Bieten deutsche Clouds wirklich mehr Schutz?
Cloud-Zertifikate schaffen mehr Vertrauen
von Harald Töpfer - 07.04.2015
Mehrere Initiativen versuchen, durch Zertifizierungen, Audits und Prüfsiegel Rechtssicherheit und Vertrauen in die Dienstleistungen der Cloud-Anbieter zu schaffen. Zu nennen wären etwa das EuroCloud Star Audit (ECSA) von EuroCloud Europe (ECE), einem Verband, zu dem auch EuroCloud Deutschland_eco gehört, das Siegel Certified Cloud Services des TÜV Rheinland, die Zertifizierung nach ISO/IEC 27001 oder auch das Zertifikat German Cloud von Cloud Ecosystem.
Cloud-Zertifikate (Auswahl) |
||
Anbieter |
Zertifikat |
Typ |
EuroCloud Star Audit (ECSA) |
Audit |
|
German Cloud |
Audit |
|
Certified Cloud Service |
Audit |
|
ISO/IEC 27001 |
Audit |
|
ECSA Self Assessment |
Self Assessment |
|
Trust in Cloud |
Self Assessment |
Zertifikate unabhängiger Prüfstellen sollen die Leistungen der Cloud-Anbieter transparenter machen und das Vertrauen in deren Dienstleistungen stärken.
Diese Prüfzeichen umfassen ein umfangreiches und nicht ganz billiges Audit durch unabhängige Prüfer. Einfacher und kostengünstiger für die Anbieter, aber natürlich auch weniger aussagekräftig für den Kunden, sind Siegel, die auf sogenannten Self Assessments beruhen, also einer Selbstauskunft des Anbieters. So bietet die ECE das ECSA-Siegel auch in einer Self-Assessment-Variante an, bei Cloud Ecosystem nennt sich diese Variante Trust in Cloud.
Stefan Ried, CTO bei Unify: „Ein Hersteller, der seine Cloud nur in Deutschland anbietet, ist nicht überlebensfähig.“
Im September 2010 als Wettbewerb gestartet, soll das Programm Kriterien für eine einheitliche Bewertung von Cloud-Diensten schaffen, um so das Angebot besser vergleichbar zu machen. Im Mittelpunkt steht dabei die Entwicklung und Erprobung innovativer, sicherer und rechtskonformer Cloud-Computing-Lösungen für den Mittelstand.
Die Vielzahl der Siegel macht es allerdings schwer, einen Überblick zu gewinnen. Prinzipiell lässt sich aber sagen, dass man mit der Wahl eines auditierten Unternehmens wenig falsch machen kann. Bei den durch Selbstauskunft erlangten Zertifikaten sollte der Kunde genauer hinschauen und sich die Einhaltung aller relevanten Vorschriften im Vertrag garantieren lassen.
Liegen gar keine Zertifizierungen oder Siegel vor, lässt dies nicht zwingend auf mangelhafte Dienstleistung oder Datensicherung schließen. Es bedeutet allerdings, dass der Auftraggeber sehr genau prüfen muss, ob alle rechtlichen Rahmenbedingungen eingehalten werden. Das ist eine Aufgabe, die vor allem kleinere Unternehmen nicht allein stemmen können. Sie sollten sich auf jeden Fall Hilfe bei einem fachkundigen Systemhaus suchen.
Nicht alle von com! professional befragten Marktexperten finden übrigens das Konzept Deutschland-Cloud sinnvoll. „Einer Cloud Grenzen zu setzen ist ziemlich unproduktiv, das will keiner“, sagt Frank Türling vom Cloud Ecosystem. Die Diskussion um das Thema Cloud und Datensicherheit werde in Deutschland ziemlich emotional geführt, so Türling weiter: „Ich habe durchaus auch Zutrauen zu amerikanischen Anbietern, sofern die Sicherheitskriterien erfüllt sind.“ Dem pflichtet Microsoft-Justiziarin Richters bei: „Die Deutschland-Cloud ist grundsätzlich nicht anders zu bewerten als die Cloud mit Rechenzentren in anderen Ländern. Hält sich ein Anbieter auf physikalischer und virtueller Ebene an seine Zusagen zur Informationssicherheit, ist der Standort unerheblich.“
Auch Stefan Ried von Unify hält nicht viel von lokalen Cloud-Konzepten: „Eine Cloud lebt von einer globalen Innovationskraft und Skalen-Effekten. Ein Hersteller, der seine Cloud nur in Deutschland anbietet, ist nicht überlebensfähig.“ Besonders hart geht Andreas Weiss vom Verband EuroCloud Deutschland_eco mit dem Konzept ins Gericht: „Wir verbauen uns mit solchen nationalen Sichtweisen die Potenziale für Deutschland als Exportnation.“