Was IT-Sicherheits-Zertifikate für Cloud-Service-Provider wert sind

Facebook
Twitter
XING
LinkedIn
WhatsApp
Pocket
Email

Vertrauen ist gut, Kontrolle ist besser. Das gilt vor allem in punkto Cloud Computing. Denn die Nutzer dieser Services liefern ihrem Provider sensible und vertrauliche Daten sozusagen auf dem Silbertablett. Sicherheits-Prüfsiegel sind deshalb für die Anbieter wichtige Tools, um Vertrauen bei den Kunden zu schaffen und sich im Wettbewerb abzusetzen. Doch welche Zertifizierungen sind beim Cloud-Computing tatsächlich relevant – und was bedeutet das in punkto Nachweis für die Provider? Antworten liefert der Artikel „Sicherheits-Zertifikate für die Cloud: Schmuckes Beiwerk oder harter Faktor“ von Dr. Clemens Plieth, auf den ich vor kurzem im Netz gestoßen bin.

cloud computing

Der Beitrag des Managing Director Service Delivery ist nicht nur für die Nutzer von Cloud-Computing-Services, sondern auch für Provider interessant. Mein Fundstück der Woche.

Sicherheit entscheidet über Akzeptanz von Cloud-Services

Bevor es im Artikel „Sicherheits-Zertifikate für die Cloud: Schmuckes Beiwerk oder harter Faktor“ von Dr. Clemens Plieth im wahrsten Sinne ans Eingemachte der IT-Sicherheit geht, bekommt Ihr als Leser einen Einblick, wie wichtig Datensicherheit und Compliance im Zusammenhang mit dem Erfolg von Cloud-Computing-Services sind.

Dazu zieht der Managing Director Service Delivery auch eine aktuelle Studie der Beratungsgesellschaft PriceWaterhouseCoopers (PwC) aus dem Jahr 2011 heran, die besagt, dass 71 Prozent der nationalen mittelständischen Unternehmen befürchten, die Sicherheit ihrer Daten sei in der Cloud nicht ausreichend gewährleistet.

Dabei ist gerade das Vertrauen in die Sicherheit, die über Akzeptanz oder Nichtakzeptanz solcher Services entscheidet. Die Latte für Anbieter von Cloud-Services liegt also hoch – sie müssen den Nachweis erbringen, dass ihre „Pakete“ nicht mit mehr Risiken verbunden sind, als jene, für die Unternehmen selbst sorgen.

Und der Autor hat auch gleich die Lösung parat, wie ein solcher Nachweis erbracht werden kann: Durch Zertifizierungen von unabhängigen Instanzen.

Nur drei Zertifizierungen tatsächlich eine Art „Cloud-Computing-TÜV“

Laut Dr. Clemens Plieth sind das vor allem drei Zertifikate, die einen Service-Provider auszeichnen:

  • ISO 27001 von der International Standardization Organisation,
  • EuroCloud SaaS Star Audit des EuroCloud Deutschland_eco e.V. – und
  • SAS 70 des American Institute of Certified Public Accountants (AICPA).

Worauf diese drei Zertifizierungen ihr Gewicht legen, welche Nachweise der Provider erbringen muss – und welche Probleme damit verbunden sind, das erfahrt ihr in den einzelnen Kapiteln, in denen sich Dr. Clemens Plieth den verschiedenen Verfahren widmet.

Zertifizierung nach ISO 27001: So zeigt er etwa auf, dass die Zertifizierung nach ISO 27001 aus mehr als 130 Punkten zu Regelungen und Maßnahmen rund um die Datensicherheit besteht – und es nicht nur um die Sicherheit der Technik, sondern auch um die Mitarbeiter bis hinauf in die oberste Etage geht.

Zudem zeigt er auf, welche Pflichten damit für das Unternehmen einhergehen: So muss die Informationssicherheit in regelmäßigen Abständen durch Audits mit unabhängig und speziell ausgebildeten Experten überprüft werden.

Bei der ISO-Zertifizierung etwa muss jedes Jahr wieder eine Überprüfung absolviert werden – nach zwei Jahren steht laut Dr. Clemens Plieth eine komplette Re-Zertifizierung an.

EuroCloud SaaS Star Audit: Bei dem EuroCloud SaaS Star Audit – dem Gütesiegel des Verband EuroCloud Deutschland_eco e.V. – dauert die Auditierung rund sechs Wochen. Nach zwei Jahren muss die Zertifizierung erneut durchgeführt werden.

SAS 70: Dazu gibt es viele „Extra“-Infos über da jeweilige Gütesiegel. Informationen, die für Nutzer der Services genauso interessant sind, wie für Provider. Zum Beispiel, dass das SAS 70 des American Institute of Certified Public Accountants (AICPA) – bei dem die Zertifizierung durch Wirtschaftprüfergesellschaften erfolgt – bis dato lediglich im angelsächsischen Raum Bedeutung hat.

