Cloud-Ratings: Welche Rolle Compliance bei Cloud-Ratings spielt

Cloud-Ratings wollen bei der Auswahl von Cloud-Angeboten helfen. Doch berücksichtigen sie auch die den Nutzern so wichtigen Kriterien Compliance, Datenschutz und Sicherheit?

Nicht nur die Zahl der Cloud-Nutzer wächst und wächst, auch die Menge an Cloud-Providern und Cloud-Angeboten steigt stetig an. Kein Wunder, denn viele wollen etwas von dem interessanten Cloud-Business für sich verbuchen. Für die Anwenderunternehmen, die auf Anbieter- und Lösungssuche sind, ist der Cloud-Markt ziemlich unübersichtlich. Gleichzeitig sind die Anforderungen, die bei Cloud-Nutzung erfüllt werden müssen, sehr hoch.

Entsprechend hilfreich erscheinen die Ratings und Benchmarks, die sich dem Cloud-Markt verschrieben haben. So wünschen sich laut ISACA und PwC gut 40 Prozent der Cloud-Nutzer mehr Orientierung, insbesondere zu Risikomanagement, Prüfbarkeit und Rechtssicherheit. Da stellt sich die Frage, ob die Kriterien der Ratings auch denen der Nutzer entsprechen. Nur wenn das der Fall ist, können die Cloud-Ratings wirklich eine Orientierung geben.

Diese Cloud-Kriterien sind entscheidend

Umfragen zeigen regelmäßig, was den Cloud-Nutzern wichtig ist: Sicherheit und Datenschutz müssen bei Cloud Computing stimmen, so zum Beispiel der Cloud-Monitor 2016. Zusätzlich müssen die Kriterien eine Rolle spielen, die aus rechtlichen Gründen zu beachten sind. Dazu gehört insbesondere die Kenntnis des Cloud-Standortes, wie man der Orientierungshilfe Cloud Computing der Aufsichtsbehörden für den Datenschutz sowie der entsprechenden Entschließung der Datenschützer entnehmen kann.

Auch den Cloud-Anwendern ist der Cloud-Standort wichtig, wie Studie IT-Trends 2016 von Capgemini ergab. Ebenso müssen die Cloud-Services die Compliance-Vorgaben erfüllen, die das Anwenderunternehmen aus vertraglichen Gründen oder innerhalb der Branche beachten muss. Dies ist oftmals eine bestimmte Sicherheitszertifizierung, die nachgewiesen werden muss. Cloud-Zertifikate müssen sich jedoch noch weiter entwickeln, um mehr Vergleichbarkeit und Einheitlichkeit zu erreichen.

Im Angebot: Eine Fülle von Ratings und Benchmarks zu Cloud Computing

Hilfe versprechen die sogenannten Cloud-Ratings. Neben den Benchmark-Studien der verschiedenen Analystenhäuser gibt es eine Vielzahl von Rating-Plattformen im Internet. Als Beispiele seien genannt: Ascamso, CloudHarmony, Cloudorado, Cloudwards, RightScale Cloud Comparison, SoftwareInsider und WhatMatrix.

Ascamso zum Beispiel stellt sein Rating-Modell ausführlich vor, das SaaS Rating und das IaaS Rating. Wie ein Beispiel-Rating zeigt, werden Kriterien wie Data Center Quality, Location, Access und Operation Security berücksichtigt. Wichtig ist es generell bei Benchmarks und Ratings, dass die Gewichtung des jeweiligen Analysten nicht zwingend die des Anwenders sein muss. Es lohnt sich also, die Gewichtungen genau zu betrachten.

Cloud-Computing (Bild: Shutterstock)

Cloudwards konzentriert sich bei Business Cloud Storage insbesondere auf die Auswertung von Features wie File Syncing, NAS Backup, Mobile Access, Phone Support, File Sharing, Server Backup und 24/7 Support. Spezielle Aussagen zu Security oder Compliance findet man als Nutzer in der Übersicht nicht. Die TopTenReviews berücksichtigen bei Cloud Services Kriterien wie Passwortschutz, Verschlüsselung und Support, wichtige Punkte, doch weitere Kriterien wären aus Compliance-Sicht zu hinterfragen. SoftwareInsider nennt als Kriterien für den Vergleich von Cloud-Providern neben den sicherheitsrelevanten Diensten Firewalls und Disaster Recovery insbesondere die Cloud-Regionen.

WhatMatrix geht bei seinen Ratings ins Detail und betrachtet einzelne Sicherheits- und Compliance-Funktionen der Cloud-Provider. Darunter befinden sich Reportings, Support, Bereiche aus dem Identity and Access Management, Unterstützung von Verzeichnissen und Protokollen, Verschlüsselung, Integration mit Sicherheitsprodukten, um einige Beispiele zu nennen.

Cloudorado geht zudem den weiteren Schritt, neben Standorten und Sicherheitsfunktionen auch explizit die Compliance-Vorgaben zu benennen, die der Cloud-Provider erfüllt. Zu den Kriterien zählen

Encrypted Storage, VPN, Firewall, aber auch ISO/IEC 27001, SSAE 16 (former SAS 70 Type II), HIPAA Compilant, FISMA Compilant oder PCI DSS. Auch RightScale Cloud Comparison sieht umfangreiche Compliance-Kriterien vor, darunter CSA, EU Model Clauses, FISMA, HIPAA, ISO 27001, ISO 27017, ISO 27018 und PCI DSS, ebenso Kriterien aus dem Bereich Sicherheit und Cloud-Standort.

Somit können bestimmte Cloud-Ratings durchaus bei der Cloud-Auswahl unterstützen, auch aus Compliance-Sicht. Generell sollte man allerdings darauf achten, wie aktuell die Ratings der verschiedenen Plattformen denn sind, woher die Angaben stammen (ggf. Selbstauskunft der Provider) und ob die eigenen Compliance-Anforderungen auch abgedeckt werden.

Suche nach Cloud-Anbieter: Compliance muss stärker in den Fokus

Wie wichtig ist es, die Cloud-Nutzer noch stärker im Bereich Cloud-Compliance zu unterstützen, zeigt auch die Blue Coat Elastica Studie „Shadow Data Threat Report 1HJ 2016“.  Demnach sind die meisten der von Unternehmen genutzten Cloud-Anwendungen nicht Compliance-konform. Cloud-Ratings und Cloud-Zertifizierungen können und sollten hier in naher Zukunft für Veränderung sorgen, damit die Cloud-Nutzung nicht zum kritischen Compliance-Problem vieler Unternehmen wird.

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

Themenseiten: Cloud by HPE, Compliance, Datenschutz-Grundverordnung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen: