RGBlog
Ralph Günther
exali-Gründer | Versicherungsexperte

Was IT-Sicherheits-Zertifikate für Cloud-Service-Provider wert sind

Vertrauen ist gut, Kontrolle ist besser. Das gilt vor allem in punkto Cloud Computing. Denn die Nutzer dieser Services liefern ihrem Provider sensible und vertrauliche Daten sozusagen auf dem Silbertablett. Sicherheits-Prüfsiegel sind deshalb für die Anbieter wichtige Tools, um Vertrauen bei den Kunden zu schaffen und sich im Wettbewerb abzusetzen. Doch welche Zertifizierungen sind beim Cloud-Computing tatsächlich relevant – und was bedeutet das in punkto Nachweis für die Provider? Antworten liefert der Artikel „Sicherheits-Zertifikate für die Cloud: Schmuckes Beiwerk oder harter Faktor“ von Dr. Clemens Plieth, auf den ich vor kurzem im Netz gestoßen bin.

cloud computing

Der Beitrag des Managing Director Service Delivery ist nicht nur für die Nutzer von Cloud-Computing-Services, sondern auch für Provider interessant. Mein Fundstück der Woche.

Sicherheit entscheidet über Akzeptanz von Cloud-Services

Bevor es im Artikel „Sicherheits-Zertifikate für die Cloud: Schmuckes Beiwerk oder harter Faktor“ von Dr. Clemens Plieth im wahrsten Sinne ans Eingemachte der IT-Sicherheit geht, bekommt Ihr als Leser einen Einblick, wie wichtig Datensicherheit und Compliance im Zusammenhang mit dem Erfolg von Cloud-Computing-Services sind.

Dazu zieht der Managing Director Service Delivery auch eine aktuelle Studie der Beratungsgesellschaft PriceWaterhouseCoopers (PwC) aus dem Jahr 2011 heran, die besagt, dass 71 Prozent der nationalen mittelständischen Unternehmen befürchten, die Sicherheit ihrer Daten sei in der Cloud nicht ausreichend gewährleistet.

Dabei ist gerade das Vertrauen in die Sicherheit, die über Akzeptanz oder Nichtakzeptanz solcher Services entscheidet. Die Latte für Anbieter von Cloud-Services liegt also hoch – sie müssen den Nachweis erbringen, dass ihre „Pakete“ nicht mit mehr Risiken verbunden sind, als jene, für die Unternehmen selbst sorgen.

Und der Autor hat auch gleich die Lösung parat, wie ein solcher Nachweis erbracht werden kann: Durch Zertifizierungen von unabhängigen Instanzen.

Nur drei Zertifizierungen tatsächlich eine Art „Cloud-Computing-TÜV“

Laut Dr. Clemens Plieth sind das vor allem drei Zertifikate, die einen Service-Provider auszeichnen:

  • ISO 27001 von der International Standardization Organisation,
  • EuroCloud SaaS Star Audit des EuroCloud Deutschland_eco e.V. – und
  • SAS 70 des American Institute of Certified Public Accountants (AICPA).

Worauf diese drei Zertifizierungen ihr Gewicht legen, welche Nachweise der Provider erbringen muss – und welche Probleme damit verbunden sind, das erfahrt ihr in den einzelnen Kapiteln, in denen sich Dr. Clemens Plieth den verschiedenen Verfahren widmet.

Zertifizierung nach ISO 27001: So zeigt er etwa auf, dass die Zertifizierung nach ISO 27001 aus mehr als 130 Punkten zu Regelungen und Maßnahmen rund um die Datensicherheit besteht – und es nicht nur um die Sicherheit der Technik, sondern auch um die Mitarbeiter bis hinauf in die oberste Etage geht.

Zudem zeigt er auf, welche Pflichten damit für das Unternehmen einhergehen: So muss die Informationssicherheit in regelmäßigen Abständen durch Audits mit unabhängig und speziell ausgebildeten Experten überprüft werden.

Bei der ISO-Zertifizierung etwa muss jedes Jahr wieder eine Überprüfung absolviert werden – nach zwei Jahren steht laut Dr. Clemens Plieth eine komplette Re-Zertifizierung an.

EuroCloud SaaS Star Audit: Bei dem EuroCloud SaaS Star Audit – dem Gütesiegel des Verband EuroCloud Deutschland_eco e.V. – dauert die Auditierung rund sechs Wochen. Nach zwei Jahren muss die Zertifizierung erneut durchgeführt werden.

SAS 70: Dazu gibt es viele „Extra“-Infos über da jeweilige Gütesiegel. Informationen, die für Nutzer der Services genauso interessant sind, wie für Provider. Zum Beispiel, dass das SAS 70 des American Institute of Certified Public Accountants (AICPA) – bei dem die Zertifizierung durch Wirtschaftprüfergesellschaften erfolgt – bis dato lediglich im angelsächsischen Raum Bedeutung hat.

Richtig gut finde ich, dass der Artikel beide Seiten beleuchtet: So werden nicht nur die Vorteile der Zertifikate aufgezeigt, sondern auch, welche Schwierigkeiten damit für Provider verbunden sind. Denn die strengen Vorgaben zu bewältigen und einzuhalten ist alles andere als einfach.

