Categories: Cloud

Cloud-Ratings: Welche Rolle Compliance bei Cloud-Ratings spielt

Nicht nur die Zahl der Cloud-Nutzer wächst und wächst, auch die Menge an Cloud-Providern und Cloud-Angeboten steigt stetig an. Kein Wunder, denn viele wollen etwas von dem interessanten Cloud-Business für sich verbuchen. Für die Anwenderunternehmen, die auf Anbieter- und Lösungssuche sind, ist der Cloud-Markt ziemlich unübersichtlich. Gleichzeitig sind die Anforderungen, die bei Cloud-Nutzung erfüllt werden müssen, sehr hoch.

Entsprechend hilfreich erscheinen die Ratings und Benchmarks, die sich dem Cloud-Markt verschrieben haben. So wünschen sich laut ISACA und PwC gut 40 Prozent der Cloud-Nutzer mehr Orientierung, insbesondere zu Risikomanagement, Prüfbarkeit und Rechtssicherheit. Da stellt sich die Frage, ob die Kriterien der Ratings auch denen der Nutzer entsprechen. Nur wenn das der Fall ist, können die Cloud-Ratings wirklich eine Orientierung geben.

Diese Cloud-Kriterien sind entscheidend

Umfragen zeigen regelmäßig, was den Cloud-Nutzern wichtig ist: Sicherheit und Datenschutz müssen bei Cloud Computing stimmen, so zum Beispiel der Cloud-Monitor 2016. Zusätzlich müssen die Kriterien eine Rolle spielen, die aus rechtlichen Gründen zu beachten sind. Dazu gehört insbesondere die Kenntnis des Cloud-Standortes, wie man der Orientierungshilfe Cloud Computing der Aufsichtsbehörden für den Datenschutz sowie der entsprechenden Entschließung der Datenschützer entnehmen kann.

Auch den Cloud-Anwendern ist der Cloud-Standort wichtig, wie Studie IT-Trends 2016 von Capgemini ergab. Ebenso müssen die Cloud-Services die Compliance-Vorgaben erfüllen, die das Anwenderunternehmen aus vertraglichen Gründen oder innerhalb der Branche beachten muss. Dies ist oftmals eine bestimmte Sicherheitszertifizierung, die nachgewiesen werden muss. Cloud-Zertifikate müssen sich jedoch noch weiter entwickeln, um mehr Vergleichbarkeit und Einheitlichkeit zu erreichen.

Im Angebot: Eine Fülle von Ratings und Benchmarks zu Cloud Computing

Hilfe versprechen die sogenannten Cloud-Ratings. Neben den Benchmark-Studien der verschiedenen Analystenhäuser gibt es eine Vielzahl von Rating-Plattformen im Internet. Als Beispiele seien genannt: Ascamso, CloudHarmony, Cloudorado, Cloudwards, RightScale Cloud Comparison, SoftwareInsider und WhatMatrix.

Ascamso zum Beispiel stellt sein Rating-Modell ausführlich vor, das SaaS Rating und das IaaS Rating. Wie ein Beispiel-Rating zeigt, werden Kriterien wie Data Center Quality, Location, Access und Operation Security berücksichtigt. Wichtig ist es generell bei Benchmarks und Ratings, dass die Gewichtung des jeweiligen Analysten nicht zwingend die des Anwenders sein muss. Es lohnt sich also, die Gewichtungen genau zu betrachten.

Cloudwards konzentriert sich bei Business Cloud Storage insbesondere auf die Auswertung von Features wie File Syncing, NAS Backup, Mobile Access, Phone Support, File Sharing, Server Backup und 24/7 Support. Spezielle Aussagen zu Security oder Compliance findet man als Nutzer in der Übersicht nicht. Die TopTenReviews berücksichtigen bei Cloud Services Kriterien wie Passwortschutz, Verschlüsselung und Support, wichtige Punkte, doch weitere Kriterien wären aus Compliance-Sicht zu hinterfragen. SoftwareInsider nennt als Kriterien für den Vergleich von Cloud-Providern neben den sicherheitsrelevanten Diensten Firewalls und Disaster Recovery insbesondere die Cloud-Regionen.

WhatMatrix geht bei seinen Ratings ins Detail und betrachtet einzelne Sicherheits- und Compliance-Funktionen der Cloud-Provider. Darunter befinden sich Reportings, Support, Bereiche aus dem Identity and Access Management, Unterstützung von Verzeichnissen und Protokollen, Verschlüsselung, Integration mit Sicherheitsprodukten, um einige Beispiele zu nennen.

Cloudorado geht zudem den weiteren Schritt, neben Standorten und Sicherheitsfunktionen auch explizit die Compliance-Vorgaben zu benennen, die der Cloud-Provider erfüllt. Zu den Kriterien zählen

Encrypted Storage, VPN, Firewall, aber auch ISO/IEC 27001, SSAE 16 (former SAS 70 Type II), HIPAA Compilant, FISMA Compilant oder PCI DSS. Auch RightScale Cloud Comparison sieht umfangreiche Compliance-Kriterien vor, darunter CSA, EU Model Clauses, FISMA, HIPAA, ISO 27001, ISO 27017, ISO 27018 und PCI DSS, ebenso Kriterien aus dem Bereich Sicherheit und Cloud-Standort.

Somit können bestimmte Cloud-Ratings durchaus bei der Cloud-Auswahl unterstützen, auch aus Compliance-Sicht. Generell sollte man allerdings darauf achten, wie aktuell die Ratings der verschiedenen Plattformen denn sind, woher die Angaben stammen (ggf. Selbstauskunft der Provider) und ob die eigenen Compliance-Anforderungen auch abgedeckt werden.

Suche nach Cloud-Anbieter: Compliance muss stärker in den Fokus

Wie wichtig ist es, die Cloud-Nutzer noch stärker im Bereich Cloud-Compliance zu unterstützen, zeigt auch die Blue Coat Elastica Studie „Shadow Data Threat Report 1HJ 2016“.  Demnach sind die meisten der von Unternehmen genutzten Cloud-Anwendungen nicht Compliance-konform. Cloud-Ratings und Cloud-Zertifizierungen können und sollten hier in naher Zukunft für Veränderung sorgen, damit die Cloud-Nutzung nicht zum kritischen Compliance-Problem vieler Unternehmen wird.

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

15 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

19 Stunden ago