Zum Hauptinhalt springen

Cloud-Zertifizierung: Wie wichtig sind solche Zertifikate?

Cloud Computing und Dienste in der Cloud haben sich als feste Bestandteile der IT-Infrastruktur etabliert. Das Thema Cloud-Zertifizierung ist hingegen nur wenig bekannt. Dabei sind Zertifizierungen für Dienste in der Cloud sinnvoll und geben dem Nutzer Nachweise und Sicherheiten. Diese Zertifikate befinden sich auf immer mehr Webseiten von Cloud-Dienstleistern. Sie sind erkenntlich an Logos und Hinweisen wie „certified by“. Es gibt jedoch Unterschiede bei den verschiedenen Zertifizierungsprozessen. Hier ist es wichtig, sich mit dem Thema auseinanderzusetzen, um die unterschiedlichen Zertifikate bewerten zu können.

Bedeutung, Zweck und Nutzen von Cloud-Zertifizierungen

Die Idee hinter der Zertifizierung von Diensten und Anbietern in der Cloud ist es, dem Nutzer gewisse Standards zu garantieren und nachzuweisen. Im Bereich der Cloud-Dienstleistungen herrscht viel Vertrauen gegenüber den Dienstleistern. Für Kunden ist es jedoch schwer, zu prüfen, wie der Cloud-Dienstleister in der Praxis arbeitet. Dies betrifft vor allem die Datensicherheit, die Zuverlässigkeit der Dienste und die Compliance. Anhand einer Zertifizierung erkennt ein Unternehmen jedoch, welche Richtlinien der Cloud-Anbieter einhält, nach welchen Standards er handelt und was von einem Cloud-Dienst zu erwarten ist.

Diese Arten von Zertifizierungen existieren bei den verschiedenen Cloud-Modellen

Es gibt im Prinzip zwei Varianten bei der Zertifizierung von Anbietern. Dies sind zum einen Zertifikate von Drittanbietern, die nach eigenen Richtlinien die Dienste von Cloud-Dienstleistern analysieren. Zum anderen gibt es die Sammlung von ISO-Normen, die Maßstäbe für das Informationssicherheits-Management vorgeben. Diese ISO-Normen bilden dann die Grundlagen für den Zertifizierungsprozess.

Der Nachweis über die Einhaltung solcher Richtlinien wird auf der Webseite der Anbieter angezeigt. In der Regel handelt es sich um Plaketten, die von den Zertifizierern vergeben werden. Sie enthalten zusätzlich Beschriftungen wie „certified by“ oder ähnlich. Unternehmen haben dann die Möglichkeit, sich genauer mit dem konkreten Zertifizierungsverfahren auseinanderzusetzen. So wird deutlich, welche Standards der Cloud-Dienstleister einhält.

Der Nachweis über die Einhaltungen der ISO-Normen wird beispielsweise durch den TÜV-Nord vorgenommen. Eine solche Zertifizierung hat einen hohen Stellenwert. Einerseits machen die ISO-Normen wie 27001 oder 27018 strenge Vorgaben, die erfüllt werden müssen. Andererseits ist der TÜV-Nord eine renommierte und vertrauenswürdige Organisation. Dementsprechend aussagekräftig sind solche Nachweise.

Im Zusammenhang mit Zertifizierungen hat sich weiterhin das Forschungsprojekt AUDITOR als einer der führenden Standards etabliert. Dieses Projekt wird vom Bundesministerium für Wirtschaft und Energie (BMWi) gefördert und hat es sich zum Ziel gesetzt, eine EU-weite Datenschutzzertifizierung von Cloud-Diensten zu erstellen. Es ist der direkte Nachfolger von TCDP, dem Trusted Cloud-Datenschutzprofil für Cloud-Dienste. 

Gleichzeitig gibt die Agentur der Europäischen Union für Cybersicherheit, ENISA, auch eine Liste von anerkannten Cloud-Zertifikaten heraus. Anhand dieser Liste ist es möglich, zu überprüfen, ob der Status „certified by“ auf der Webseite eines Cloud-Dienstleisters relevant ist oder nicht.

Bei den großen Cloud-Dienstleistern wie Google oder Microsoft sind Zertifizierungen nach ISO 27001 und den anderen Normen bereits seit längerem Standard. Services für die Cloud wie Azure oder die Google Workspace verfügen alle über die entsprechenden Nachweise. Diese lassen sich öffentlich einsehen, wobei auch das aktuellste Datum der Prüfung eingetragen ist. Somit sehen Kunden direkt, ob die Zertifizierungen aktuell sind und für welche Dienste sie gelten. Auch bei anderen Anbietern von Services in der Cloud ist es sinnvoll, darauf zu achten, dass aktuelle Zertifizierungen vorhanden sind und für welche Dienste diese gelten.

Zertifizierungen gibt es grundsätzliche für alle Arten von Cloud-Dienstleistungen. Dies beginnt bei reinen Datenspeichern und reicht bis hin zu SaaS-Modellen wie einem Desktop as a Service. Ebenfalls macht es keinen Unterschied, ob es sich um einen privaten Dienst oder eine Public Cloud handelt. Die Zertifikate gibt es für alle Formen der Cloud. In allen Fällen sind Faktoren wie die Datensicherheit, Zuverlässigkeit des Dienstes oder Professionalität der IT-Infrastruktur für die Nutzer von großem Interesse.
 

Welche Punkte kontrolliert ein Zertifizierungsprozess?

