30. Juni 2014 - Cloud-Sicherheit

Cloud-Zertifizierung: Noch keine Einheitlichkeit in Sicht

Weil eigene Cloud-Audits mehr als schwierig umzusetzen sind, sollen Cloud-Zertifikate bei der Beurteilung des Cloud-Anbieters helfen. Eine einheitliche Cloud-Zertifizierung aber gibt es (noch) nicht.

(Bild: Thinkstock/Maksim Kabakou) Bei der Auswahl der Cloud-Anbieter sollte man genau hinschauen (Bild: Thinkstock/Maksim Kabakou)

Die Sache mit der Auftragskontrolle

Cloud Computing könnte so einfach sein: Installationen, Betrieb, Wartung und Pflege, alles kann man in die Hände des Cloud-Anbieters geben. Die Verantwortung für die personenbezogenen Daten aber nicht. Cloud-Nutzer bleiben verantwortlich für den Datenschutz und müssen sich von den Sicherheitsmaßnahmen der Cloud-Anbieter überzeugen. Der Grund: Bei Cloud-Diensten handelt es sich in aller Regel um eine Auftragsdatenverarbeitung.

Mehr zum Thema Auftragsdatenverarbeitung

 Die Rolle der Cloud-Zertifikate

Schön wäre es natürlich, wenn man auch die Auftragskontrolle vereinfachen könnte. Ideal erscheinen da Zertifikate, die den positiven Status von Datenschutz und Datensicherheit in der Cloud bescheinigen. Von der Verantwortung befreien kann eine solche Cloud-Zertifizierung nicht, aber sie ist eine wichtige Unterstützung bei der Beurteilung des Cloud-Providers. So besagt die Orientierungshilfe Cloud Computing der Aufsichtsbehörden: „Das Vorliegen von Zertifikaten entbindet den Cloud Anwender nicht von seinen Kontrollpflichten nach § 11 Abs. 2 Satz 4 BDSG.“

Mehr zum Thema Cloud

 Fortschritte bei der Cloud-Zertifizierung

Trotzdem sind Cloud-Zertifikate für die weitere Entwicklung des Cloud Computing entscheidend: „Wichtige Voraussetzung ist jedoch, dass Unternehmensdaten beim Cloud-Computing sicher aufgehoben sind und hohe Datenschutzstandards gewährleistet werden. Unser Pilotprojekt zur Datenschutz-Zertifizierung von Cloud-Diensten ist hier ein großer Schritt nach vorn“, so Stefan Kapferer, Staatssekretär im Bundeswirtschaftsministerium (BMWi). Das Pilotprojekt „Datenschutz-Zertifizierung für Cloud Computing“, das vom Kompetenzzentrum des BMWi-Technologieprogramms Trusted Cloud durchgeführt wird, läuft noch bis Frühjahr 2015. Doch wie steht es heute um die Cloud-Zertifizierung?

Mehr zum Thema Zertifizierung

Aber immer noch Dickicht an Zertifikaten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Beispiel beschreibt eigene erste Ansätze, um ein Zertifikat für die Sicherheit einer Cloud zu erarbeiten und zu etablieren, mit folgenden Teilen:

  • IT-Grundschutz-Zertifikat (insbesondere relevante IT-Grundschutz-Bausteine zum Cloud Computing),
  • Zertifikate zur Produktsicherheit nach Common Criteria für die als kritisch anzusehenden Komponenten sowie
  • weitere Nachweise (zum Beispiel zur Zuverlässigkeit).

Das BSI verweist auch darauf, dass es bereits mehrere Cloud-Zertifikate auf dem Markt gibt. Die EU-Agentur für Netz- und Informationssicherheit ENISA hat eine Liste an Cloud-Zertifizierungen (Cloud Certification Schemes List (CCSL)) zusammengestellt, die aktuell fünf verschiedene enthält, wobei die Liste noch ergänzt werden soll. Aus Nutzersicht wünschenswert wäre eher eine Verkleinerung der Liste, sprich: Vereinheitlichung und Standardisierung.

Cloud-Nutzer sind überfordert

Solange es keine durchgehende Standardisierung bei der Cloud-Zertifizierung gibt, müssen Cloud-Nutzer und letztlich auch Cloud-Anbieter genau beachten, was ein Cloud-Zertifikat aussagen kann und was nicht. Gerade die Cloud-Anwender jedoch haben Probleme damit, Datenschutz-Zertifikate wirklich beurteilen zu können. So stellte ENISA bei einer Untersuchung „Über die Sicherheit, Privatsphäre und Nutzbarkeit von Online-Siegeln“ fest, dass die Nutzer unter einer Informationsüberflutung leiden, sich nicht genügend darüber bewusst sind, was die Siegel bedeuten, und die Siegel von den Nutzern nicht überprüft werden. Auch bei einer Cloud-Zertifizierung muss man davon ausgehen.

Nutzen Sie deshalb die aktuelle Arbeitshilfe, um die Cloud-Nutzer in Ihrem Unternehmen bei der Beurteilung von Datenschutz- und Cloud-Zertifikaten zu unterstützen.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln