Wahl des Cloud-Anbieters

Cloud-Zertifikaten fehlt Aussagekraft

von - 27.09.2016
Arbeit mit der Cloud
Foto: Rawpixel.com / Shutterstock.com
Zertifikate dienen als Orientierungshilfe beim Umstieg in die Cloud und sollen ein Prädikat für Sicherheit und Zuverlässigkeit darstellen. Aber was taugen sie wirklich?
Cloud-Computing ist mittlerweile in vielen Unternehmen Standard. In den IT-Abteilungen stellt sich schon lange nicht mehr die Frage, Cloud ja oder nein, sondern vielmehr, welche Cloud es sein soll. Laut den Analysten von IDC nutzen oder planen rund sechs von zehn deutschen Unternehmen den Einsatz von Cloud-Diensten.
Cloud-Monitor
Quelle: KPMG „Cloud-Monitor 2016“
Dem Cloud-Boom zum Trotz: Oft genug tun sich Unternehmen noch schwer damit, Daten in die Cloud auszulagern. Vor allem die Wahl des Anbieters stellt viele vor Herausforderungen. Besonders Mittelständler, deren überschaubare IT-Abteilungen keine oder nur wenig Cloud-Erfahrung haben, wissen nicht, für welchen Anbieter sie sich entscheiden sollen. Was für einem Cloud-Dienst kann man vertrauen und wo liegen die Daten – das sind nur zwei der Fragen, die sich IT-Verantwortliche stellen.
In Zeiten von Enthüllungen diverser staatlicher Schnüffelaktionen brauchen vor allem ausländische Cloud-Anbieter starke Argumente, um das Vertrauen deutscher Unternehmen zu gewinnen. So sind laut IDC für 57 Prozent von ihnen das deutsche Vertragsrecht und für 47 Prozent ein Rechenzentrum im Inland die wichtigsten Kriterien bei der Auswahl eines Anbieters.
Für Orientierung auf dem undurchsichtigen Cloud-Markt sollen Zertifikate sorgen. Zahlreiche Organisationen bieten Prüfsiegel für Cloud-Dienste an und wollen so Rechtssicherheit und Vertrauen schaffen. Die Zertifizierungsstellen prüfen etwa die Sicherheit der Rechenzentren sowie die Vertragsbedingungen.

Cloud-Zertifikate in der Praxis

Wenn sich ein Cloud-Anbieter zertifizieren lassen möchte, dann schaut ihm eine Zertifizierungsstelle in die Karten und bewertet seine Leistungen anhand eines Katalogs. Erfüllt der Cloud-Anbieter die Mindestanforderungen der Zertifizierungsstelle, erhält er von dieser ein Zertifikat. Mit diesem Zertifikat kann der Anbieter dann werben.
Wissen sollte man, dass es für Cloud-Zertifikate keinen weltweit gültigen Standard gibt. Jede Organisation kann für ihr Prüfsiegel eigene Kriterien festlegen. Die Qualität eines Zertifikats steht und fällt also damit, welche Maßstäbe eine Organisation für das Prüfsiegel anlegt.

Cloud-Zertifikate (Auswahl)

Anbieter

Zertifikat

Typ

Cloud Ecosystem

German Cloud

Audit

Trust in Cloud

Self-Assessment

Eurocloud Europe (ECE)

ECSA Self Assessment

Self-Assessment

EuroCloud Star Audit (ECSA)

Audit

Trusted Cloud

Trusted Cloud Label

Self-Assessment

TÜV Rheinland

Certified Cloud Service

Audit

TÜV Rheinland, Cloud Ecosystem oder ein Projekt des Bundeswirtschaftsministeriums – Prüfsiegel für Cloud-Dienste gibt es in Deutschland etliche.
Man unterscheidet zwischen zwei Varianten von Zertifikaten: dem Audit und dem Self-Assessment. Bei einem Audit checkt ein unabhängiger Prüfer der Zertifizierungsorganisa­tion, ob bei einem Cloud-Dienst die genannten Voraussetzungen gegeben sind. Ein Audit ist für den Cloud-Anbieter kein kostengünstiges Unterfangen.
Bei Self-Assessments wird das Prüfsiegel allein anhand einer Selbstauskunft des Cloud-Anbieters vergeben. Er beantwortet quasi einen Fragenkatalog – und wenn die Mindestanforderungen erfüllt sind, gibt es das Prüf­siegel. Self-Assessments sind für den Anbieter kostengünstiger, allerdings muss der Kunde darauf vertrauen, dass dieser bei der Beantwortung des Fragenkatalogs nicht geschummelt hat.
Verwandte Themen