RGBlog
Ralph Günther
exali-Gründer | Versicherungsexperte

Was IT-Sicherheits-Zertifikate für Cloud-Service-Provider wert sind

Vertrauen ist gut, Kontrolle ist besser. Das gilt vor allem in punkto Cloud Computing. Denn die Nutzer dieser Services liefern ihrem Provider sensible und vertrauliche Daten sozusagen auf dem Silbertablett. Sicherheits-Prüfsiegel sind deshalb für die Anbieter wichtige Tools, um Vertrauen bei den Kunden zu schaffen und sich im Wettbewerb abzusetzen. Doch welche Zertifizierungen sind beim Cloud-Computing tatsächlich relevant – und was bedeutet das in punkto Nachweis für die Provider? Antworten liefert der Artikel „Sicherheits-Zertifikate für die Cloud: Schmuckes Beiwerk oder harter Faktor“ von Dr. Clemens Plieth, auf den ich vor kurzem im Netz gestoßen bin.

cloud computing

Der Beitrag des Managing Director Service Delivery ist nicht nur für die Nutzer von Cloud-Computing-Services, sondern auch für Provider interessant. Mein Fundstück der Woche.

Sicherheit entscheidet über Akzeptanz von Cloud-Services

Bevor es im Artikel „Sicherheits-Zertifikate für die Cloud: Schmuckes Beiwerk oder harter Faktor“ von Dr. Clemens Plieth im wahrsten Sinne ans Eingemachte der IT-Sicherheit geht, bekommt Ihr als Leser einen Einblick, wie wichtig Datensicherheit und Compliance im Zusammenhang mit dem Erfolg von Cloud-Computing-Services sind.

Dazu zieht der Managing Director Service Delivery auch eine aktuelle Studie der Beratungsgesellschaft PriceWaterhouseCoopers (PwC) aus dem Jahr 2011 heran, die besagt, dass 71 Prozent der nationalen mittelständischen Unternehmen befürchten, die Sicherheit ihrer Daten sei in der Cloud nicht ausreichend gewährleistet.

Dabei ist gerade das Vertrauen in die Sicherheit, die über Akzeptanz oder Nichtakzeptanz solcher Services entscheidet. Die Latte für Anbieter von Cloud-Services liegt also hoch – sie müssen den Nachweis erbringen, dass ihre „Pakete“ nicht mit mehr Risiken verbunden sind, als jene, für die Unternehmen selbst sorgen.

Und der Autor hat auch gleich die Lösung parat, wie ein solcher Nachweis erbracht werden kann: Durch Zertifizierungen von unabhängigen Instanzen.

Nur drei Zertifizierungen tatsächlich eine Art „Cloud-Computing-TÜV“

Laut Dr. Clemens Plieth sind das vor allem drei Zertifikate, die einen Service-Provider auszeichnen:

  • ISO 27001 von der International Standardization Organisation,
  • EuroCloud SaaS Star Audit des EuroCloud Deutschland_eco e.V. – und
  • SAS 70 des American Institute of Certified Public Accountants (AICPA).

Worauf diese drei Zertifizierungen ihr Gewicht legen, welche Nachweise der Provider erbringen muss – und welche Probleme damit verbunden sind, das erfahrt ihr in den einzelnen Kapiteln, in denen sich Dr. Clemens Plieth den verschiedenen Verfahren widmet.

Zertifizierung nach ISO 27001: So zeigt er etwa auf, dass die Zertifizierung nach ISO 27001 aus mehr als 130 Punkten zu Regelungen und Maßnahmen rund um die Datensicherheit besteht – und es nicht nur um die Sicherheit der Technik, sondern auch um die Mitarbeiter bis hinauf in die oberste Etage geht.

Zudem zeigt er auf, welche Pflichten damit für das Unternehmen einhergehen: So muss die Informationssicherheit in regelmäßigen Abständen durch Audits mit unabhängig und speziell ausgebildeten Experten überprüft werden.

Bei der ISO-Zertifizierung etwa muss jedes Jahr wieder eine Überprüfung absolviert werden – nach zwei Jahren steht laut Dr. Clemens Plieth eine komplette Re-Zertifizierung an.

EuroCloud SaaS Star Audit: Bei dem EuroCloud SaaS Star Audit – dem Gütesiegel des Verband EuroCloud Deutschland_eco e.V. – dauert die Auditierung rund sechs Wochen. Nach zwei Jahren muss die Zertifizierung erneut durchgeführt werden.

SAS 70: Dazu gibt es viele „Extra“-Infos über da jeweilige Gütesiegel. Informationen, die für Nutzer der Services genauso interessant sind, wie für Provider. Zum Beispiel, dass das SAS 70 des American Institute of Certified Public Accountants (AICPA) – bei dem die Zertifizierung durch Wirtschaftprüfergesellschaften erfolgt – bis dato lediglich im angelsächsischen Raum Bedeutung hat.

Richtig gut finde ich, dass der Artikel beide Seiten beleuchtet: So werden nicht nur die Vorteile der Zertifikate aufgezeigt, sondern auch, welche Schwierigkeiten damit für Provider verbunden sind. Denn die strengen Vorgaben zu bewältigen und einzuhalten ist alles andere als einfach.

