Cloud Computing kann so einfach sein. Unternehmensdaten, Installation, Betrieb, Wartung und Pflege von Hardware- und Software-Komponenten - das alles gibt man in die Hände des Cloud Providers. Der Kunde ruft nur die Services und Daten ab, die er gerade braucht. Kosten für Anschaffung, Betrieb und Wartung der IT-Komponenten entfallen. So schön die Theorie ist, so fragwürdig ist die Praxis.
Tatsache ist: Fast alles kann der Kunde dem Provider überlassen - nur eines nicht: Die Verantwortung für den Datenschutz und die Sicherheit. Dadurch, dass der Nutzer von Cloud Services dem Provider auch Geschäftsinformationen und Kunden- und Finanzdaten zugänglich macht wird naiv betriebenes Cloud Computing zum Hochrisikofaktor für jedes Unternehmen.
Zig Studien bestätigen die Vorbehalte gegen die Cloud-Dienste. Laut einer 2014 im Auftrag von TecChannel durchgeführten IDC-Studie beispielsweise sehen fast zwei Drittel der IT-Experten im deutschen Mittelstand (64 Prozent) den gravierendsten Nachteil von Cloud-Diensten beim Thema Datensicherheit beziehungsweise Datenschutz. 46 Prozent der KMUs treibt außerdem die Sorge um, keine Kontrolle mehr über den Speicherort der in die Cloud ausgelagerten Daten zu haben.
Cloud ist Vertrauenssache
Man kann es drehen und wenden wie man will: Cloud Computing ist vor allem Vertrauenssache. Doch wer garantiert, dass dem Provider vertraut werden kann? Der Kunde kann in der Regel die möglichen Risiken und das Sicherheitsniveau des Anbieters nicht beurteilen, da er in der Regel keine direkte Einsicht in die Abläufe und Strukturen des Dienstleisters hat.
Es ist deshalb zwingend erforderlich, dass der Cloud-Provider die Qualitiät und Sicherheit seiner Dienstleistungen belegen kann. Da scheinen Datenschutz-Zertifikate gerade recht zu kommen. Sie sollen den Datenschutz des Cloud-Anbieters bescheinigen und dem Nutzer versichern, dass der Provider vertrauenswürdig ist. Doch wie sind solche Zertifikate zu bewerten? Wer stellt sie aus, welche sind relevant und vor allem: Kann man sich auf sie verlassen? Dieser Beitrag klärt die wichtigsten Fragen rund um die Cloud-Zertifizierung.
Was ist die Idee hinter Cloud-Zertifikaten?
Die Komplexität des Cloud Computing macht es für Cloud-Anwender schwierig, sich über die Services des Cloud-Anbieters verlässlich zu informieren. Zertifikate sollen helfen, diese Lücke zu beseitigen. Sie dienen vor allem dazu, Vertrauen zum Cloud Provider aufzubauen und zu garantieren, dass bestimmte Richtlinien bezüglich Sicherheit, Datenschutz und Compliance, aber auch für Betrieb und Infrastruktur, Prozesse, Anwendungen und Implementierung, eingehalten werden.
Dazu lässt sich der Anbieter von externen Prüfern in die Karten schauen und veröffentlicht das Ergebnis, oder zumindest Teile davon. Der Anbieter, so die Theorie, erhält von der prüfenden Organisation eine Zertifikat. Der Kunde des Cloud Providers kann dann seine Anforderungen mit denen, die dem Zertifikat zugrunde liegen, abgleichen und entscheiden, ob die eigenen Anforderungen durch das Zertifikat abgedeckt sind.
Prinzipiell sind Cloud-Zertifikate ein Win-Win Geschäft: Die Vertrauenssiegel sollen die verschiedenen Cloud-Angebote für Kunden vergleichbarer machen, während die Anbieter sich über das neue Qualitätszertifikat besser am Markt positionieren können.
Wer stellt die Zertifikate aus und wie läuft eine Zertifizierung ab
Zertifikate sollten von anerkannten und unabhängigen Prüforganisationen stammen. Im Idealfall wären dies staatliche Instanzen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder etablierte Branchenverbände wie in Deutschland der BITKOM. In der gegenwärtigen Praxis stellen vor allem Zusammenschlüsse von Cloud Providern und Verbände die Zertifikate aus.
Für die Zertifizierung prüfen und bewerten die Auditoren Cloud-Anbieter in relevanten Bereichen wie Vertrag und Compliance, Sicherheit, Betrieb und Infrastruktur, Prozesse, Anwendung und Implementierung. Dabei können unterschiedliche Zertifizierungstiefen erlangt werden. Als Ergebnis des Audits erhält der Anbieter dann das Cloud-Zertifikat.
Gibt es einheitliche, standardisierte Zertifikate?
Nein. Weltweit gültige cloud-spezifische Zertifizierungen gibt es bis dato nicht - und wird es auch die nächster Zeit nicht geben. Allerdings existiert eine Reihe von internationalen Standards zur Zertifizierung einzelner Aspekte der IT, die auch für Cloud Computing relevant sind.
Ein Blick in das Eckpunktepapier des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) zu Cloud Computing zeigt, was das BSI im Bereich Cloud Computing empfiehlt. Das BSI nennt als Beispiel den IT-Grundschutz und ISO 27001 als Basis. Entsprechende Zertifikate zu verlangen, ist also bei einer Cloud-Kontrolle sinnvoll.
Ähnlich argumentiert der BITKOM: "Solange es keine weithin anerkannten internationalen Zertifikate für die Cloud Service Provider gibt, ist für den Cloud-Nutzer als Orientierung Folgendes wichtig: Normen und Zertifizierungen für Cloud Service Provider sollten sich an bereits bestehende und allgemein in der Branche akzeptierte Ansätze wie beispielsweise. ISO 27001 und ISO 27002 anlehnen, die um essenzielle Cloud-Spezifika ergänzt werden."
Für Cloud-Anwender, die international agieren, ist es laut BSI sinnvoll, darauf zu achten, ob Cloud-Anbieter ihre IT-Infrastruktur auf bestimmte Standardisierungen hin ausrichten und so zumindest eine "Grundausstattung" beispielsweise an definierten Schnittstellen bieten.
Was bedeutet Schutz nach ISO 27001
Die seit 2005 angebotene Zertifizierung ISO 27001 wird vom BSI erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter.
Allerdings: Sicherheitsstandards wie ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Prüforganisationen an. Auch das BSI fördert diesen Trend.
Bieten staatliche Organisationen wie Ministerien Cloud-Zertifizierung an?
Nicht direkt. Das BSI beschreibt Ansätze, um ein Zertifikat für die Sicherheit von Cloud Services zu etablieren. Dieser Ansatz besteht aus folgenden Teilen:
IT-Grundschutz-Zertifikat (insbesondere relevante IT-Grundschutz-Bausteine zum Cloud Computing),
Zertifikate zur Produktsicherheit nach Common Criteria für die als kritisch anzusehenden Komponenten sowie
weitere Nachweise zum Beispiel zur Zuverlässigkeit.
Darüber hinaus gibt es eine Zertifizierungsinitiative vom Bundesministerium für Wirtschaft und Energie (BMWi). Das Pilotvorhaben wird vom Kompetenzzentrum des BMWi-Technologieprogramms Trusted Cloud durchgeführt.
An dem Pilotprojekt sind alle maßgeblichen Akteure beteiligt, darunter mehrere Datenschutzbehörden, Anbieter und Anwender von Cloud-Diensten sowie Unternehmen aus den Bereichen der IT-Prüfung und IT-Rechtsberatung. Das Projekt soll im Frühjahr 2015 abgeschlossen werden. Das darin entwickelte Datenschutz-Zertifizierungsverfahren soll künftig von unabhängigen Zertifizierungsstellen für alle Cloud-Anbieter zur Verfügung stehen.