Richtig gut finde ich, dass der Artikel beide Seiten beleuchtet: So werden nicht nur die Vorteile der Zertifikate aufgezeigt, sondern auch, welche Schwierigkeiten damit für Provider verbunden sind. Denn die strengen Vorgaben zu bewältigen und einzuhalten ist alles andere als einfach.

Eingeschränkte Schutzwirkung des Safe Harbour Agreements

In einem kleinen Exkurs geht der Autor zudem darauf ein, warum das Safe Harbour Agreement – die Datenschutzvereinbarung zwischen der Europäischen Union und den USA – lediglich eine eingeschränkte Schutzwirkung haben kann.

Damit geht er auf ein aktuelles Thema ein, das nicht nur in den Gremien der Datenschützer, sondern auch in den Communities im Netz immer wieder für Diskussionsstoff sorgt. Denn diese Datenschutzvereinbarung erlaubt es in Europa tätigen amerikanischen Unternehmen, personenbezogene Daten in die USA zu übermitteln – ohne dafür juristisch belangt werden zu können.

Tricks unseriöser Anbieter aufgespürt

Was ich mit am besten finde: Am Ende seines Beitrags zeigt Dr. Clemens Plieth die Tricks von unseriösen Anbietern auf – und warnt davor, nicht blind auf Zertifikate oder Gütesiegel zu vertrauen.

So geht er etwa darauf ein, dass manche Cloud-Services-Provider lediglich einzelne Teile ihres Angebots zertifizieren, nicht jedoch das ganze Paket. Oder dass Services zwar zertifiziert wurden – jedoch kein jährliches Audit bzw. eine Re-Zertifizierung stattfand.

Mein Fazit: Der Artikel von Dr. Clemens Plieth ermöglicht einen sehr guten Überblick, welche Prozesse, Verfahren und Maßnahmen eine umfassende Zertifizierung erfordert – und welche Probleme bzw. Schwierigkeiten damit verbunden sein können. Damit empfiehlt sich der Beitrag nicht nur als Lektüre für Nutzer, die wissen wollen, welche Sicherheits-Prüfsiegel für Cloud-Computing-Services tatsächlich taugen, sondern auch für Provider, die solche Services anbieten.

Weiterführende Informationen

Kategorien

Über Ralph Günther

RGPortrait eckig final

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

Über die exali AG

exali logo

Die exali AG mit Sitz in Augsburg ist der Spezialist für Berufshaftpflicht-versicherungen für Freelancer und Selbständige. Ein intuitiver Online-Rechner ermöglicht den Abschluss einer Berufshaftpflicht in unter 10 Minuten. Bei exali treiben wir die Digitalisierung der Versicherungsbranche jeden Tag ein weiteres Stück voran.

Facebook
Twitter
XING
LinkedIn
WhatsApp
Pocket
Email

Alles rund um Chancen und Risiken im Business auf exali.de:

dsgvo gefe
DSGVO-Gesetze im Internet: Die wichtigsten Urteile und Risiken
Welche Regelungen gelten beim Datentransfer in Drittländer? Was muss eine DSGVO-konforme Webseite enthalten? Was gibt es hinsichtlich der DSGVO bei Newsletter oder Social Media zu beachten? Diese… weiterlesen
email gecdff
Newsletter-Abmeldung verhindern: So halten Sie Ihre Abonnent:innen
Newsletter-Abmeldungen verhindern: Wir zeigen Ihnen die fünf häufigsten Gründe, aus denen sich Abonnent:innen vom Newsletter abmelden und wie Sie sie doch noch umstimmen können. weiterlesen
cybersecurity gcdfffef
Cybercrime: Business-Risiko Cyber-Erpressung
Laut einer aktuellen Studie des BSI bleibt Ransomware weiterhin die Top-Bedrohung für Unternehmen. Wie Sie Ihr Business schützen können, haben wir in diesem Artikel für Sie zusammengefasst: weiterlesen
wordpress
Content-Kooperationen: Chancen und Risiken für Ihr Business
Eine Content-Kooperation bietet viele Vorteile: Mehr Reichweite, mehr Traffic, Verbesserung des SEO-Rankings und möglicherweise auch neue Kundschaft. Wir verraten Ihnen, wie eine Content-Kooperation… weiterlesen

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.
RGPortrait eckig final

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

LogoBlog

Die exali AG mit Sitz in Augsburg ist der Spezialist für Berufshaftpflicht-versicherungen für Freelancer und Selbständige. Ein intuitiver Online-Rechner ermöglicht den Abschluss einer Berufshaftpflicht in unter 10 Minuten. Bei exali treiben wir die Digitalisierung der Versicherungsbranche jeden Tag ein weiteres Stück voran.