Analysen
18. Januar 2012
AUTOR: Businesscloud.de

Sicherheits-Zertifikate für die Cloud: Schmuckes Beiwerk oder harter Faktor

Cloud Computing ist Vertrauenssache. Denn der Nutzer von Cloud-Services macht dem Provider einen Teil seines Tafelsilbers zugänglich: Geschäftsinformationen sowie Kunden- und Finanzdaten. Deshalb ist es unabdingbar, dass ein Cloud-Service-Provider belegen kann, dass die Qualität und Sicherheit seiner Dienstleistungen höchste Anforderungen erfüllen. Zertifizierungen wie ISO 27001 und das SaaS-Gütesiegel des Euro-Cloud-Verbandes sind dabei eine Hilfe.

Deutsche legen bekanntlich besonderen Wert auf Prüfsiegel aller Art. Kein Wunder in einem Land, das den TÜV erfunden hat. Produkte und Dienstleistungen, die nicht von einer Behörde, einem Überwachungsverein oder einer Zertifizierungsstelle ordnungsgemäß "abgesegnet" wurden, gelten nur bedingt als vertrauenswürdig. Das ist nicht anders im Bereich Cloud Computing der Fall. Bislang gibt es allerdings keinen dedizierten "Cloud-Computing-TÜV", der die Qualität und speziell das Sicherheitsniveau von Cloud-Diensten bewertet. Das wäre auch etwas viel verlangt, ist diese Technologie gerade erst dabei, sich auf dem IT-Markt zu etablieren.

Andererseits hängt der Erfolg von Cloud Computing maßgeblich davon ab, ob speziell kleine und mittelständische Unternehmen, die mehr als 90 Prozent der Firmen in Deutschland ausmachen, zu dieser Technik Vertrauen fassen. Eine Schlüsselrolle spielen dabei die Faktoren Datensicherheit und Compliance.

Für mittelständische Unternehmen in Deutschland ist laut einer Studie von PwC die Sicherheit ein zentraler Punkt, der über die Akzeptanz von Cloud-Computing-Services entscheidet. Quelle: PwC

Denn laut einer Studie, welche die Beratungsgesellschaft PriceWaterhouseCoopers (PwC) 2011 erstellte, fürchten 71 Prozent der mittelständischen Unternehmen in Deutschland, dass die Sicherheit ihrer Daten in der Cloud nicht in ausreichendem Maße gegeben ist. Mögliche Probleme mit Compliance-Vorgaben durch Cloud-Services spielen dagegen nur für 40 Prozent der Mittelständler eine Rolle. Erwartungsgemäß ist für Großfirmen (51 Prozent) dieser Punkt wichtiger.

Drei Zertifizierungen relevant

Für die Anbieter von Cloud-Computing-Diensten bedeutet dies, dass sie nachweisen müssen, dass ihre Services keinesfalls mit einem größeren Risiko behaftet sind als IT-Services, die ein Unternehmen in Eigenregie bereitstellt, etwa in Form von Private-Cloud-Diensten oder traditionellen Rechenzentrumsdienstleistung. Eine Option, um diesen Nachweis zu führen, besteht in der Zertifizierung eines Anbieters durch unabhängige Instanzen.

Unternehmen, die erwägen, Cloud-Computing-Dienste von einem externen Provider zu beziehen, sollten daher darauf achten, ob dieser folgende Zertifikate vorweisen kann:

  • • ISO 27001 von der International Standardization Organisation,
  • • EuroCloud SaaS Star Audit des EuroCloud Deutschland_eco e.V.,
  • • SAS 70 des American Institute of Certified Public Accountants (AICPA).

Safe Harbour Agreement nur bedingt tauglich

Zudem verweisen einige Provider darauf, dass sie die Vorgaben des Safe Harbour Agreement befolgen. Diese Datenschutzvereinbarung zwischen der Europäischen Union und den USA ermöglicht es US-Unternehmen, die in Europa aktiv sind, rechtssicher personenbezogene in die USA zu übermitteln. Vor allem US-Firmen wie Amazon, Facebook, Google und Microsoft haben das Safe-Harbour-Abkommen unterzeichnet.

