Cloud-Zertifikaten fehlt die Aussagekraft

Cloud-Computing ist mittlerweile in vielen Unternehmen Standard. In den IT-Abteilungen stellt sich schon lange nicht mehr die Frage, Cloud ja oder nein, sondern vielmehr, welche Cloud es sein soll. Laut den Analysten von IDC nutzen oder planen rund sechs von zehn deutschen Unternehmen den Einsatz von Cloud-Diensten.

Dem Cloud-Boom zum Trotz: Oft genug tun sich Unternehmen noch schwer damit, Daten in die Cloud auszulagern. Vor allem die Wahl des Anbieters stellt viele vor Herausforderungen. Besonders Mittelständler, deren überschaubare IT-Abteilungen keine oder nur wenig Cloud-Erfahrung haben, wissen nicht, für welchen Anbieter sie sich entscheiden sollen. Was für einem Cloud-Dienst kann man vertrauen und wo liegen die Daten – das sind nur zwei der Fragen, die sich IT-Verantwortliche stellen.

In Zeiten von Enthüllungen diverser staatlicher Schnüffelaktionen brauchen vor allem ausländische Cloud-Anbieter starke Argumente, um das Vertrauen deutscher Unternehmen zu gewinnen. So sind laut IDC für 57 Prozent von ihnen das deutsche Vertragsrecht und für 47 Prozent ein Rechenzentrum im Inland die wichtigsten Kriterien bei der Auswahl eines Anbieters.

Für Orientierung auf dem undurchsichtigen Cloud-Markt sollen Zertifikate sorgen. Zahlreiche Organisationen bieten Prüfsiegel für Cloud-Dienste an und wollen so Rechtssicherheit und Vertrauen schaffen. Die Zertifizierungsstellen prüfen etwa die Sicherheit der Rechenzentren sowie die Vertragsbedingungen.

Wenn sich ein Cloud-Anbieter zertifizieren lassen möchte, dann schaut ihm eine Zertifizierungsstelle in die Karten und bewertet seine Leistungen anhand eines Katalogs. Erfüllt der Cloud-Anbieter die Mindestanforderungen der Zertifizierungsstelle, erhält er von dieser ein Zertifikat. Mit diesem Zertifikat kann der Anbieter dann werben.

Wissen sollte man, dass es für Cloud-Zertifikate keinen weltweit gültigen Standard gibt. Jede Organisation kann für ihr Prüfsiegel eigene Kriterien festlegen. Die Qualität eines Zertifikats steht und fällt also damit, welche Maßstäbe eine Organisation für das Prüfsiegel anlegt.

---

Man unterscheidet zwischen zwei Varianten von Zertifikaten: dem Audit und dem Self-Assessment. Bei einem Audit checkt ein unabhängiger Prüfer der Zertifizierungsorganisa­tion, ob bei einem Cloud-Dienst die genannten Voraussetzungen gegeben sind. Ein Audit ist für den Cloud-Anbieter kein kostengünstiges Unterfangen.

Bei Self-Assessments wird das Prüfsiegel allein anhand einer Selbstauskunft des Cloud-Anbieters vergeben. Er beantwortet quasi einen Fragenkatalog – und wenn die Mindestanforderungen erfüllt sind, gibt es das Prüf­siegel. Self-Assessments sind für den Anbieter kostengünstiger, allerdings muss der Kunde darauf vertrauen, dass dieser bei der Beantwortung des Fragenkatalogs nicht geschummelt hat.

Weltweit gibt es schätzungsweise rund 150 Prüfsiegel für Cloud-Angebote. Die meisten davon dürften aber so gut wie keine Rolle spielen. Zu dem bekanntesten Prüforganisationen hierzulande gehören TÜV Rheinland, Cloud Ecosystem und EuroCloud Europe. Auch das Bundesministerium für Wirtschaft und Energie mischt mit: Das Trusted Cloud Label soll vertrauenswürdige Cloud-Dienste auszeichnen.

Laut René Büst, Senior Analyst und Cloud Practice Lead bei dem Beratungsunternehmen Crisp Research, sollte man sich genau ansehen, wer ein Zertifikat vergibt – eine Institution oder ein Interessenverband: „Hierbei sollten die Interessenverbände eher als Clubs von Anbietern betrachtet werden, deren ,Zertifikate‘ keine Sicherheit bei der Auswahl oder Qualität des Services bieten.“ Bei den Prüfsiegeln, die Interessenverbände vergeben, handele es sich häufig mehr um Marketingmaterial als um einen echten Hinweis auf die Qualität eines  Dienstes.

Dennoch lässt sich sagen: Wer sich für einen zertifizierten Dienst entscheidet, kann sicher sein, dass dieser einige Mindestanforderungen erfüllt, etwa was die Sicherheit betrifft.

Übrigens: Wenn ein Cloud-Dienst über keine Zertifizierung verfügt, dann bedeutet das nicht, dass es sich dabei um einen schlechten Dienst handelt. Die Großen der Branche wie Amazon, Google, Microsoft & Co. scheren sich gar nicht erst um irgendwelche Prüfsiegel, sie verzichten einfach darauf.

Wer auf der Suche nach einem Cloud-Anbieter ist, sollte, statt allzu sehr auf Prüfsiegel zu setzen, darauf achten, dass dieser eine ISO-Zertifizierung nach ISO/IEC27001 vorweisen kann. Sie hat am meisten Gewicht und wird auch beim IT-Grundschutz-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) berücksichtigt.

Bei ISO/IEC27001 handelt es sich um keine spezifische Cloud-Zertifizierung. Der ISO/IEC27001-Katalog besteht aus knapp 150 Anforderungen rund um Datensicherheit, Prozesse und Abläufe innerhalb des Unternehmens. So ist der Aufbau eines IT-Security-Management-Systems (ISMS) Voraussetzung für eine Zertifizierung. Ein ISMS legt Verfahren, Prozesse und Maßnahmen fest, die ein bestimmtes IT-Sicherheitsniveau garantieren.

Vorletztes Jahr erfuhr der ISO-Standard eine Erweiterung: ISO/IEC27018. Diese ist auf Cloud-Dienste abgestimmt und regelt den Datenschutz in der Cloud. Im Vordergrund steht zum Beispiel der Schutz von Kundendaten.

Eine Zertifizierung nach ISO/IEC27018 ist jedoch noch nicht möglich. Die Erweiterung ist derzeit noch eine Zusammenstellung von Umsetzungsempfehlungen, nicht aber ein Anforderungskatalog, der in einem Audit geprüft werden könnte.

Wenn also ein Unternehmen also damit wirbt, nach ISO/IEC27018 zertifiziert zu sein, dann ist damit eine ISO/IEC27001-Zertifizierung gemeint, bei der zusätzlich die Umsetzungsempfehlungen aus ISO/IEC 27018 Berücksichtigung fanden.