Was IT-Sicherheits-Zertifikate für Cloud-Service-Provider wert sind

cloud computing

Vertrauen ist gut, Kontrolle ist besser. Das gilt vor allem in punkto Cloud Computing. Denn die Nutzer dieser Services liefern ihrem Provider sensible und vertrauliche Daten sozusagen auf dem Silbertablett. Sicherheits-Prüfsiegel sind deshalb für die Anbieter wichtige Tools, um Vertrauen bei den Kunden zu schaffen und sich im Wettbewerb abzusetzen. Doch welche Zertifizierungen sind beim Cloud-Computing tatsächlich relevant – und was bedeutet das in punkto Nachweis für die Provider? Antworten liefert der Artikel „Sicherheits-Zertifikate für die Cloud: Schmuckes Beiwerk oder harter Faktor“ von Dr. Clemens Plieth, auf den ich vor kurzem im Netz gestoßen bin.

Der Beitrag des Managing Director Service Delivery ist nicht nur für die Nutzer von Cloud-Computing-Services, sondern auch für Provider interessant. Mein Fundstück der Woche.

Sicherheit entscheidet über Akzeptanz von Cloud-Services

Bevor es im Artikel „Sicherheits-Zertifikate für die Cloud: Schmuckes Beiwerk oder harter Faktor“ von Dr. Clemens Plieth im wahrsten Sinne ans Eingemachte der IT-Sicherheit geht, bekommt Ihr als Leser einen Einblick, wie wichtig Datensicherheit und Compliance im Zusammenhang mit dem Erfolg von Cloud-Computing-Services sind.

Dazu zieht der Managing Director Service Delivery auch eine aktuelle Studie der Beratungsgesellschaft PriceWaterhouseCoopers (PwC) aus dem Jahr 2011 heran, die besagt, dass 71 Prozent der nationalen mittelständischen Unternehmen befürchten, die Sicherheit ihrer Daten sei in der Cloud nicht ausreichend gewährleistet.

Dabei ist gerade das Vertrauen in die Sicherheit, die über Akzeptanz oder Nichtakzeptanz solcher Services entscheidet. Die Latte für Anbieter von Cloud-Services liegt also hoch – sie müssen den Nachweis erbringen, dass ihre „Pakete“ nicht mit mehr Risiken verbunden sind, als jene, für die Unternehmen selbst sorgen.

Und der Autor hat auch gleich die Lösung parat, wie ein solcher Nachweis erbracht werden kann: Durch Zertifizierungen von unabhängigen Instanzen.

Nur drei Zertifizierungen tatsächlich eine Art „Cloud-Computing-TÜV“

Laut Dr. Clemens Plieth sind das vor allem drei Zertifikate, die einen Service-Provider auszeichnen:

ISO 27001 von der International Standardization Organisation,
EuroCloud SaaS Star Audit des EuroCloud Deutschland_eco e.V. – und
SAS 70 des American Institute of Certified Public Accountants (AICPA).

Worauf diese drei Zertifizierungen ihr Gewicht legen, welche Nachweise der Provider erbringen muss – und welche Probleme damit verbunden sind, das erfahrt ihr in den einzelnen Kapiteln, in denen sich Dr. Clemens Plieth den verschiedenen Verfahren widmet.

Zertifizierung nach ISO 27001: So zeigt er etwa auf, dass die Zertifizierung nach ISO 27001 aus mehr als 130 Punkten zu Regelungen und Maßnahmen rund um die Datensicherheit besteht – und es nicht nur um die Sicherheit der Technik, sondern auch um die Mitarbeiter bis hinauf in die oberste Etage geht.

Zudem zeigt er auf, welche Pflichten damit für das Unternehmen einhergehen: So muss die Informationssicherheit in regelmäßigen Abständen durch Audits mit unabhängig und speziell ausgebildeten Experten überprüft werden.

Bei der ISO-Zertifizierung etwa muss jedes Jahr wieder eine Überprüfung absolviert werden – nach zwei Jahren steht laut Dr. Clemens Plieth eine komplette Re-Zertifizierung an.

EuroCloud SaaS Star Audit: Bei dem EuroCloud SaaS Star Audit – dem Gütesiegel des Verband EuroCloud Deutschland_eco e.V. – dauert die Auditierung rund sechs Wochen. Nach zwei Jahren muss die Zertifizierung erneut durchgeführt werden.

SAS 70: Dazu gibt es viele „Extra“-Infos über da jeweilige Gütesiegel. Informationen, die für Nutzer der Services genauso interessant sind, wie für Provider. Zum Beispiel, dass das SAS 70 des American Institute of Certified Public Accountants (AICPA) – bei dem die Zertifizierung durch Wirtschaftprüfergesellschaften erfolgt – bis dato lediglich im angelsächsischen Raum Bedeutung hat.

Richtig gut finde ich, dass der Artikel beide Seiten beleuchtet: So werden nicht nur die Vorteile der Zertifikate aufgezeigt, sondern auch, welche Schwierigkeiten damit für Provider verbunden sind. Denn die strengen Vorgaben zu bewältigen und einzuhalten ist alles andere als einfach.

Eingeschränkte Schutzwirkung des Safe Harbour Agreements

In einem kleinen Exkurs geht der Autor zudem darauf ein, warum das Safe Harbour Agreement – die Datenschutzvereinbarung zwischen der Europäischen Union und den USA – lediglich eine eingeschränkte Schutzwirkung haben kann.

Damit geht er auf ein aktuelles Thema ein, das nicht nur in den Gremien der Datenschützer, sondern auch in den Communities im Netz immer wieder für Diskussionsstoff sorgt. Denn diese Datenschutzvereinbarung erlaubt es in Europa tätigen amerikanischen Unternehmen, personenbezogene Daten in die USA zu übermitteln – ohne dafür juristisch belangt werden zu können.

Tricks unseriöser Anbieter aufgespürt

Was ich mit am besten finde: Am Ende seines Beitrags zeigt Dr. Clemens Plieth die Tricks von unseriösen Anbietern auf – und warnt davor, nicht blind auf Zertifikate oder Gütesiegel zu vertrauen.

So geht er etwa darauf ein, dass manche Cloud-Services-Provider lediglich einzelne Teile ihres Angebots zertifizieren, nicht jedoch das ganze Paket. Oder dass Services zwar zertifiziert wurden – jedoch kein jährliches Audit bzw. eine Re-Zertifizierung stattfand.

Mein Fazit: Der Artikel von Dr. Clemens Plieth ermöglicht einen sehr guten Überblick, welche Prozesse, Verfahren und Maßnahmen eine umfassende Zertifizierung erfordert – und welche Probleme bzw. Schwierigkeiten damit verbunden sein können. Damit empfiehlt sich der Beitrag nicht nur als Lektüre für Nutzer, die wissen wollen, welche Sicherheits-Prüfsiegel für Cloud-Computing-Services tatsächlich taugen, sondern auch für Provider, die solche Services anbieten.