Welchen Nutzen schaffen Standards und Zertifikate?
Kaum ein Unternehmen, sofern es nicht zum eigenen Kerngeschäft gehört, ist Experte im Bereich Cloud Services. Dadurch ergibt sich automatisch eine Unsicherheit, wenn es um die Auswahl des passenden Services geht. Woher soll der Anwender wissen, ob ein Service z. B. rechtskonform ist oder sicher mit den eigenen Daten umgeht.
Für den Laien geben Zertifikate und Standards hier eine erste Orientierung. Sie machen auf Basis einer fachlich geeigneten und unabhängigen Prüfung Aussagen über die Sicherheit und Vertrauenswürdigkeit eines Services.
Nun gibt es nicht „das eine Zertifikat“ oder „den einen Standard“ sondern eine Vielzahl verschiedener Standards und Zertifikate mit verschiedenen Schwerpunkten. Je nachdem, wie die eigenen Bedürfnisse sind, können unterschiedliche Standards oder Zertifikate bei der Auswahl herangezogen werden.
Woher weiß ich, welche Standards oder Zertifikate für mich relevant sind?
Um den passenden Cloud-Anbieter für Ihr Unternehmen zu finden, können verschiedene Faktoren relevant sein. Um unter den verschiedenen Anbietern von Cloud-Lösungen die richtige Wahl zu treffen, lohnt ein Blick auf deren Zertifizierung. Dabei sollten Sie sich Fragen:
Arbeite ich für ein national oder international operierendes Unternehmen?
Ist Ihr Unternehmen überwiegend auf nationaler Ebene aktiv, können Zertifikate mit dem regionalen Fokus auf Deutschland hinreichend sein. Arbeiten Sie für ein global agierendes Unternehmen, sollten Sie zusätzlich auf europäische und internationale Zertifikate achten.
Welche Faktoren sind mir beim Einsatz von Cloud Computing besonders wichtig?
Unterschiedliche Zertifikate setzen auch verschiedene Schwerpunkte bei der Prüfung und Bewertung von Cloud-Diensten. Während die einen Zertifikate Daten- und Informationssicherheit fokussieren, legen andere ihren Schwerpunkt auf Transparenz und Serviceorientierung.
Eine Übersicht über die wichtigsten Standards und Zertifikate finden Sie im Downloadbereich. Weiterhin finden Sie im FAQ-Bereich unserer Website eine Gegenüberstellung der Standards Trusted Cloud, C5 und TCDP.
Im November 2017 startete das Forschungsprojekt "AUDITOR", das durch das Bundesministerium für Wirtschaft und Energie (BMWi) gefördert wird. Ziel des Projektes ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten. AUDITOR ist das Nachfolgeprojekt des Trusted Cloud Datenschutz-Profils für Cloud Dienste (TCDP).
Das auf zwei Jahre angelegte Projekt wird koordiniert durch die Universität Kassel (Fachbereich Wirtschaftsinformatik und Systementwicklung) als Konsortialführer. Zu seinen Partnern gehört neben anderen das Kompetenznetzwerk Trusted Cloud e. V.
Das Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP) ist der im Technologieprogramm Trusted Cloud des Bundesministeriums für Wirtschaft und Energie (BMWi) entwickelte Prüfstandard für die Datenschutz-Zertifizierung nach dem Bundesdatenschutzgesetz (BDSG). Es bildet die gesetzlichen Anforderungen an die Auftragsdatenverarbeitung in einen Prüfstandard ab und unterscheidet sich insofern von Datenschutz-Gütesiegeln. TCDP liegt aktuell in der Version 1.0 vor, die im September 2016 veröffentlicht wurde.
Mit dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue - C5) beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anforderungen an die Cloud-Sicherheit, die aus seiner Sicht nicht unterschritten werden dürfen. Er beschreibt auch Vorgaben für eine Testierung der Cloud-Sicherheit und richtet sich so an Cloud-Anbieter sowie deren Prüfer und Kunden.
Die Entwicklung neuer Standards in der EU zum Thema Cloud ist noch im Fluss. Bis dahin helfen bestimmte Standards aus dem Bereich Qutsourcing für Cloud-Anwendungen. Bei Zertifikaten gibt es bereits Cloud spezifische Ausprägungen. Sie unterscheiden sich in inhaltlicher Ausrichtung, regionalem Geltungsbereich und Dauer des Zertifikatszyklus.
Diese Liste von ENISIA bietet einen Überblick über verschiedene bestehende Zertifizierungssysteme, die für Cloud-Anwender relevant sein können. Sie beschreibt die wichtigsten Merkmale der einzelnen Zertifizierungssysteme und gibt Antworten auf Fragen wie: „Welche Standards werden zugrunde gelegt?“ „Wer stellt die Zertifizierungen?“ „Wie wird der Cloud Service Provider überprüft?“ „Wer überprüft?“ – Die Original ENISA Angaben liegen nur in English vor und können hier eingesehen werden!
Die Kurzfassung gibt die Ergebnisse der Studie „Das Normungs- und Standardisierungsumfeld von Cloud Computing“ in komprimierter und prägnanter Art wieder. Die Studie gibt einen Überblick über das existierende Normungs- und Standardisierungsumfeld von Cloud Computing, auf deutscher, europäischer und internationaler Ebene. Sie stellt einen strategischen Aktionsrahmen bereit und erarbeitet ordnungspolitische Handlungsempfehlungen, und schafft damit die Grundlage für eine deutsche Roadmap zur Standardisierung im Cloud Computing.
Die Studie gibt einen Überblick über das existierende Normungs- und Standardisierungsumfeld von Cloud Computing, auf deutscher, europäischer und internationaler Ebene. Sie schafft einen strategischen Aktionsrahmen und erarbeitet ordnungspolitische Handlungsempfehlungen, um damit die Grundlage für eine deutsche Roadmap zur Standardisierung im Cloud Computing zu schaffen.