Sicherheitsstandards für die Cloud Wie Europas Gesetzgeber Cloud-Nutzer schützen

Von Falk Weinreich*

Die Sicherheit der Cloud steht nicht nur bei den Anbietern, sondern auch bei der Politik im Fokus. Da es bis heute keine EU-weit einheitliche Regulierung entsprechender Sicherheitsstandards gibt, setzen die einzelnen Mitgliedsstaaten auf eigene Gesetze und Regularien.

Anbieter zum Thema

Zertifikate sagen viel aus über die Art der Schutzausrüstung, wie Cloud-Anbieter die Daten der Nutzer sichern sowie Datenschutz und Compliance gewährleisten.
Zertifikate sagen viel aus über die Art der Schutzausrüstung, wie Cloud-Anbieter die Daten der Nutzer sichern sowie Datenschutz und Compliance gewährleisten.
(Bild: nipastock - stock.adobe.com)

Das bedeutet: Auch die Compliance der Unternehmen muss sich hier auf die bestehenden Unterschiede einstellen. In Deutschland stehen fünf „C“ für die entsprechenden Anforderungen: Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) spezifiziert die Mindestanforderungen an sicheres Cloud Computing und richtet sich gleichermaßen an Cloud-Anbieter und deren Kunden.

Einige Unternehmen konnten sich die C5-Zertifizierung bereits sichern – unter ihnen auch OVHcloud, einer der führenden Anbieter in diesem Bereich. Dabei steht die Zertifizierung nicht nur für die Bestätigung, dass der jeweilige Provider gut aufgestellt ist. Sie ist auch und vor allem eine Orientierungshilfe für Unternehmen und Organisationen, wenn es um die Wahl eines geeigneten Cloud-Anbieters geht – hochrelevant nicht zuletzt bei öffentlichen Ausschreibungen.

C5: Orientierungshilfe für Anwender

Das C5-Regelwerk des BSI besteht vor allem aus einer Auflistung von Sicherheitskontrollmechanismen, die von der Bundesbehörde entwickelt wurden. Erstmals 2016 veröffentlicht und 2019 überarbeitet, hat sich der Forderungskatalog inzwischen durchgesetzt und erfreut sich einer hohen Akzeptanz – mehr als ein Dutzend Testate wurden bislang ausgestellt und sichern somit die verlässliche Einhaltung sicherheitsrelevanter Standards.

Entwickelt und implementiert wurde C5 als Alternative bzw. Nachfolger einer Vielzahl verschiedener Regelwerke, die zuvor die Sicherheit der Cloud gewährleisten sollten. Dazu gehörten die ISO-Regelungen 27001, 27002 und 27017 sowie die Cloud Control Matrix (CCM) der Cloud Security Alliance (CSA).

Mit C5 liegt nun seit fünf Jahren ein einheitliches Kompendium der maßgeblichen Sicherheitsanforderungen vor – eines, das immer stärker an Relevanz gewinnt. Angesichts der Perspektive, dass 2020 mit über 80 Prozent die überwältigende Mehrheit der Unternehmen die Cloud nutzte und die Hälfte davon jährlich im Schnitt mehr als eine Million Euro für entsprechende Services ausgibt, gehört die Frage nach maximaler Sicherheit und Datenschutz zu den dringendsten.

C5 gibt die Antworten. Jene, die C5-zertifiziert sind, können sich hier guten Gewissens als sichere und datendiskrete Unternehmen präsentieren. Kunden bietet C5 die Möglichkeit eines eigenen, qualifizierten Risikomanagements bei der Auswahl von Cloud-Anbietern.

Europäischer Flickenteppich

Gerade für international aktive Unternehmen stellen sich jedoch die im Detail unterschiedlichen Regelungen in den einzelnen Ländern durchaus als Problem dar. Eine C5-Zertifizierung in Deutschland gilt für Kunden im Ausland nur schwer als Auswahlargument. Wie sieht es etwa in Italien oder Frankreich aus? Oder gar in einem Nicht-EU-Land wie Großbritannien?

Frankreich: SecNumCloud für Behörden, Provider und Systemintegratoren
In Frankreich gilt die SecNumCloud-Regelung der Agence nationale de la sécurité des systèmes d’information (ANSSI). Wer diesen Regeln entspricht, demonstriert damit seine Regelkonformität im Hinblick auf IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) sowie SaaS (Software-as-a-Service). Die SecNumCloud-Zertifizierung steht für Sicherheit durch Resilienz und die Fähigkeit, auch anspruchsvolle Cyberangriffe abwehren zu können, sowie für Vertrauen durch langfristige Datenschutz-Compliance. Die Regelung richtet sich an öffentliche Körperschaften, essenzielle Versorger sowie Anbieter digitaler Dienste – und natürlich an die entsprechenden Software-/SaaS-Anbieter und Systemintegratoren.

