Cloud-Zertifikate richtig beurteilen

Cloud-Computing ist inzwischen in vielen Unternehmen angekommen. Doch besonders Mittelständler mit einer überschaubaren IT-Abteilung wissen häufig nicht, welchen Cloud-Anbieter sie wählen sollen, um dort künftig ihre Daten auszulagern. 

Göttingen, 07.11.2016 – Laut des Marktforschungs- und Beratungsunternehmen IDC nutzen oder planen rund sechs von zehn deutschen Unternehmen den Einsatz von Cloud-Computing. Doch die Fragen, welchem Cloud-Anbieter man vertrauen kann und wo die Daten am Ende liegen, spielen bei Auswahl eine wichtige Rolle. So bevorzugen beispielsweise laut IDC-Umfrage 47 Prozent der Unternehmen ein Rechenzentrum im Inland und 57 Prozent bestehen auf ein deutsches Vertragsrecht.

Cloud-Zertifikate als Hilfestellung

Viele Organisationen bieten Prüfsiegel für Cloud-Anbieter an. Diese Zertifikate sollen für Orientierung auf dem großen Cloud-Markt sorgen und prüfen zum Beispiel die Sicherheit oder die Vertragsbedingungen eines Rechenzentrums.

Zwar bewerten diese Organisatoren die Cloud-Anbieter anhand bestimmter Kriterien, einen weltweit gültigen Standard gibt es aber nicht. Jede Zertifizierungsstelle kann ihren eigenen Kriterienkatalog festlegen und danach Zertifikate verteilen. Die Qualität des Prüfsiegels orientiert sich also an den Maßstäben der Organisation.

Audit und Self-Assessment

Es gibt zwei verschiedene Arten von Zertifikaten: Audit und Self-Assessment. Bei ersterem checkt ein unabhängiger Prüfer einer Zertifizierungsorganisation, ob ein Cloud-Anbieter die aufgestellten Kriterien erfüllt. Das Audit ist damit eine kostenintensivere Variante.

Eine andere Möglichkeit ist das Self-Assessment. Dabei beantwortet der Cloud-Anbieter einen Fragenkatalog, um das Zertifikat zu erhalten. Zwar ist diese Möglichkeit kostengünstiger, der Kunde muss aber auch darauf vertrauen, dass die Selbstauskunft korrekt abgegeben wurde.

Unterschiede der Zertifikat-Anbieter

Etwa 150 Prüfsiegel für Cloud-Anbieter gibt es weltweit. Die meisten können aber vernachlässigt werden. Zu den bekanntesten Prüfstellen hierzulande zählen TÜV Rheinland, Cloud Ecosystem und EuroCloud Europe. Und auch das Bundesministerium für Wirtschaft und Energie bietet mit seinem Trusted Cloud Label eine Zertifizierung an.

Auf ein Urteil von Institutionen und Interessensverbänden sollte man dagegen lieber verzichtet. Diese Zertifikate sind in einem solchen Fall eher Marketing anstatt Qualitätsmerkmal.

Wer sich für einen zertifizierten Dienst entscheidet, kann in jedem Fall schon einmal davon ausgehen, das gewisse Mindestanforderungen erfüllt werden.

ISO-Standard für die Cloud

Viel entscheidender als das Prüfsiegel eines Cloud-Anbieters ist eine ISO-Zertifizierung nach ISO/IEC27001. Diese spielt auch beim IT-Grundschutz-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Rolle.

Die ISO/IEC27001 ist allerdings keine spezifische Cloud-Zertifizierung. Stattdessen umfasst sie einen Katalog aus etwa 150 Anforderungen von Datensicherheit, über Prozesse, bis hin zu Abläufen innerhalb eines Unternehmens. Beispielsweise ist der Aufbau eines IT-Security-Management-Systems (ISMS) eine Voraussetzung für ein Zertifikat. Durch ein ISMS werden Verfahren, Prozesse und Maßnahmen festgelegt, um ein bestimmtes IT-Sicherheitsniveaus zu garantieren.

Der ISO-Standard wurde im vorletzten Jahr um die ISO/IEC27018 erweitert, sie sich ausschließlich mit Cloud-Diensten befasst. Der Datenschutz steht dabei im Vordergrund. Noch ist diese Erweiterung allerdings nur eine Zusammenstellung von Umsetzungsempfehlungen und kein Anforderungskatalog, um eine Zertifikat zu erhalten.

Wirbt also ein Cloud-Anbieter mit einem ISO/IEC27018-Zertifikat, so ist damit eigentlich die ISO/IEC27001-Zertifizierung gemeint, die die Anforderungen der Erweiterung (ISO/IEC27018) berücksichtigt.