Die Schwerpunkte solcher Zertifikate liegen meist auf der Sicherheit der Daten sowie dem professionellen Betrieb der Systeme. Diese Punkte sind für Kunden von Cloud-Dienstleistern ohne eine unabhängige Kontrolle schwer zu beurteilen. Faktisch alle IT-Dienstleister werben mit hoher Sicherheit, professioneller Infrastruktur und hoher Erreichbarkeit der Dienste. Die Grenzen zwischen Marketing und Fakten sind leider oftmals fließend. Gerade deshalb ist es so interessant, dass es für Kunden eine Möglichkeit gibt, die Dienste der Anbieter objektiv zu bewerten.

Die genauen Routinen bei der Zertifizierung sind unterschiedlich und hängen vom jeweiligen Zertifizierungsanbieter ab. Die ENISA hat in ihrem CCSM, dem Cloud Certification Schemes Metaframework, die zentralen Faktoren aufgelistet, die bei einem solchen Prozess wichtig sind. Bei diesen handelt es sich um:

  • Informationssicherheitspolitik
  • Risikomanagement
  • Sicherheitsrollen
  • Sicherheit in den Lieferantenbeziehungen
  • Hintergrundüberprüfungen
  • Sicherheitswissen und Ausbildung
  • Personelle Veränderungen

Beispielsweise wird beim Risikomanagement überprüft, ob der Cloud-Dienstleister Maßnahmen etabliert hat, um die Sicherheit der eigenen Server und Dienste zu gewährleisten. Dies betrifft sowohl den Schutz vor Cyberbedrohungen als auch Gefahren durch Naturkatastrophen, Stromausfälle und ähnliche Ereignisse.

Die ENISA stellt ein Online-Tool bereit, mit dem es möglich ist, Zertifizierungen zu finden, die die jeweiligen Faktoren überprüfen. Dies hilft bei der Suche nach einem Zertifizierungsprozess, der für die Auswahl des Cloud-Dienstleisters ausschlaggebend ist.
 

Datensicherheit und die DSGVO – darum ist die Zertifizierung in der Cloud sinnvoll

Im Hinblick auf die Datensicherheit sowie die Europäische Datenschutz-Grundverordnung hat das Thema Cloud Security nochmals deutlich an Bedeutung gewonnen. Wer als Unternehmen persönliche Informationen von Kunden speichert und verarbeitet, ist für den Datenschutz verantwortlich. Dies gilt auch und insbesondere, wenn diese Daten in die Cloud übertragen werden, denn die Übertragung des Dienstes an einen Drittanbieter entbindet nicht von der Pflicht des Datenschutzes, ganz im Gegenteil.

Mit einem Nachweis über die Einhaltung von Normen wie ISO 27001 und ISO 27018 garantieren Cloud-Dienstleister, dass sie die Vorgaben dieser Richtlinien der Informationstechnik umgesetzt haben. Somit sind die Daten bei solchen Dienstleistern in der Cloud sicher und die Einhaltung der DSGVO ist gewährleistet.

Darüber hinaus gibt es regional relevante Zertifikate, die Cloud-Anbieter auf die Punkte hin überprüfen, die beispielsweise in der EU oder Deutschland wichtig sind. Dazu gehört der BSI Anforderungskatalog Cloud Computing (C5). Dieser beschäftigt sich vor allem mit der Cloud Security.

Bestimmte Zertifikate prüfen auch eine vorhandene Datenverschlüsselung. So lässt sich gewährleisten, dass ein solcher certified Cloud-Anbieter die Daten dementsprechend speichert, dass sie auch im Falle einer Cyberattacke nicht ausgelesen werden können. Solche Speicher erfüllen die hohen Anforderungen, die notwendig sind, um kritische Daten in die Cloud auszulagern.
 

Vorteile der Cloud-Zertifizierung für Unternehmen

Für Unternehmen sind die Zertifikate eine hilfreiche Unterstützung bei der Wahl eines Cloud-Dienstleisters. Dank solchen unabhängigen Bewertungen können Kunden realistisch bewerten, welche Standards die Dienste, Server und Leistungen einhalten.

Die Zertifikate bieten einen transparenten Einblick in die Technik und das Umfeld der Cloud. Ohne solche Kontrollen von unabhängigen Drittanbietern und Organisationen ist es realistisch betrachtet nicht möglich, das Level der Security bei einem Cloud-Anbieter einzuschätzen. Dies ist gerade im Hinblick auf die Anforderungen der DSGVO wichtig, deren Einhaltung gesetzlich verankert ist.
 

Fazit: Darum sind Zertifizierung für Cloud-Dienste sinnvoll

Gerade wer Cloud-Plattformen gewerblich nutzen möchte, ist darauf angewiesen, dass der Dienstleister zuverlässig und professional arbeitet. Zertifikate geben die Möglichkeit, schnell und zuverlässig eine Prüfung der Standards vorzunehmen. Auf diese Weise können Nutzer der Cloud-Dienste feststellen, ob ein Dienstleister die eigenen sowie gesetzlichen Anforderungen erfüllt. Dies ist besonders wichtig, da die DSGVO strenge Vorschriften macht, was das Computing von persönlichen Daten betrifft. Somit sind Zertifikate und Hinweise wie „certified by“ ein wichtiges und hilfreiches Werkzeug bei der Suche nach professionellen sowie zuverlässigen Cloud-Dienstleistungen.

Das könnte Sie auch interessieren:

Bandbreite
Bandbreite

Bandbreite, wie wird gemessen
und wie viel brauchen Unternehmen

Business Server
Business Server

So finden Unternehmen
die richtigen IT-Systeme

Colocation
Colocation

Colocation-Dienstleistungen
für Unternehmen

Business Internet
Business Internet

Das sind die Unterschiede zu
einem privaten Internetanschluss

Ready to do business? Sprechen Sie uns an!