BSI C5, ISO 27001 und ISO 27018

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Anforderungskatalog entwickelt, der Kriterien an die Cloud-Sicherheit beschreibt, die nach Ansicht des BSI nicht unterschritten werden sollten. Der sogenannte Cloud Computing Compliance Controls Catalogue, kurz C5, ist in insgesamt 17 thematische Bereiche unterteilt, etwa Organisation der Informationssicherheit, Identitäts- und Berechtigungsmanagement, Compliance und Datenschutz. Der Katalog basiert auf etablierten Standards wie ISO/IEC 27001:2013.

Ein Cloud-Anbieter kann die Einhaltung der C5-Mindeststandards anhand eines SOC-2-Berichts nachweisen. Diese Service-Organization-Control-Berichte sind Rahmenwerke, die das amerikanische Institut für Wirtschaftsprüfer (AICPA) als De-facto-Standards entwickelt hat, um Dienstleister oder Service-Organisationen nach festgelegten Regeln zu prüfen. Der Vorteil eines solchen SOC-2-Berichts für den Cloud-Anbieter: Die Wirtschaftsprüfer sind bei der Prüfung des Jahresabschlusses bereits im Unternehmen und können dann auch gleich eine Auditierung nach dem C5-Anforderungskatalog vornehmen.

Der Cloud-Dienstleister erhält bei erfolgreicher Prüfung jedoch kein Zertifikat, sondern ein Testat. Der Hintergrund: Da das Cloud-Computing international aufgestellt ist, hat das BSI darauf verzichtet, ein weiteres nationales Zertifikat einzuführen.

Die ISO-Norm ISO/IEC 27001 ist ein Katalog aus knapp 150 Anforderungen rund um Datensicherheit, Prozesse und Abläufe innerhalb eines Unternehmens, die ein bestimmtes IT-Sicherheitsniveau garantieren. Dabei handelt es sich zwar um keine cloudspezifische Norm, sie hat aber am meisten Gewicht und wird auch beim IT-Grundschutz-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) berücksichtigt. Auch große Cloud-Anbieter wie Amazon, Google und Microsoft lassen ihre Dienste in Hinblick auf diese ISO-Norm prüfen.

2014 führte die International Organization for Standardization (ISO) die Erweiterung ISO/IEC 27018:2014 ein, einen Anhang zu ISO/IEC 27001. Diese ist auf Cloud-Dienste abgestimmt und regelt den Datenschutz in der Cloud. Im Vordergrund steht zum Beispiel der Schutz von Kundendaten.

Cloud-Kunden sollten vor der Wahl eines Cloud-Dienstleisters trotz Werbung mit Zertifizierungen genau hinsehen, welche Kriterien das jeweilige Zertifikat voraussetzt und wer es vergeben hat – eine bekannte Institution oder etwa ein Interessenverband, von dem man bis dato kaum etwas gehört hat. Trotz alledem kann man als Unternehmen, das sich für einen zertifizierten Dienst entscheidet, halbwegs sicher sein, dass der Dienst wenigstens einige Mindestanforderungen in Bezug auf die Sicherheit erfüllt. Wenn ein Cloud-Dienst über kein Prüfsiegel verfügt, dann bedeutet das wiederum auch nicht, dass es sich um einen schlechten Dienst handelt.

Nach Einschätzung von Frank Türling präsentieren sich die guten und empfehlenswerten Public-Cloud-Anbieter bereits sehr positiv. Die Spreu sollte sich so also ganz gut vom Weizen trennen lassen.

Anstatt nur auf Prüfsiegel zu achten, lohnt es sich auch, sicherzustellen, dass ein Wechsel des Cloud-Anbieters jederzeit möglich ist. Denn echte Cloud-Standards gibt es nicht, vielmehr dominieren mehrere De-facto-Standards den Markt. Was aber, wenn ein Unternehmen seine Daten und Anwendungen wieder ins eigene Rechenzentrum zurückholen möchte? Oder wenn man den Anbieter wechseln will, weil ein anderer günstiger ist? Ein weiteres Szenario: Das Unternehmen plant die parallele Nutzung mehrerer Dienste – beim Anbieter A sollen Daten verarbeitet und dann in der Cloud des Anbieters B weiterverarbeitet werden. Jeder Cloud-Anbieter verwendet eigene Technologien. Vielfach sind die Dienste untereinander inkompatibel.

Frank Strecker empfiehlt Unternehmen, auf Cloud-Dienste zu setzen, die Open-Source-Architekturen wie OpenStack verwenden. Der größte Vorteil von Open Source: Man muss keinen Vendor-Lock-in fürchten, also die Abhängigkeit von einem Anbieter. Wenn beide Cloud-Anbieter – der aktuelle sowie der neue Dienstleister – zum Beispiel das Open-Source-Projekt OpenStack unterstützen, dann ist ein Wechsel meist jederzeit möglich. Sein Re­sü­mee: „Dank OpenStack hat jeder Anwender zu jeder Zeit die Option, seine Daten zwischen unterschiedlichen Providern zu bewegen, und bleibt so stets flexibel.“