Allerdings verlangt der Düsseldorfer Kreis, ein informelles Gremium der für den Datenschutz zuständigen Behörden in Deutschland, dass sich Datenexporteure vom Empfänger nachweisen lassen müssen, dass dieser die Safe-Harbour-Regeln auch tatsächlich einhält. Wer Personendaten in die Vereinigten Staaten übermittelt, muss beispielsweise das Datum der Zertifizierung des Empfängers festhalten. Zudem muss er prüfen, ob der Empfänger die betroffenen Privatpersonen darüber informiert, zu welchem Zweck die Informationen übermittelt wurden und ob er sie an Dritte weitergibt. Es ist ersichtlich, dass diese Regelungen für den Bereich Cloud Computing ein eine sehr eingeschränkte Schutzwirkung haben.

Die Zertifizierung nach ISO/IEC 27001 gehört für seriöse Cloud-Service-Provider zum Standardrepertoire. Quelle: Bitkom

Schutz nach ISO 27001

Deutlich mehr Gewicht hat die Zertifizierung nach ISO 27001. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) verlangt von Cloud-Service-Providern, dass diese Sicherheitszertifizierungen vorweisen, vorzugsweise gemäß der ISO-2700x-Norm. Im Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" des Bundesamts heißt es: "Das BSI empfiehlt, sich für Aufbau und Betrieb eines ISMS an ISO 27001/2 oder bevorzugt am BSI-Standard-100-2 zur IT-Grundschutz-Vorgehensweise (der ISO 27001/2 abdeckt) zu orientieren."

Die ISO 27001 besteht aus mehr als 130 Punkten, die Regelungen und Maßnahmen rund um das Thema Datensicherheit enthalten. Im Gegensatz zum IT-Grundschutz-Katalog des BSI, der stärker auf die Absicherung der technischen Infrastruktur abzielt, betrachtet die ISO 27001 IT-Sicherheit aus der Sicht von Prozessen und Abläufen innerhalb des Unternehmens. Damit unterstreicht die ISO, dass IT-Sicherheit nicht ausschließlich eine Frage der Technik ist, sondern auch Mitarbeiter angeht- von der Sekretärin bis hinauf zum Geschäftsführer.

Ein zentrales Element der ISO 27001 ist die Implementierung eines IT-Security-Management-Systems (ISMS). Es umfasst alle Prozesse, Verfahren und Maßnahmen (Controls), die ein Unternehmen einsetzt, um ein vorgegebenes IT-Sicherheitsniveau zu erreichen. So wird beispielsweise von einem Unternehmen, etwa einem Cloud-Service-Provider, gefordert, dass dieser eine Informationssicherheitsrichtlinie erstellt und umsetzt. Zudem verlangt die ISO 27001, dass die Handhabung und Umsetzung der Informationssicherheit in regelmäßigen Abständen durch Audits überprüft wird, die unabhängige und speziell dazu autorisierte und ausgebildete Experten vornehmen.

Weitere Vorgaben der ISO 27001 sind: Es müssen Sicherheitsanforderungen berücksichtigt sein, bevor Kunden der Zugang zu Informationen der Organisation gegeben wird, und das Unternehmen muss alle Prozesse im Zusammenhang mit der Informationsverarbeitung lückenlos dokumentieren.

Mittelständler sind mit der ISO 27001 häufig überfordert

Diese Vorgaben machen deutlich, dass es alles andere als trivial ist, eine ISO-27001-Zertifizierung zu erhalten. Das gilt insbesondere für mittelständische Unternehmen, die mit dem Gedanken spielen, auf Cloud-Services von zertifizierten Anbietern wie etwa Pironet NDH zu verzichten und lieber eine Private-Cloud-Umgebung mit vergleichbarem Sicherheits- und Qualitätsniveau aufzubauen. Denn interne IT-Abteilungen sind in der Regel mit dem Tagesgeschäft ausgelastet und haben kaum "Luft" für aufwändige Zusatzaufgaben wie eine Zertifizierung.

Hinzu kommt, dass es nicht damit getan ist, einmal eine ISO-Zertifizierung zu erwerben. Die Norm schreibt vor, dass jedes Jahr steht eine weitere Überprüfung zu absolvieren ist – im Rahmen eines "kleinen" Audits. Nach zwei Jahren steht eine komplette Re-Zertifizierung an. Dabei prüfen die Auditoren alle Sicherheitsprozesse erneut von Grund auf. Alleine aus diesem Grund ist es eine Überlegung wert, IT-Dienste aus dem eigenen Rechenzentrum in die Cloud zu verlagern und von einem Service-Provider zu beziehen, der über hoch sichere Rechenzentrum mit der neuesten Technik verfügt, das entsprechende Fachpersonal besitzt und Zertifizierungen wie ISO 27001 oder den EuroCloud SaaS Star Audit vorweisen kann

Das Gütesiegel EuroCloud SaaS Star Audit des EuroCloud Deutschland_eco e.V. ist zwar erst seit 2011 verfügbar, hat aber das Zeug, sich zu einem Cloud-TÜV zu entwickeln, und das in ganz Europa. Quelle: EuroCloud Deutschland_eco e.V.

Der Neuling: EuroCloud SaaS Star Audit

Apropos EuroCloud SaaS Star Audit: Dieses Gütesiegel stellt der Verband EuroCloud Deutschland_eco e.V. aus. In dem Verband haben sich Anbieter von Cloud-Services zusammengefunden, unter anderem Pironet NDH. Die Vereinigung hat mit dem Saas Star Audit ein Zertifikat für Cloud-Dienste eingeführt, im ersten Schritt eines für Software-as-a-Service-Angebote (SaaS). Bewertet werden Dienste unter anderem anhand der Konformität mit Normen wie ISO 2700x und SAS-70.

Allerdings fließen in die Bewertung auch andere Faktoren mit ein, etwa welche technischen Sicherheitsmaßnahmen ein Anbieter von Cloud-Diensten trifft oder wie es um die Einhaltung gesetzlicher Vorgaben bestellt ist, etwa im Bereich Datenschutz. Auch die Interoperabilität der SaaS-Services ist ein Kriterium. Die Auditierung umfasst folgende Bereiche:

  • • Recht und Compliance,
  • • Datensicherheit und Datenschutz,
  • • die Infrastruktur des Rechenzentrums,
  • • Betriebsprozesse und
  • • Anwendungsimplementierung.

Eine Auditierung nach EuroCloud SaaS Star Audit ist aufwändig. Dafür hat der Nutzer von Software-as-a-Service-Angeboten die Gewähr, dass der Cloud-Service-Provider strenge Sicherheits- und Qualitätsanforderungen erfüllt. Quelle: EuroCloud Deutschland_eco e.V.

Alleine diese Liste belegt, dass es kein "Zuckerschlecken" ist, das SaaS Star Audit zu absolvieren. Eine Auditierung dauert etwa sechs Wochen. Das Zertifikat ist zwei Jahre gültig. Dann steht ein neuer Zertifizierungsdurchgang an. Der Lohn der Mühe: Je nachdem, welche Kriterien ein Anbieter erfüllt, zwischen drei und fünf Sterne. Das Maximum erhalten Cloud-Service-Provider, die nicht nur die vorgegebenen Anforderungen in Bezug auf Datenschutz, Exit-Szenarien und Qualitätssicherung erfüllen, sondern zudem über redundante Rechenzentren verfügen.

