Kommt jetzt das einheitliche Cloud-Zertifikat?

Cloud Computing entwickelt sich zum Standard in deutschen Firmen, so das Ergebnis einer aktuellen Befragung von PwC und ISACA Germany Chapter. 70 Prozent der deutschen Unternehmen nutzen Cloud-Dienste. Trotzdem stehen über die Hälfte der Fachbereiche für IT-Sicherheit und Datenschutz dem Cloud Computing eher skeptisch gegenüber. Gerade im Hinblick auf Public Clouds gibt es Vorbehalte.

Erschwerend kommt hinzu, dass der Datenschutz dem Cloud-Anwender eine Kontrollpflicht auferlegt, da es sich bei Cloud Computing in aller Regel um Auftragsdatenverarbeitung handelt, bei der der Auftraggeber und damit der Cloud-Nutzer in der Verantwortung bleibt. Ein deutsches Cloud-Zertifikat soll nun das notwendige Vertrauen in die Cloud schaffen: In Zukunft könne dadurch jedes Unternehmen, das Daten auslagert, sicher sein, dass die eigenen Compliance-Vorgaben auch vom Cloud-Dienstleister eingehalten werden, so eine Meldung von Uniscon.

Möglich machen soll es insbesondere die ISO/IEC-Norm 27018, ein neuer, internationaler Standard für den Datenschutz in der Cloud, und die darauf aufbauende Datenschutzzertifizierung „Trusted Cloud Datenschutzprofil“ (TCDP). Das TCDP soll nun im Rahmen eines Folgeprojekts des BMWi getestet und erforderlichenfalls weiterentwickelt werden.

Zertifikat soll Cloud-Nutzer die Kontrollpflichten abnehmen

Ein Ziel des neuen Zertifikats ist mehr Rechtssicherheit für den Cloud-Anwender: Indem ein Unternehmen einen Anbieter auswählt, der mit der für die Unternehmensdaten notwendigen Schutzklasse ausgezeichnet ist, soll das Unternehmen als Auftraggeber in Zukunft seine vom Gesetz vorgeschriebenen Kontrollpflichten erfüllen können, so das am Trusted Cloud-Pilotprojekt beteiligte Unternehmen Uniscon.

Das Bundesministerium für Wirtschaft und Energie (BMWi) sieht die Grundlage für rechtskonforme und wirtschaftliche Nutzung von Clouds als gelegt an. Das klingt nach Erfüllung eines lange gehegten Wunsches für das Cloud Computing in Deutschland. Die Zertifizierung TCDP könnte scheinbar das möglich machen, was man sich von einem einheitlichen Cloud-Zertifikat erhofft: eine Vergleichbarkeit von Cloud-Anbietern hinsichtlich ihrer Datenschutzkonformität.

Neues Cloud-Zertifikat hat seine Grenzen

Cloud-Zertifikate, die bei der Auswahl des Cloud-Anbieters helfen wollen, gibt es allerdings bereits. Deshalb stellt sich die Frage, ob das neue Cloud-Zertifikat wirklich anders ist als die bereits vorhandenen. ZDNet hat Vertreter bestehender Angebote zur Cloud-Zertifizierung befragt, wie sich die neuen Zertifikate auf Basis von ISO 27001 / ISO 27018 gegenüber ihren Zertifikaten positionieren werden.

„Die ISO 27018 ergänzt die ISO 27001 zwar um Grundsätze und Maßnahmen rund um den Datenschutz personenbezogener Daten in der Cloud, aber das ist aus unserer Sicht jedoch noch viel zu kurz gesprungen“, so Hendrik A. Reese, Principal Consultant, TÜV Rheinland i-sec. „Der „Certified Cloud Service“ von TÜV Rheinland berücksichtigt den Datenschutz als einen von mehreren wesentlichen Prüfmerkmalen. In der Praxis sind für Cloud-nutzende Unternehmen viele weitere Aspekte neben dem Datenschutz wichtig.“

Sebastian Meissner, Head of the EuroPriSe Certification Authority (EuroPriSe – European Privacy Seal) sieht ebenfalls Einschränkungen bei dem neuen Standard: „ISO 27001 / 27018 deckt nicht alle Cloud-Dienstleistungen ab, sondern bezieht sich nur auf den Bereich Public Cloud, und auch das nur dann, wenn der Cloud-Provider personenbezogene Daten als Auftragsdatenverarbeiter im Sinne von § 11 BDSG / Artikel 2(e) der RL 95/46/EG verarbeitet. Zudem ist es so, dass ISO 27018 viele datenschutzrelevante Aspekte adressiert, aber nicht alle Kriterien abdeckt, die wir etwa im Rahmen einer EuroPriSe-Zertifizierung als Maßstab anlegen“.

Das einheitliche Zertifikat ist weiter nicht in Sicht

Das TÜV TRUST IT.

„Der Standard 27018 wird – genauso wie viele andere Zertifikate, die einzelne Teilaspekte abbilden, – seinen Markt finden. Es gibt verschiedene Prüfstandards mit unterschiedlichen Prüftiefen. Die Frage ist allerdings: Wie sinnvoll ist es, eine Siegelflut für zigtausend Einzelaspekte zu erstellen? Was bedeuten Einzel-Siegel für die Orientierung am Markt und wie praktikabel und effizient ist es, Cloud Service Provider Teil-Zertifizierungen durchlaufen zu lassen?“, beschreibt Hendrik A. Reese, TÜV Rheinland i-sec, seine Sicht der Dinge.

Neues Zertifikat eher als Ergänzung vorhandener Siegel

Cloud-Nutzer und Cloud-Anbieter werden wohl weiterhin damit leben müssen, dass es eine Vielzahl von Cloud-Zertifikaten gibt. Dabei gilt es, bei jedem Zertifikat genau auf den Prüfungsumfang und den Geltungsbereich zu achten. Ob eines der Zertifikate wirklich dem Cloud-Nutzer seine Prüfpflichten abnehmen wird, bleibt abzuwarten. Bis dahin gilt die Aussage der Aufsichtsbehörden für den Datenschutz, dass das Vorliegen von Zertifikaten den Cloud-Anwender nicht von seinen Kontrollpflichten entbindet. Noch ist das Ziel einheitlicher Cloud-Zertifikate nicht erreicht, und das neue Zertifikat wird neben die bereits bestehenden treten.