Datenschutzbeauftragte und CxOs stehen in der Verantwortung, Datensicherheit und das Einhalten von Compliance-Vorschriften zu gewährleisten. Bislang war es nicht ungewöhnlich, das Rechenzentrum eines Anbieters zu besuchen, um sich selbst ein Bild von den Sicherheitsvorkehrungen zu machen. Das ist heute bei den großen Cloud-Anbietern nicht mehr möglich, denn die meisten schließen in ihren Allgemeinen Geschäftsbedingungen (AGBs) eine solche Auditierung durch den Kunden aus. Die entstandene Vertrauenslücke soll nun durch Cloud-Zertifizierungen geschlossen werden. Allerdings gibt es bisher nur ein einziges explizit für die IT-Wolke entworfenes Attest. Daneben existieren zahlreiche Zertifikate und Standards, die immerhin als Orientierungshilfen in Sachen Cloud genutzt werden können.
Was leisten vorhandene Standards?
Es zeigt sich zunehmend, dass bestehende Sicherheitsstandards wie SAS70 und ISO 27001 dem Cloud Computing nicht uneingeschränkt gerecht werden, beziehungsweise ergänzungsbedürftig sind. Solche Standards beziehen sich noch auf herkömmliche Rechenzentren und Dienstleistungen. Sie widmen sich nicht den besonderen Risiken, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) fördert diesen Trend:
Es hat eine Empfehlung ausgesprochen, wonach Cloud-Anbieter ihr Sicherheitsniveau nachweisen und anerkannte Zertifizierungen nutzen sollen, sobald sie verfügbar sind. Vielversprechend scheint der auf deutschen Gesetzen basierende, erst kürzlich veröffentlichte Ansatz der EuroCloud-SaaS-Zertifizierung.
Das neue EuroCloud-Zertifikat
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter, der mittlerweile mehr als 25 nationalen Organisationen zählt. Der deutsche Verband EuroCloud Deutschland_eco e.V. hat zur diesjährigen CeBIT bekannt gegeben, dass nun die ersten Unternehmen ihre Cloud-Dienste nach dem Standard "Euro Cloud SaaS Star Audit" zertifiziert haben.
Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen. Die kleine Zahl bisher testierter Unternehmen zeigt, dass diese neue Art der Zertifizierung noch ganz am Anfang steht. Daher lässt sich noch keine Aussage treffen, ob der Markt sie akzeptiert.
Zertifikat mit Tradition: ISO 27001
Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Sie gilt als Nachweis für die Einhaltung des durch den BSI definierten IT-Grundschutzes. Der Antrag erfolgt direkt bei der Behörde. Das Audit selbst führt ein unabhängiger Dienstleister durch.
Es besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt. Im Anschluss erfolgt eine detaillierte Analyse der Sicherheitsprozesse anhand der zur Verfügung gestellten Dokumente. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen.
Mit Hilfe eines Kriterienkatalogs, der unter anderem Fragen nach Sicherheitsrichtlinien, Schutzbedarf und Risiken beantwortet, muss ein bestimmter Schwellenwert überschritten werden, um das Sicherheitssiegel zu erhalten. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter.
In Europa weniger genutzt: SAS 70 vom AICPA
Die vorwiegend in den USA bekannte Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse. Sie erfolgt meist durch große, öffentlich akkreditierte Wirtschaftsprüfungsunternehmen. Diese folgen dabei den Vorgaben des American Institute of Certified Public Accountants (AICPA).
Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen, wobei sich der Umfang der Auditierung unterscheidet. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert.
In Europa ist diese Art der Zertifizierung nicht sehr bekannt und spielt keine große Rolle, vor allem, weil der Zertifizierungsaufwand hoch und schwer einzuschätzen ist. Jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist.
Nicht ausreichend: Safe Harbour Agreement
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert.
Probleme entstehen aber oft dann, wenn es gilt, die zugesicherten Rechte in der Praxis durchzusetzen. Daher hat der Düsseldorfer Kreis, das höchste Aufsichtsgremium für den Datenschutz in privatwirtschaftlichen Unternehmen, empfohlen, dass die Vertragspartner eine zusätzliche Erklärung vereinbaren. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben.
Der Patriot Act und der Cybersecurity Act
Der Patriot Act ist ein Gesetz zur Verbesserung der Sicherheit in Amerika aus dem Jahr 2002, das im Jahr 2010 durch die Gesetzesnovelle Cybersecurity Act ergänzt wurde. Es erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände.
Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind.
Übersicht: Dienste mit Zertifikat
Standards und darauf aufbauende Zertifizierungen suggerieren Vertrauen. Als Auswahlkriterium für die Nutzung von Cloud-Technologie müssen sie sich jedoch erst noch etablieren. Für IT-Verantwortliche können Zertifikate aber einen ersten Ansatzpunkt bieten, einige Unsicherheiten aus dem Weg zu räumen.
Eine besondere Herausforderung ist es, die Zertifikate richtig einzuschätzen und ihre Relevanz zu bewerten. Zudem gilt es abzuwägen, welche Daten und Prozesse mit geringem Risiko in die Cloud verlagert werden können. Aus methodischer Sicht existieren dafür viele Ansätze. Eine mögliche Lösung besteht darin, die Daten zu klassifizieren und anhand einer Sensibilitätsmatrix in eine kombinierte Private- und Public-Cloud abzulegen. Eine weitere Option ist es, den Sitz und den Server-Standort eines Cloud-Anbieters zur Grundlage einer Entscheidung zu machen.
Bis heute existiert noch kein De-facto-Standard, der die Anforderungen zur Datensicherheit und dem Datenschutz in der Cloud nach deutschen Gesetzen erfüllt. Ob dies durch die EuroCloud-Zertifizierung gelingen kann, wird sich zeigen. Die Chancen stehen nicht schlecht. (jha)
Anbieter |
Dienst |
EuroCloud |
SAS 70 |
ISO 27001 |
Safe Harbour |
Microsoft |
BPOS |
Geplant |
Ja |
Ja |
Ja |
Amazon |
EC2 |
Nein |
Ja |
Ja |
Ja |
Microsoft |
Azure |
Nein |
Ja |
Ja |
Ja |
Salesforce |
Salesforce.com |
Nein |
Ja |
Ja |
Ja |
|
Nein |
Ja |
Nein |
Ja |
Der Beitrag basiert auf einem Artikel der ChannelPartner-Schwesterpublikation Computerwoche. Autor ist Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland und Betreiber des Blogs Micisoft.wordpress.com.