Die Zertifizierung durch den EuroCloud Deutschland_eco e.V. steht im Vergleich zu altbewährten ISO-27001-Norm zwar noch am Anfang. Sie hat aber durchaus das Zeug dazu, sich zu einem deutschland- und sogar europaweiten "Cloud-TÜV-Siegel" zu entwickeln.

Für Financial Reporting wichtig: SAS 70

Für das SAS 70 des American Institute of Certified Public Accountants (AICPA) gilt das nur in eingeschränktem Maße. Diese Gütesiegel ist derzeit nur im angelsächsischen Raum von Bedeutung, vorzugsweise den USA. Die Zertifizierung erfolgt durch große Wirtschaftsprüfungsgesellschaften.

Derzeit existieren zwei Arten der Zertifizierung:

  • • Typ I: Ein interner Kontrollbericht gemäß Typ I SAS 70 legt das Design für alle relevanten Kontrollen fest. Eine Zertifizierung nach Typ I ist die zentrale Basiszertifizierung.
  • • Typ II: Der interne Kontrollbericht nach Typ II SAS 70 bestätigt das exakte Design der Kontrollaktivitäten und darüber hinaus die operative Effektivität. Somit ist diese Zertifizierung umfassender als die gemäß Typ I.

Der Schwerpunkt von SAS 70 liegt darauf, die Einhaltung Vorgaben von Compliance-Regelungen wie SOX (Sarbanes Oxley Act) im Zusammenspiel mit Cloud-Computing-Diensten sicherzustellen. Dies gilt insbesondere für Daten, die sich auf Finanzdaten und entsprechende Berichte des Nutzers solcher Services beziehen. SAS 70 ist darauf ausgelegt, den Missbrauch, Verlust oder die vorzeitige Veröffentlichung solcher Informationen zu unterbinden.

Eine SAS-Zertifizierung ist vor allem dann anzuraten, wen ein Unternehmen IT-Services an einen Cloud-Service-Provider auslagert, die mit dem Financial Reporting in Zusammenhang stehen.

Vorsicht vor unseriösen Anbietern

Zum Abschluss noch ein Tipp zur Wahl des "richtigen" Anbieters von IT-Services, die gemäß ISO 27001, EuroCloud SaaS Star Audit oder SAS 70 zertifiziert sind: Nicht blind auf Zertifikate und Gütesiegel vertrauen. Denn es gibt so manchen Cloud-Service-Provider, der sich zwar eine Zertifizierung auf die Fahne schreibt. Tatsächlich sind jedoch nur einzelne Bestandteile des Angebots zertifiziert, nicht das komplette Service-Paket.

Ein weiterer Trick unseriöser Anbieter: Sie lassen ihre Services und IT-Einrichtungen zwar einmal zertifizieren, verzichten jedoch auf die jährlichen Audits oder das Re-Zertifizieren. Wer sich auf solche Unternehmen einlässt, riskiert mehr als nur einen Bagatellschaden.

Idealerweise verfügt ein Cloud-Service-Provider über eine Zertifizierung nach ISO 27001 und EuroCloud SaaS Star Audit, wie das bei Pironet NDH der Fall ist. Seriöse Unternehmen haben zudem keine Scheu, Interessenten über ihre IT-Sicherheitsmaßnahmen umfassend zu informieren, auch in ihren Rechenzentren vor Ort.


Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Köln, den 2. August 2016 – Der ERP-Spezialist proALPHA stellt die Cloud-Variante seines ERP-Systems ab sofort über die Hosted ... Weiterlesen
München/Köln, den 30. Juni 2016 – In der umfassendsten Analyse des deutschen Marktes für Cloud-Computing-Services im B2B-Bereich ... Weiterlesen
Köln, den 21. Juni 2016 – PIRONET macht Anwendern den Umstieg auf die neue Anwendungssuite SAP S/4HANA ab sofort besonders leicht: Kunden ... Weiterlesen
München/Köln, 19. April 2016 – Der IT-Konzern CANCOM hat einen neuartigen Marktplatz für Softwareanwendungen aus der Cloud ... Weiterlesen