In diesem Artikel lesen Sie,
Preis. Performanz. Was noch? Bei der Auswahl eines Cloud Service drängt sich spätestens an dritter Stelle das Thema IT-Sicherheit/Datenschutz auf die Agenda des potenziellen Cloud-Anwenders. Zumindest in Deutschland.
Wie bei allen Auslagerungen von IT-Diensten müssen natürlich auch bei der Cloud grundlegende gesetzliche Anforderungen erfüllt werden. Zu denen gehören die Ansprüche an IT-Sicherheit und Datenschutz.
Und diese Verpflichtungen muss jedes Unternehmen für die Daten seiner Geschäftstätigkeit erfüllen. Wenn dafür keine eigenen IT-Ressourcen oder Dienste verwendet werden, sondern ein externer Anbieter, werden diese Verpflichtungen „vererbt“. Dann hat der Auftraggeber (die EU spricht vom „Controller“) dafür zu sorgen, dass sein IT-Dienstleister (der „Processor“) die gesetzlichen Vorgaben erfüllt. Und er muss es überwachen.
Nun finden es die IT-Dienstleister – auch aus Gründen der IT-Sicherheit – nicht eben schick, wenn ihre Kunden am Eingang des Rechenzentrums Schlange stehen („die nächste englische Führung startet um 14:45 Uhr …“). Mit Zertifizierungen durch unparteiische Dritte hat der Gesetzgeber eine Lösung geschaffen, dass Controller und Processor ihren gesetzlichen Verpflichtungen nachkommen können.
Ein Klassiker der Zertifizierungen ist die ISO 27001. In ihr sind die Anforderungen für ein Informationssicherheits-Managementsystem unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation niedergelegt. Sie hat auch in Zeiten der Cloud immer noch ihre Bedeutung. Cloud-Anbieter sollten das in jedem Fall vorweisen.
Bei der Suche nach speziellen Cloud-Zertifikaten stoßen Unternehmen auf unterschiedlichste nationale, internationale und Verbandsinitiativen.
So hat sich das Star-Zertifikat der Cloud Security Alliance (CSA) als internationale Initiative durchgesetzt. Viele Provider nutzen das Self-Assessment-Verfahren, indem sie sich – wie der Name sagt – selbst zertifizieren. Die Open Telekom Cloud hat auf einen Fremdaudit durch TÜV Austria zurückgegriffen und so das CSA Star Level 2 Gold erworben (das Zertifikat ist zum 22. Juli 2021 ausgelaufen). Den Zertifikatsstatus der Provider können Interessierte auf den Seiten der CSA überprüfen. Übrigens ist auch das Release Management für die jeweiligen Clouds Bestandteil der Zertifizierung. D. h. auch wenn neue Features und Services eingeführt werden, bleibt die Zertifizierung gültig.
Als Derivate von der ISO-Familie scheinen sich zudem die (inoffiziellen) Zertifikate ISO 27017 und ISO 27018 für Datensicherheit Datenschutz in der Cloud durchzusetzen. Diese de-facto-Standards sind allerdings momentan so genannte nicht-verbindliche Zertifikate ohne echte Kraft. Dennoch werden sie gerne nachgefragt. Die Open Telekom Cloud hat auch dieses Zertifizierungs-Prozedere im Dezember 2016 erfolgreich abgeschlossen.
Furore macht in Deutschland derzeit eine Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi). In dieser Trusted-Cloud-Initiative, an der auch Vertreter der Deutschen Telekom mitgearbeitet haben, wurde ein Prüfkatalog entwickelt. Die Einführung der Zertifizierung ist seit September beschlossene Sache. Momentan wird eine Akkreditierungsstelle ausgewählt, sodass vermutlich im Laufe des nächsten Jahres eine offizielle Zertifizierung erfolgen kann.
Das Brisante an dieser Zertifizierung: Anbieter, die das Trusted-Cloud-Siegel tragen, haben eine Art Rundum-Sorglos-Paket. Greifen Bundesbehörden oder deutsche Firmen auf Anbieter mit diesem Zertifikat zurück, sind sie auf der sicheren Seite, dass der Anbieter (für sie) alle in Deutschland geltenden Anforderungen in puncto Datensicherheit und Datenschutz erfüllt. Das Trusted-Cloud-Siegel wird sich damit als Eintrittskarte für Cloud-Business in Deutschland erweisen.
Nur in Deutschland? Nein. Auch über Deutschland hinaus. Denn zusätzliche Bedeutung erhält Trusted Cloud durch die Europäische Datenschutzgrundverordnung (DSGVO), die die EU-Gremien im April beschlossen haben. Sie wird die seit 1995 geltende EU-Datenschutzrichtlinie ersetzen. Die neue DSGVO basiert weitgehend auf dem Bundesdatenschutzgesetz (BDSG). Die Anforderungen des BDSG sind aber auch im Trusted-Cloud-Siegel eingearbeitet. Damit wird das Trusted-Cloud-Zertifikat auch zur Eintrittskarte für europäisches Business.
Mit Trusted Cloud wird das Verwirrspiel um Datenschutz und IT-Sicherheit ein Ende haben. Das neue Siegel wird tatsächlich den Abschluss von Cloud-Geschäftsvereinbarungen deutlich erleichtern – und beiden Seiten Sicherheit geben, die richtige Wahl getroffen zu haben.