Datenschutzbeauftragte und CxOs stehen in der Verantwortung, Datensicherheit und das Einhalten von Compliance-Vorschriften zu gewährleisten. Bislang war es nicht ungewöhnlich, das Rechenzentrum eines Anbieters zu besuchen, um sich selbst ein Bild von den Sicherheitsvorkehrungen zu machen. Das ist heute bei den großen Cloud-Anbietern nicht mehr möglich, denn die meisten schließen in ihren Allgemeinen Geschäftsbedingungen (AGBs) eine solche Auditierung durch den Kunden aus. Die entstandene Vertrauenslücke soll nun durch Cloud-Zertifizierungen geschlossen werden. Allerdings gibt es bisher nur ein einziges explizit für die IT-Wolke entworfenes Attest. Daneben existieren zahlreiche Zertifikate und Standards, die immerhin als Orientierungshilfen in Sachen Cloud genutzt werden können.
Was leisten vorhandene Standards?
Es zeigt sich zunehmend, dass bestehende Sicherheitsstandards wie SAS70 und ISO 27001 dem Cloud Computing nicht uneingeschränkt gerecht werden, beziehungsweise ergänzungsbedürftig sind. Solche Standards beziehen sich noch auf herkömmliche Rechenzentren und Dienstleistungen. Sie widmen sich nicht den besonderen Risiken, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) fördert diesen Trend:
Es hat eine Empfehlung ausgesprochen, wonach Cloud-Anbieter ihr Sicherheitsniveau nachweisen und anerkannte Zertifizierungen nutzen sollen, sobald sie verfügbar sind. Vielversprechend scheint der auf deutschen Gesetzen basierende, erst kürzlich veröffentlichte Ansatz der EuroCloud-SaaS-Zertifizierung.