Ein schlichtes Gemüse - die Gurke nämlich - war rund 20 Jahre lang ein Musterbeispiel für Standards. Laut europäischer Gurkenkrümmungs-Norm (Ordnungsnummer 1677/88) durfte sie eine "maximale Krümmung" von zehn Millimetern auf zehn Zentimeter Gurkenlänge aufweisen, bis diese Norm Mitte 2009 gestrichen wurde. Von solcher Präzision ist das Thema Cloud Computing weit entfernt. Standards sind hier erst im Keimstadium zu finden.
Der Münchener Berater Booz appelliert sowohl an die Politik als auch an die Wirtschaft, das Thema voranzutreiben. Booz hat im Auftrag des Bundeswirtschaftsministeriums (BMWi) eine Studie mit dem Titel "Das Normungs- und Standardisierungsumfeld von Cloud Computing" erstellt. Die Analyse entstand in Zusammenarbeit mit dem FZI (Forschungszentrum Informatik, Berlin) und bezieht das Technologieprogramm "Trusted Cloud" ein. Mit diesem Programm fördert das BMWi Forschungs- und Entwicklungsaktivitäten rund um Cloud-Infrastrukturen und Cloud-basierte Dienste.
Fazit der Studienautoren: "Das Normungs- und Standardisierungsumfeld im Cloud Computing ist erst im Entstehen begriffen." Dabei müsse, wer Standards schaffen wolle, sowohl deutsche als auch europäische und globale Ebenen betrachten.
Was Standards abdecken müssen
Beim Etablieren von Standards will Booz folgende drei Bereiche mit ihren jeweiligen Ansatzpunkten betrachtet sehen:
1. Technik: Datei- und Austauschformate, Programmiermodelle, Protokolle und Schnittstellen, Standardkomponenten und Referenzarchitekturen, Benchmarks und Tests. Als Beispiele in diesem Bereich nennt Booz CloudAudit, Google DLF, Open Stack und andere;
2. Management: Geschäftsmodelle, Service Level Agreements, Vertragsbedingungen, Managementmodelle und -prozesse, Controllingmodelle und -prozesse, Leitfäden, Audit u.a. Beispiele für Standardisierung sind EULA, ISO 27001/27002 und das BSI Eckpunktepapier;
3. Recht: Rechtliche Vorgaben, Selbstverpflichtungen und Unternehmensrichtlinien. Beispiele liefern die EU Datenschutzrichtlinie und das Open Cloud Manifesto.
160 Standards identifiziert - nur 20 tauglich
Booz schreibt 19 Organisationen eine "bedeutende" Rolle beim Entwickeln von Standardisierungen zu. Dazu zählen die US-amerikanische NIST - diese nehme eine Vorreiterrolle ein - sowie die internationale Cloud Security Alliance und aus Deutschland das DIN, das BSI und der Branchenverband Bitkom. Allerdings: Die bedeutende Rolle heißt hier lediglich, dass zumindest die drei genannten Deutschen "erste Schritte bei der Anforderungsdefinition" an Standards unternehmen.
Insgesamt haben die Studienautoren nach "intensiver Sekundär- und Primärrecherche" 160 Standards identifiziert. 20 davon halten sie einer näheren Betrachtung für wert. Sie fügen allerdings an, dass es sich um eine Momentaufnahme zu Jahresbeginn 2012 handelt und schreiben: "Auf Grund der hohen Dynamik ist die Aktualität der Darstellung kritisch zu berücksichtigen."
Die 20 ausgewählten Standards sind branchenübergreifend und beziehen sich explizit auf Cloud Computing. Die Bewertung durch Booz fällt unterschiedlich aus, als Dimensionen wurden einerseits Durchsetzungsfähigkeit und andererseits Reife/Qualität zugrunde gelegt. Hier vergibt Booz jeweils die Einschätzungen "hoch", "mittel" und "gering".
Am besten schneiden folgende drei Standards ab: OAuth, OpenStack und OCCI. Sie erreichen bei Durchsetzungsfähigkeit und Reife/Qualität jeweils ein "hoch".
Nur drei von 20 mit Bestnoten
Hohe Durchsetzungsfähigkeit schreibt Booz auch EuroCloud-SA (aber nur mit mittlerem Reifegrad) und NIST-UC (nur geringe Reife) zu. Mittlere Durchsetzungsfähigkeit zeigen WS-*, SCAP und CIM SVM. Diese drei sind von hoher Reife/Qualität.
Im Mittelfeld (mittlere Durchsetzungsfähigkeit und mittlere Qualität) sind demnach CDMI, OVF, USDL und Hive. Ebenfalls mittlere Durchsetzungsfähigkeit, aber geringe Reife/Qualität kennzeichnet GRC Stack, Cloud Audit, CTP und OCM.
Geringe Durchsetzungsfähigkeit sieht Booz bei SSAE-16 (hohe Reife), BSI-ESCC (mittlere Reife) und CCRA (geringe Reife). Ohne Bewertung schließich bleibt in der Studie der Standard 95/46/EG.
Politik und Wirtschaft gefordert
Die Autoren der Analyse sehen sowohl die Politik als auch die Unternehmen selbst aufgefordert, das Thema Standardisierung weiter zu bringen. Sie schreiben: "Der deutschen Wirtschaft obliegt die Hauptverantwortung, durch eine aktivere Rolle bei der Standardisierung ihre vitalen Interessen im Cloud Computing zu vertreten." Ziel könnte eine Marke "Cloud Computing - Made and Secured in Germany" sein.