Eingeschränkte Schutzwirkung des Safe Harbour Agreements

In einem kleinen Exkurs geht der Autor zudem darauf ein, warum das Safe Harbour Agreement – die Datenschutzvereinbarung zwischen der Europäischen Union und den USA – lediglich eine eingeschränkte Schutzwirkung haben kann.

Damit geht er auf ein aktuelles Thema ein, das nicht nur in den Gremien der Datenschützer, sondern auch in den Communities im Netz immer wieder für Diskussionsstoff sorgt. Denn diese Datenschutzvereinbarung erlaubt es in Europa tätigen amerikanischen Unternehmen, personenbezogene Daten in die USA zu übermitteln – ohne dafür juristisch belangt werden zu können.

Tricks unseriöser Anbieter aufgespürt

Was ich mit am besten finde: Am Ende seines Beitrags zeigt Dr. Clemens Plieth die Tricks von unseriösen Anbietern auf – und warnt davor, nicht blind auf Zertifikate oder Gütesiegel zu vertrauen.

So geht er etwa darauf ein, dass manche Cloud-Services-Provider lediglich einzelne Teile ihres Angebots zertifizieren, nicht jedoch das ganze Paket. Oder dass Services zwar zertifiziert wurden – jedoch kein jährliches Audit bzw. eine Re-Zertifizierung stattfand.

Mein Fazit: Der Artikel von Dr. Clemens Plieth ermöglicht einen sehr guten Überblick, welche Prozesse, Verfahren und Maßnahmen eine umfassende Zertifizierung erfordert – und welche Probleme bzw. Schwierigkeiten damit verbunden sein können. Damit empfiehlt sich der Beitrag nicht nur als Lektüre für Nutzer, die wissen wollen, welche Sicherheits-Prüfsiegel für Cloud-Computing-Services tatsächlich taugen, sondern auch für Provider, die solche Services anbieten.

Weiterführende Informationen

Kategorien

Über Ralph Günther

Ralph Blog Bild

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

Über die exali AG

exali logo

Die exali AG mit Sitz in Augsburg ist der Spezialist für Berufshaftpflicht-versicherungen für Freelancer und Selbständige. Ein intuitiver Online-Rechner ermöglicht den Abschluss einer Berufshaftpflicht in unter 10 Minuten. Bei exali treiben wir die Digitalisierung der Versicherungsbranche jeden Tag ein weiteres Stück voran.

Alles rund um Chancen und Risiken im Business auf exali.de:

anastasiya badun zGa sTfBMc unsplash
Instagram für Freelancer: Marke aufbauen und Kundschaft gewinnen
Entdecken Sie, wie Instagram helfen kann, Ihre Marke aufzubauen und neue Kunden zu gewinnen. Erfahren Sie alles über Account-Typen, Strategien und kreative Inhalte für mehr Sichtbarkeit! weiterlesen
question gb
Berufshaftpflicht: Wer muss sich versichern?
Welche Berufsgruppen sind gesetzlich zur Berufshaftpflicht verpflichtet? Welche nicht? und warum ist sie für alle Selbstständigen wichtig? Antworten gibt es in unserem Artikel. weiterlesen
glenn carstens peters RLw UCGwc unsplash
Gewerbe anmelden: So geht’s richtig!
Ein Gewerbe anmelden klingt erstmal nach einer Menge Aufwand. Der Prozess ist allerdings gut zu bewältigen, wenn Sie ihn strukturiert angehen. Unser Artikel unterstützt Sie dabei. weiterlesen
zhenyu luo kEJmtbvXxM unsplash
KI im eCommerce: Zukunftsperspektiven für den Online-Handel
KI transformiert den eCommerce! Deshalb verraten wir im Artikel, wie KI Ihnen das tägliche Geschäft erleichtert und Ihrer Kundschaft ein besseres Einkauferlebnis beschert. weiterlesen

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

Ralph Blog Bild
Ralph Blog Bild

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

LogoBlog

Absicherung für Ihr Business ohne kompliziertes Versicherungs-Blabla und tonnenweise Papierkram? Das gibt’s bei exali. Wir sind seit 2008 der Makler für Ihre Berufshaftpflicht – und zwar europaweit! Bei uns schließen Sie Ihren Versicherungsschutz komplett online in Echtzeit ab. Wählen Sie aus maßgeschneiderten Lösungen zur Absicherung von Risiken in Ihrem Berufsfeld: von IT- und Engineering-Experten über Kreative und Medienschaffende bis hin zu Beratern und eCommerce-Anbietern. Mit frei wählbaren Zusatzbausteinen wächst Ihre Berufshaftpflicht mit Ihrem Business mit. Bei Fragen und im Schadenfall sind unsere Profis aus dem exali-Kundenservice persönlich für Sie da. Denn wir finden: Ein digitales Angebot und persönliche Betreuung gehören unbedingt zusammen. So können Sie sich ganz auf Ihr Business konzentrieren – die Risiko-Absicherung übernehmen wir.