Wer bietet aktuell praktisch relevante Cloud-Zertifikate an?
Aktuell gibt es eine Vielfalt an Ausstellern von Cloud-Zertifikaten - in der Regel Branchenverbände und Prüforganisationen wie der TÜV - die quasi einen eigenen "Markt" bilden. Weltweit befassen sich rund 150 Organisationen mit Aspekten der Standardisierung im Cloud Computing. Davon ist derzeit nur ein kleiner Teil relevant.
Für den deutschen Cloud-Markt sind vor allem drei Gütesiegel wichtig: SaaS von EuroCloud, Trust in Cloud von Cloud EcoSystem und Certified Cloud Service vom TÜV Rheinland. Diese "Haussstandards" wollen über den IT-Grundschutz ISO 27001 hinausgehende Cloud-spezifischen Belange abdecken. Die Zertifizierungen zielen darauf ab, die Sicherheit einer Cloud auf Grundlage eigener Anforderungskataloge zu prüfen und mit einem Zertifikat zu bestätigen.
Wie lässt sich der Markt für Cloud-Zertifikate strukturieren?
Die Qualität und der Nutzen von Zertifikaten stehen und fallen mit den Organisationen, die mit der Prüfung beauftragt sind sowie deren Prüfkriterien. Schwache Anforderungskataloge treffen weder die Bedürfnisse der Kunden, noch helfen Sie, die Qualitätsunterschiede von Cloud-Lösungen für den Nutzer klar zu präsentieren. Im Gegenteil, IT-Entscheider verlassen sich im Zweifelsfall auf diese vermeintlich geprüften Services, doch bekommen nicht die versprochene Qualität.
Grob gesprochen lassen sich die Anbieter von Cloud-Zertifikaten in drei Gruppen aufteilen. Bei der ersten Gruppe besteht die Prüfung im Prinzip aus kaum mehr als einer Konformitätserklärung seitens des Providers. Einige Cloud-Zertifikate bleiben an dieser Stelle der Selbstbewertung stehen. Bei der zweiten Gruppe erfolgt eine externe Prüfunng, indem, die Provider über mehr oder weniger detaillierte Fragebögen Auskunft zu IT und sicherheitsspezifischen Belangen geben müssen. Die dritte Gruppe an Zertifikats-Anbietern verlangt ein detailliertes technisches Audit, bei der auch Experten vor Ort prüfen.
Die wichtigsten Cloud-Zertifikate - Europa und Deutschland
EuroCloud SaaS Star Audit
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter und richtet sich mit seinem Zertifikat ausschließlich an Software-as-a-Service Anbieter. Der deutsche Ableger zertifiziert Unternehmen nach dem Standard "Euro Cloud SaaS Star Audit".
Das Audit umfasst eine Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen. Der Prüfkatalog des EuroCloud Star Audit SaaS wurde in enger Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt.
Cloud EcoSystem "Trust in Cloud"
Das Cloud EcoSystem richtet sich vor allem an mittelständisch geprägte Unternehmen, das "Trust in Cloud"-Zertifikat soll sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv vergleichen zu können.
Die Zertifizierung basiert auf einem Katalog mit 30 Fragen, der in 6 Kategorien á 5 Fragen unterteilt ist. Die Fragen müssen durch den Prüfling mit Ja oder Nein beantwortet werden und zudem nachgewiesen werden. Beantwortet der Cloud Anbieter eine Frage mit Ja, erhält er dafür eine "Cloud". Die Checkliste umfasst die Kategorien Referenzen, Datensicherheit, Qualität der Bereitstellung, Entscheidungssicherheit, Vertragsbedingungen, Serviceorientierung und Cloud-Architektur.
TÜV Rheinland "Certified Cloud Service"
Der TÜV nimmt sich mit dem "Certified Cloud Service"neuerdings auch der Cloud an und hat dazu ein mächtiges Werkzeug für die Prüfung von Cloud-Services entwickelt. Beginnend mit einem "Cloud-Readiness Check" werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft.
