Anbieter von Cloud-Zertifikaten und Standards

Weltweit gibt es schätzungsweise rund 150 Prüfsiegel für Cloud-Angebote. Die meisten davon dürften aber so gut wie keine Rolle spielen. Zu dem bekanntesten Prüforganisationen hierzulande gehören TÜV Rheinland, Cloud Ecosystem und EuroCloud Europe. Auch das Bundesministerium für Wirtschaft und Energie mischt mit: Das Trusted Cloud Label soll vertrauenswürdige Cloud-Dienste auszeichnen.

Laut René Büst, Senior Analyst und Cloud Practice Lead bei dem Beratungsunternehmen Crisp Research, sollte man sich genau ansehen, wer ein Zertifikat vergibt – eine Institution oder ein Interessenverband: „Hierbei sollten die Interessenverbände eher als Clubs von Anbietern betrachtet werden, deren ,Zertifikate‘ keine Sicherheit bei der Auswahl oder Qualität des Services bieten.“ Bei den Prüfsiegeln, die Interessenverbände vergeben, handele es sich häufig mehr um Marketingmaterial als um einen echten Hinweis auf die Qualität eines  Dienstes.

Dennoch lässt sich sagen: Wer sich für einen zertifizierten Dienst entscheidet, kann sicher sein, dass dieser einige Mindestanforderungen erfüllt, etwa was die Sicherheit betrifft.

Übrigens: Wenn ein Cloud-Dienst über keine Zertifizierung verfügt, dann bedeutet das nicht, dass es sich dabei um einen schlechten Dienst handelt. Die Großen der Branche wie Amazon, Google, Microsoft & Co. scheren sich gar nicht erst um irgendwelche Prüfsiegel, sie verzichten einfach darauf.

Wer auf der Suche nach einem Cloud-Anbieter ist, sollte, statt allzu sehr auf Prüfsiegel zu setzen, darauf achten, dass dieser eine ISO-Zertifizierung nach ISO/IEC27001 vorweisen kann. Sie hat am meisten Gewicht und wird auch beim IT-Grundschutz-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) berücksichtigt.

Bei ISO/IEC27001 handelt es sich um keine spezifische Cloud-Zertifizierung. Der ISO/IEC27001-Katalog besteht aus knapp 150 Anforderungen rund um Datensicherheit, Prozesse und Abläufe innerhalb des Unternehmens. So ist der Aufbau eines IT-Security-Management-Systems (ISMS) Voraussetzung für eine Zertifizierung. Ein ISMS legt Verfahren, Prozesse und Maßnahmen fest, die ein bestimmtes IT-Sicherheitsniveau garantieren.

Vorletztes Jahr erfuhr der ISO-Standard eine Erweiterung: ISO/IEC27018. Diese ist auf Cloud-Dienste abgestimmt und regelt den Datenschutz in der Cloud. Im Vordergrund steht zum Beispiel der Schutz von Kundendaten.

Eine Zertifizierung nach ISO/IEC27018 ist jedoch noch nicht möglich. Die Erweiterung ist derzeit noch eine Zusammenstellung von Umsetzungsempfehlungen, nicht aber ein Anforderungskatalog, der in einem Audit geprüft werden könnte.

Wenn also ein Unternehmen also damit wirbt, nach ISO/IEC27018 zertifiziert zu sein, dann ist damit eine ISO/IEC27001-Zertifizierung gemeint, bei der zusätzlich die Umsetzungsempfehlungen aus ISO/IEC 27018 Berücksichtigung fanden.