Categories: CloudCloud-Management

Kommt jetzt das einheitliche Cloud-Zertifikat?

Cloud Computing entwickelt sich zum Standard in deutschen Firmen, so das Ergebnis einer aktuellen Befragung von PwC und ISACA Germany Chapter. 70 Prozent der deutschen Unternehmen nutzen Cloud-Dienste. Trotzdem stehen über die Hälfte der Fachbereiche für IT-Sicherheit und Datenschutz dem Cloud Computing eher skeptisch gegenüber. Gerade im Hinblick auf Public Clouds gibt es Vorbehalte.

Erschwerend kommt hinzu, dass der Datenschutz dem Cloud-Anwender eine Kontrollpflicht auferlegt, da es sich bei Cloud Computing in aller Regel um Auftragsdatenverarbeitung handelt, bei der der Auftraggeber und damit der Cloud-Nutzer in der Verantwortung bleibt. Ein deutsches Cloud-Zertifikat soll nun das notwendige Vertrauen in die Cloud schaffen: In Zukunft könne dadurch jedes Unternehmen, das Daten auslagert, sicher sein, dass die eigenen Compliance-Vorgaben auch vom Cloud-Dienstleister eingehalten werden, so eine Meldung von Uniscon.

Möglich machen soll es insbesondere die ISO/IEC-Norm 27018, ein neuer, internationaler Standard für den Datenschutz in der Cloud, und die darauf aufbauende Datenschutzzertifizierung „Trusted Cloud Datenschutzprofil“ (TCDP). Das TCDP soll nun im Rahmen eines Folgeprojekts des BMWi getestet und erforderlichenfalls weiterentwickelt werden.

Zertifikat soll Cloud-Nutzer die Kontrollpflichten abnehmen

Ein Ziel des neuen Zertifikats ist mehr Rechtssicherheit für den Cloud-Anwender: Indem ein Unternehmen einen Anbieter auswählt, der mit der für die Unternehmensdaten notwendigen Schutzklasse ausgezeichnet ist, soll das Unternehmen als Auftraggeber in Zukunft seine vom Gesetz vorgeschriebenen Kontrollpflichten erfüllen können, so das am Trusted Cloud-Pilotprojekt beteiligte Unternehmen Uniscon.

Das Bundesministerium für Wirtschaft und Energie (BMWi) sieht die Grundlage für rechtskonforme und wirtschaftliche Nutzung von Clouds als gelegt an. Das klingt nach Erfüllung eines lange gehegten Wunsches für das Cloud Computing in Deutschland. Die Zertifizierung TCDP könnte scheinbar das möglich machen, was man sich von einem einheitlichen Cloud-Zertifikat erhofft: eine Vergleichbarkeit von Cloud-Anbietern hinsichtlich ihrer Datenschutzkonformität.

VERANSTALTUNGSHINWEIS

Die digitale Transformation als Umsatzgenerator

Die Veranstaltung informiert, wie Sie durch Einführung eines kundenzentrierten Identitätsmanagements auf Basis der ForgeRock-Technologie in ihrem Unternehmen Umsatzsteigerungen erzielen können. Zum Thema erhalten Sie Einblicke, die Ihnen die Veranstalter und ein unabhängiger Analyst präsentieren. Wie man mit der Technologie die Evolution einer eCommerce-Plattform vorantreibt, skizziert ein Vortrag von Zalando.

Neues Cloud-Zertifikat hat seine Grenzen

Cloud-Zertifikate, die bei der Auswahl des Cloud-Anbieters helfen wollen, gibt es allerdings bereits. Deshalb stellt sich die Frage, ob das neue Cloud-Zertifikat wirklich anders ist als die bereits vorhandenen. ZDNet hat Vertreter bestehender Angebote zur Cloud-Zertifizierung befragt, wie sich die neuen Zertifikate auf Basis von ISO 27001 / ISO 27018 gegenüber ihren Zertifikaten positionieren werden.

„Die ISO 27018 ergänzt die ISO 27001 zwar um Grundsätze und Maßnahmen rund um den Datenschutz personenbezogener Daten in der Cloud, aber das ist aus unserer Sicht jedoch noch viel zu kurz gesprungen“, so Hendrik A. Reese, Principal Consultant, TÜV Rheinland i-sec. „Der „Certified Cloud Service“ von TÜV Rheinland berücksichtigt den Datenschutz als einen von mehreren wesentlichen Prüfmerkmalen. In der Praxis sind für Cloud-nutzende Unternehmen viele weitere Aspekte neben dem Datenschutz wichtig.“

Sebastian Meissner, Head of the EuroPriSe Certification Authority (EuroPriSe – European Privacy Seal) sieht ebenfalls Einschränkungen bei dem neuen Standard: „ISO 27001 / 27018 deckt nicht alle Cloud-Dienstleistungen ab, sondern bezieht sich nur auf den Bereich Public Cloud, und auch das nur dann, wenn der Cloud-Provider personenbezogene Daten als Auftragsdatenverarbeiter im Sinne von § 11 BDSG / Artikel 2(e) der RL 95/46/EG verarbeitet. Zudem ist es so, dass ISO 27018 viele datenschutzrelevante Aspekte adressiert, aber nicht alle Kriterien abdeckt, die wir etwa im Rahmen einer EuroPriSe-Zertifizierung als Maßstab anlegen“.

Das einheitliche Zertifikat ist weiter nicht in Sicht

Das TÜV TRUST IT.

„Der Standard 27018 wird – genauso wie viele andere Zertifikate, die einzelne Teilaspekte abbilden, – seinen Markt finden. Es gibt verschiedene Prüfstandards mit unterschiedlichen Prüftiefen. Die Frage ist allerdings: Wie sinnvoll ist es, eine Siegelflut für zigtausend Einzelaspekte zu erstellen? Was bedeuten Einzel-Siegel für die Orientierung am Markt und wie praktikabel und effizient ist es, Cloud Service Provider Teil-Zertifizierungen durchlaufen zu lassen?“, beschreibt Hendrik A. Reese, TÜV Rheinland i-sec, seine Sicht der Dinge.

Neues Zertifikat eher als Ergänzung vorhandener Siegel

Cloud-Nutzer und Cloud-Anbieter werden wohl weiterhin damit leben müssen, dass es eine Vielzahl von Cloud-Zertifikaten gibt. Dabei gilt es, bei jedem Zertifikat genau auf den Prüfungsumfang und den Geltungsbereich zu achten. Ob eines der Zertifikate wirklich dem Cloud-Nutzer seine Prüfpflichten abnehmen wird, bleibt abzuwarten. Bis dahin gilt die Aussage der Aufsichtsbehörden für den Datenschutz, dass das Vorliegen von Zertifikaten den Cloud-Anwender nicht von seinen Kontrollpflichten entbindet. Noch ist das Ziel einheitlicher Cloud-Zertifikate nicht erreicht, und das neue Zertifikat wird neben die bereits bestehenden treten.

Oliver Schonschek

Oliver Schonschek ist Freier Analyst und Fachautor für Informationssicherheit,

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago