Hilfe bei der Suche nach sicheren Cloud-Lösungen

Was sagen Cloud-Zertifikate – und was nicht

| Autor / Redakteur: Oliver Schonschek* / Stephan Augsten

Im eBook „Datensicherheit in der Cloud“ erfahren Interessierte, worauf sie bei der Nutzung von Cloud-Diensten achten sollten.
Im eBook „Datensicherheit in der Cloud“ erfahren Interessierte, worauf sie bei der Nutzung von Cloud-Diensten achten sollten. (Bild: bannosuke - Fotolia.com)

Bevor man sich für einen Cloud-Anbieter entscheidet, sollte man nicht nur den Funktionsumfang des Cloud-Dienstes und die Kosten hinterfragen. Auch die Sicherheitsmaßnahmen des Cloud-Providers müssen überzeugend sein, schließlich vertraut man dem Anbieter mehr oder weniger vertrauliche Unternehmensdaten an.

Cloud-Nutzer müssen sich von den Sicherheitsmaßnahmen des Anbieters überzeugen. Dabei können Cloud-Zertifikate helfen – vorausgesetzt, die Vergabekriterien stimmen.

Welche Sicherheitsmaßnahmen bei dem Cloud-Provider nicht fehlen sollten, das wurde unter anderem vom Bundesamt für Sicherheit in der Informationstechnik (BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter) und von der European Network and Information Security Agency (ENISA, Cloud Computing Information Assurance Framework) zusammengestellt. Werden personenbezogene Daten in die Cloud verlagert, sollte zudem der Beschluss des Düsseldorfer Kreises „Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing“ Beachtung finden.

Cloud-Zertifikate geben Orientierung

Kaum ein Cloud-Anwender wird jedoch in der Lage sein, selbst alle Sicherheitseigenschaften des geplanten Cloud-Dienstes zu überprüfen. Die von den Aufsichtsbehörden für den Datenschutz herausgegebene Orientierungshilfe Cloud Computing verweist deshalb auf die Bedeutung von geeigneten Cloud-Zertifikaten.

Sie entbinden den Cloud-Nutzer zwar nicht von seinen Kontrollpflichten, doch Cloud-Zertifikate können eine wichtige Informationsquelle bei der Beurteilung der Cloud-Sicherheit sein. Auch die genannten Empfehlungen des BSI besagen zum Beispiel, dass der Cloud-Anbieter „vorzugsweise nach ISO 27001 auf Basis von IT-Grundschutz oder einem anderen etablierten Standard zertifiziert sein sollte“.

Cloud-Zertifikate richtig interpretieren

Die Analysten von Gartner gehen davon aus, dass im Jahre 2016 40 Prozent der Unternehmen auf unabhängige Cloud-Zertifikate achten, wenn ein neuer Cloud-Dienst ausgewählt werden soll. Schon heute gibt es eine ganze Reihe von Cloud-Gütesiegeln und -Zertifikaten. Die Aussagekraft der Zertifikate ist allerdings unterschiedlich und sollte durch das Anwenderunternehmen jeweils hinterfragt werden.

1. Cloud-Zertifikate auf Basis einer Selbstauskunft

Die Open Cloud Business Initiative (OCBI) hatte ein „Open-Cloud-Zertifikat“ vorgestellt, welches besagt, dass der betreffende Cloud-Anbieter seine Konformität zu den Prinzipien der OCBI erklärt hat. Eine externe Prüfung war dabei nicht vorgesehen. Bei einem solchen Gütesiegel liegt somit eine Selbstauskunft zugrunde und kein externes Audit.

Cloud-EcoSystem e.V. bietet ein Cloud-Zertifikat namens „Trust in Cloud“. Basis der Zertifizierung ist die Überprüfung der Antworten, die der Cloud-Anbieter auf einem Fragebogen unter anderem zur Datensicherheit gegeben hat. Wenn falsche Angaben im Fragebogen gemacht werden, kann das Zertifikat aberkannt werden. Eine Vor-Ort-Prüfung ist in den Zertifikatsbedingungen nicht genannt. Die Antworten zum Fragebogen werden veröffentlicht, was die Transparenz des Cloud-Anbieters erhöht.

2. Cloud-Zertifizierung mit Vor-Ort-Kontrolle

Das „EuroCloud Star Audit“ zum Beispiel sieht detaillierte Anforderungen an Datenschutz und Datensicherheit des Cloud-Anbieters vor, abhängig von der Anzahl der im Zertifikat genannten Sterne (maximal fünf). Die Kriterien zur Zertifizierung enthalten unter anderem eine Vor-Ort-Begehung durch externe Auditoren. Ein weiteres Beispiel für eine Zertifizierung, die auch eine Vor-Ort-Prüfung des Cloud-Anbieters beinhaltet, ist die Zertifizierung Cloud Security des TÜV Rheinland.

Fazit: Cloud-Standards müssen vereinheitlicht werden

Bereits diese Beispiele zeigen, wie unterschiedlich Cloud-Zertifikate zu bewerten sind. Damit Cloud-Nutzer leichter Cloud-Angebote vergleichen und die Cloud-Sicherheit einschätzen können, sollten zumindest auf europäischer Ebene die zahlreich vorhandenen Cloud-Standards harmonisiert werden. Entsprechende Initiativen laufen bereits, unter anderem bei The European Telecommunications Standards Institute (ETSI). Dadurch würde die Transparenz bei den Cloud-Angeboten deutlich steigen, eine wichtige Maßnahme zur weiteren Vertrauensbildung bei den Cloud-Anwendern.

„Die Sicherheit in der Cloud beginnt nicht in der Wolke, sondern am Schreibtisch des Nutzers. Der Cloud-Anbieter muss richtig ausgewählt und überwacht werden.“ So lautet das Motto des eBooks „Datensicherheit in der Cloud“, aus dem dieser Beitrag ursprünglich stammt. Als registrierter User der IT-Insider-Portale können Sie das komplette eBook kostenlos im PDF-Format herunterladen.

Cloud-Sicherheit bewerten und überwachen

Neues Security-Insider-eBook „Datensicherheit in der Cloud"

Cloud-Sicherheit bewerten und überwachen

23.05.13 - Nicht nur die Anbieter von Online-Speichern und anderen Cloud Services sind für die Sicherheit von Informationen verantwortlich. Auch die Nutzer selbst müssen mehr Verantwortung für die Datensicherheit übernehmen. Wie das geht, zeigt unser neues eBook zur Cloud-Security. lesen

* Oliver Schonschek ist IT-Fachjournalist und IT-Analyst in Bad Ems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43126690 / Standards)