Im Anschluss folgt die Überprüfung des "Cloud-Designs", bei dem das Konzept und die Lösung selbst unter die Lupe genommen werden. Hier werden unter anderem Themen wie die Architektur aber auch die Netzwerksicherheit, Zugriffskontrollen usw. gecheckt. Anschließend wird die eigentliche Umsetzung der Cloud-Lösung betrachtet und Qualitätschecks vorgenommen. Nationale und internationale Cloud Provider unterschiedlicher Größe tragen das Zertifikat Certified Cloud Service. Auch Cloud Services mit Spezialanforderungen, wie z.B. im Banken- und Gesundheitsbereich, sind nach dem Cloud-Standard von TÜV Rheinland zertifiziert.
Neben diesen drei Zertifikats-Anbietern gibt es weitere Intitativen wie beispielsweise Cloud Services Made in Germany und Deutsche Wolke, die derzeit aber wenig relevant sind.
Die wichtigsten Cloud-Zertifikate - international
SAS 70 von AICPA
Eher in den USA als in Europa wird SAS 70 von AICPA verwendet. Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Cloud-Anbieter wie Google und Salesforce werben beispielsweise unter anderem mit den SAS-70-Zertifikaten. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist.
Safe Harbour
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben.
Wie werden die existierenden Zertifikate von Analysten beurteilt?
Rene Büst, Senior Analyst bei Crisp Research, attestiert weniger bekannten Zertifikats-Anbietern wie der Intitative "Cloud Services Made in Germany" und "Deutsche Wolke" schwache Bewertungskriterien. Sie gehen laut Büst in keinster Weise auf die wirkliche Qualität eines Cloud Dienstes ein. "Beide Initiativen haben in ihrer Form auf jeden Fall eine Berechtigung", sagt Büst. "Sie sollten allerdings nicht als ein Qualitätskriterium für einen guten Cloud-Service genutzt werden."
Sowohl EuroCloud als auch das Cloud-EcoSystem gehen für Büst hingegen den richtigen Weg und versuchen Anbieter anhand selbst aufgestellter Kriterien zu bewerten. Zwei Punkte sieht der Analyst dennoch auch bei diesen beiden Zertifikats-Anbietern kritisch: "Zunächst handelt es sich um Vereine", sagt Büst, "das bedeutet, man muss als Anbieter Mitglied werden. Es sei berechtigterweise gefragt, welcher Verein sein Mitglied durch eine Prüfung durchfallen lässt."
Weiterhin stellen beide ihre eigenen Anforderungskataloge auf, die nicht miteinander vergleichbar sind. Nur weil ein Anbieter von zwei verschiedenen Vereinen ein "Gütesiegel" hat, das nach unterschiedlichen Kriterien bewertet, bedeutet das noch lange nicht, dass der Cloud-Service auch echte Qualität liefert.
Fazit
Eine Cloud-Zertifizierung ist nützlich, befreit aber die IT-Verantwortlichen in Unternehmen nicht von einer eigenen Beurteilung des Cloud-Providers. Insbesondere befreit die Zertifizierung nicht von der Verantwortung und Kontrolle des Datenschutzes. Solange es keine allgemein etablierte und durchgehende Standardisierung bei der Cloud-Zertifizierung gibt, müssen Cloud-Nutzer genau beachten, was ein Cloud-Zertifikat aussagt und was nicht.
Nicht nur aus Sicht der Anwender wäre eine einheitliche Grundlage für die Cloud- und Datenschutz-Zertifizierung mehr als wünschenswert. Auch Cloud-Anbieter würden mehr Zuspruch erfahren: So sieht die EU-Cloud-Strategie die Festlegung von Normen, die zertifiziert werden können, als grundlegend an, damit das Vertrauen in Cloud Computing steigen kann. Bis dahin sollten Cloud-Anwender allerdings nicht einfach jedem Zertifikat vertrauen, sondern genauer hinschauen.