Eingeschränkte Schutzwirkung des Safe Harbour Agreements

In einem kleinen Exkurs geht der Autor zudem darauf ein, warum das Safe Harbour Agreement – die Datenschutzvereinbarung zwischen der Europäischen Union und den USA – lediglich eine eingeschränkte Schutzwirkung haben kann.

Damit geht er auf ein aktuelles Thema ein, das nicht nur in den Gremien der Datenschützer, sondern auch in den Communities im Netz immer wieder für Diskussionsstoff sorgt. Denn diese Datenschutzvereinbarung erlaubt es in Europa tätigen amerikanischen Unternehmen, personenbezogene Daten in die USA zu übermitteln – ohne dafür juristisch belangt werden zu können.

Tricks unseriöser Anbieter aufgespürt

Was ich mit am besten finde: Am Ende seines Beitrags zeigt Dr. Clemens Plieth die Tricks von unseriösen Anbietern auf – und warnt davor, nicht blind auf Zertifikate oder Gütesiegel zu vertrauen.

So geht er etwa darauf ein, dass manche Cloud-Services-Provider lediglich einzelne Teile ihres Angebots zertifizieren, nicht jedoch das ganze Paket. Oder dass Services zwar zertifiziert wurden – jedoch kein jährliches Audit bzw. eine Re-Zertifizierung stattfand.

Mein Fazit: Der Artikel von Dr. Clemens Plieth ermöglicht einen sehr guten Überblick, welche Prozesse, Verfahren und Maßnahmen eine umfassende Zertifizierung erfordert – und welche Probleme bzw. Schwierigkeiten damit verbunden sein können. Damit empfiehlt sich der Beitrag nicht nur als Lektüre für Nutzer, die wissen wollen, welche Sicherheits-Prüfsiegel für Cloud-Computing-Services tatsächlich taugen, sondern auch für Provider, die solche Services anbieten.

Weiterführende Informationen

Kategorien

Über Ralph Günther

Ralph Blog Bild

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

Über die exali AG

exali logo

Die exali AG mit Sitz in Augsburg ist der Spezialist für Berufshaftpflicht-versicherungen für Freelancer und Selbständige. Ein intuitiver Online-Rechner ermöglicht den Abschluss einer Berufshaftpflicht in unter 10 Minuten. Bei exali treiben wir die Digitalisierung der Versicherungsbranche jeden Tag ein weiteres Stück voran.

Alles rund um Chancen und Risiken im Business auf exali.de:

calculator
Was kostet eine Berufshaftpflichtversicherung?
Jetzt wird gerechnet! Egal ob Start-up, Existenzgründung oder Freelancer mit mehrjähriger Erfahrung: In diesem Artikel erfahren Sie anhand von Rechenbeispielen, was eine Berufshaftpflicht für… weiterlesen
Gruendungsfinanzierung
Erfolgreich gründen: Wichtige Tipps zur Unternehmensfinanzierung
Entdecke wertvolle Insights zur Gründungsfinanzierung in unserem Experteninterview. Dr. Georg Schröder teilt spannende Tipps für den erfolgreichen Start Ihres Unternehmens! weiterlesen
centre for ageing better I cKK bnY unsplash
Geschäftskonto eröffnen: Tipps für Selbständige und Freelancer
Erfahren Sie, wie Sie für Ihr Business das richtige Geschäftskonto wählen. Unser Artikel hilft Ihnen, Konditionen zu bewerten und das passende Modell für Ihren Bedarf zu finden. weiterlesen
Interview Julia Gertz Artikelbild
Projektverträge für IT-Freelancer: Darauf kommt es an
Sich als IT-Freelancer gegenüber Auftraggebenden eine gute vertragliche Position verschaffen? Das ist möglich! Julia Gertz, Fachanwältin für IT-Recht, verrät im Interview, wie… weiterlesen

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

Ralph Blog Bild
Ralph Blog Bild

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

LogoBlog

Absicherung für Ihr Business ohne kompliziertes Versicherungs-Blabla und tonnenweise Papierkram? Das gibt’s bei exali. Wir sind seit 2008 der Makler für Ihre Berufshaftpflicht – und zwar europaweit! Bei uns schließen Sie Ihren Versicherungsschutz komplett online in Echtzeit ab. Wählen Sie aus maßgeschneiderten Lösungen zur Absicherung von Risiken in Ihrem Berufsfeld: von IT- und Engineering-Experten über Kreative und Medienschaffende bis hin zu Beratern und eCommerce-Anbietern. Mit frei wählbaren Zusatzbausteinen wächst Ihre Berufshaftpflicht mit Ihrem Business mit. Bei Fragen und im Schadenfall sind unsere Profis aus dem exali-Kundenservice persönlich für Sie da. Denn wir finden: Ein digitales Angebot und persönliche Betreuung gehören unbedingt zusammen. So können Sie sich ganz auf Ihr Business konzentrieren – die Risiko-Absicherung übernehmen wir.