Italien: AGID-Compliance als Resilienznachweis
In Italien fokussieren die Bestimmungen der Agenzia per l’Italia Digitale (AGID), der nationalen IT-Aufsichtsbehörde, im Kern vor allem auf zwei Arten von Anforderungen: unternehmensspezifische und anderweitig spezifizierte. Die unternehmens- bzw. organisationsspezifischen Bedingungen umfassen die nachgewiesene Fähigkeit, kritische Situationen souverän zu bewältigen, ein leistungsfähiges Qualitätsmanagement, einen 24/7-Kundenservice sowie die Adaption definierter Prozesse – unter anderem in den Bereichen Change-, Konfigurations- und Incident-Management – und eine maximale Transparenz bei Vertragsabschlüssen.
Die anderweitig spezifizierten Anforderungen der italienischen Regulierung beinhalten Sicherheits- und Datenschutzregeln, Bedingungen für Performance und Skalierbarkeit, eine Service-Qualitätsgarantie über den gesamten Lebenszyklus hinweg sowie Interoperabilität und Portabilität.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Großbritannien: G-Cloud vor allem für öffentliche Einrichtungen
In Großbritannien schließlich gibt es die Regierungsinitiative G-Cloud, bei der das „G“ für „Government“ steht. Diese richtet sich vor allem an Behörden und regierungsamtliche Institutionen. Sie gilt für vier Kernbereiche: „Data in Transit Protection“, „Asset Protection and Resilience“, „Separation between Consumers“ sowie „Governance Framework“. Durch diese Kernbereiche deckt das Regelwerk die wesentlichen Sicherheitsaspekte bei einer Adaption von Cloud-Lösungen durch öffentliche Einrichtungen ab – mit dem Ziel, ebendiese landesweit zu fördern und das Cloud Computing zum Behördenstandard zu machen. Die Regelungen waren 2014 überarbeitet und angepasst worden – zusammen mit einer vereinfachten Klassifizierung in drei anstelle der vorher bestehenden sechs Kategorien: „Official“, „Secret“ sowie „Top Secret“.

Jedes dieser Regelwerke beinhaltet eigene Charakteristika, Schwerpunkte und Detaillösungen, sodass in der gesamteuropäischen Draufsicht eher ein Flickenteppich als ein grenzübergreifender Minimalstandard existiert. Für Anbieter bedeutet das: Was in einem Land ausschlaggebend ist, muss es nicht zwangsläufig auch in einem anderen sein – sodass es in vielen Fällen komplexer Anpassungsmaßnahmen bedarf, um die entsprechenden Zertifizierungen in den unterschiedlichen Märkten zu erhalten.

Falk Weinreich, OVHcloud Deutschland.
Falk Weinreich, OVHcloud Deutschland.
(Bild: OVHcloud)

Von großem Vorteil ist es dabei natürlich, wenn ein Unternehmen bereits selbst hohe Anforderungen an sein Cloud-Angebot stellt. Solange es keinen europäischen Standard gibt, auf den international tätige Kunden setzen können, müssen diese bei der Anbieterwahl darauf achten, dass die genutzten Cloud-Lösungen über Zertifizierungen in allen relevanten Märkten verfügen. Nur so ist sichergestellt, dass Compliance und Sicherheit überall gewährleistet sind.

* Der Autor Falk Weinreich ist General Manager Central Europe bei OVHcloud.

eBook zum Thema

Cloud-Zertifizierung

eBook Cloud-Zertifizierung
(Bildquelle: CloudComputing-Insider)

Noch immer zögern IT-Entscheider, Cloud-Dienste im vollen Umfang oder sogar überhaupt zu nutzen. Ein wesentlicher Grund sind die Bedenken hinsichtlich Compliance und Datenschutz in der Cloud. Cloud-Anbieter müssen deshalb für mehr Vertrauen und Transparenz sorgen. Eine gute Möglichkeit dafür bieten Cloud-Zertifizierungen.

  • Die Frage nach Datenschutz und Compliance in der Cloud
  • Welche Unterschiede es bei Cloud-Zertifikaten gibt
  • Worauf es bei Cloud-Zertifikaten ankommt

(ID:47886800)