizierung. Ein ISMS legt Verfahren, Prozesse und Maßnahmen fest, die ein bestimmtes IT-Sicherheitsniveau garantieren.
Vorletztes Jahr erfuhr der ISO-Standard eine Erweiterung: ISO/IEC27018. Diese ist auf Cloud-Dienste abgestimmt und regelt den Datenschutz in der Cloud. Im Vordergrund steht zum Beispiel der Schutz von Kundendaten.
Eine Zertifizierung nach ISO/IEC27018 ist jedoch noch nicht möglich. Die Erweiterung ist derzeit noch eine Zusammenstellung von Umsetzungsempfehlungen, nicht aber ein Anforderungskatalog, der in einem Audit geprüft werden könnte.
Wenn also ein Unternehmen also damit wirbt, nach ISO/IEC27018 zertifiziert zu sein, dann ist damit eine ISO/IEC27001-Zertifizierung gemeint, bei der zusätzlich die Umsetzungsempfehlungen aus ISO/IEC 27018 Berücksichtigung fanden.
Sponsored Post
Amazon Connect und GenAI – Superpower für den Kundenservice
Unternehmen benötigen Cloud-, Digital- und KI-Technologien, um die Customer Experience (CX) zu optimieren. SoftwareOne und AWS helfen Unternehmen, Kunden proaktiv individuell zugeschnittene Erlebnisse zu bieten. So wächst die Kundenbindung über alle Kanäle hinweg und fördert gleichzeitig die Leistungsfähigkeit und das Engagement der Mitarbeiter.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>