Home Publikationen Fachartikel

Cloud-Zertifikate: Stochern im Nebel

Welches der zahlreichen Cloud-Gütesiegel und -Zertifikate steht wofür, welches passt für die eigenen Ansprüche – und welches ist vertrauenswürdig? Sebastian Dosch lichtet den Nebel.

Wie man einen zuverlässigen Cloud-Anbieter erkennt

Beim Wochenendeinkauf sind wir es gewohnt, auf Gütesiegel zu achten: Wir kaufen nur Fairtrade-Kaffee, Spielzeug mit dem GS-Zeichen und Wandfarbe, auf der der Blaue Engel prangt. Schwieriger wird es schon bei Bio-Produkten, da viele verschiedene Logos und Siegel die Auswahl erschweren: Ist das EU-Bio-Logo besser oder das Bio-Siegel nach EG-Öko-Verordnung? Richtig nebulös wird es aber bei der Suche nach zertifizierten Cloud-Anbietern. Welches der zahlreichen Gütesiegel und Zertifikate steht wofür, welches passt für die eigenen Ansprüche – und welches ist vertrauenswürdig? Sebastian Dosch lichtet den Nebel rund um Cloud-Zertifikate.

Anknüpfungspunkte für eine erste Bestandsaufnahme sind die Eigendarstellung der Zertifikatsanbieter im Internet, die Zahl der vergebenen und genutzten Zertifikate sowie die Liste der Unterstützer und Partner. Manchmal lohnt sich auch der Blick in das Impressum der Website – so wird beispielsweise beim durchaus seriös klingenden Gütesiegel „German Cloud“ klar, dass dahinter eine GmbH in Liquidation steckt. Das lässt das Zertifikat nur wenig vertrauenswürdig erscheinen.

Einige Label werden nach einem Self-Assessment vergeben, andere erst nach einem unabhängigen Audit – und manche gibt es entsprechend in verschiedenen Abstufungen. Die meisten Gütesiegel basieren unter anderem auf der Abfrage bereits bestehender Zertifikate: So ist es für die Cloud-Provider von Nutzen, nach ISO 27001 oder ISO 27017 im Bereich Informationssicherheit zertifiziert zu sein, einen SOC-2-Report vorlegen zu können oder den BSI-Grundschutz zu befolgen.

Eine Auswahl acht deutscher und internationaler Gütesiegel hat unser Berater Sebastian Dosch unter die Lupe genommen. Die Reihenfolge entspricht keiner Bewertung, sondern ist zufällig.

•    „Certified Cloud Service“ vom TÜV Rheinland
Diese Zertifizierung hat den Vorteil, dass der TÜV Rheinland schon lange bekannt ist und so ein gewisses Vertrauen genießt. Die Werbewirkung des Logos ist daher als bedeutsam einzustufen. Prominente Zertifikatinhaber sind derzeit z. B. die Deutsche Telekom AG oder salesforce.com.
[...]

•    „CIF certified“ vom Cloud Industry Forum
Das englische Cloud Industry Forum arbeitet auf Ebene der Europäischen Kommission an einer Standardisierung im Bereich Cloud Computing. Sein Code of Practice (CoP) stellt ein umfassendes Framework dar, das Service-Providern ermöglicht, ihre Services mit Best-Practice-Standards abzugleichen.
[...]

•    „CSA STAR“ von der Cloud Security Alliance
Die amerikanische Cloud Security Alliance (CSA) bietet ein dreistufiges Zertifizierungssystem an. Die unterste Stufe bildet ein Self-Assessment, in dem die Einhaltung der sogenannten Cloud Controls Matrix (CCM) nachgewiesen werden muss. Dieses von der CSA erstellte Framework beinhaltet Kontrollregelungen im Bereich Informationssicherheit in der Cloud-Industrie. Auf Stufe 2 kommen Audits unterschiedlicher Herkunft hinzu – so muss beispielsweise zum Erreichen der „STAR Attestation“ ein SOC-2-Report vorgelegt werden. Eine kontinuierliche Auditierung führt schließlich auf Stufe 3 zum Erwerb des Zertifikats „STAR Continuous“.
[...]

•    Label Cloud der France-IT
Das Gütesiegel „Label Cloud“ wird Anbietern verliehen, die nachweisen, dass sie Best-Practice-Standards anwenden. Hierbei gibt es drei Stufen der Zertifizierung: „Initial“ entspricht einem Self-Assessment, „confirmé“ zeigt an, dass der Dienstleister sich durch einen selbst gewählten Auditor hat prüfen lassen, und die Stufe „expert“ erhält nur, wer umfänglich vor Ort geprüft worden ist.
[...]

•    StarAudit von EuroCloud
EuroCloud bietet ein Self-Assessment-Tool an, mit dessen Hilfe die Cloud-Anbieter prüfen können, ob sie dem durch EuroCloud entwickelten Kriterienkatalog entsprechen. Drei, vier oder fünf Sterne drücken dann – wie bei einer Hotelbewertung – den Reife- und Compliance-Grad hinsichtlich dieses Kriterienkatalogs aus.
[...]

•    Trusted Cloud vom Kompetenznetzwerk Trusted Cloud e.V.
Der Trusted-Cloud-Kriterienkatalog für Cloud Services definiert die Mindestanforderungen, die ein Cloud Service zur Erlangung des Trusted-Cloud-Labels und damit für die Listung auf dem Trusted-Cloud-Portal erfüllen muss. Dieser Kriterienkatalog ist öffentlich zugänglich und gliedert sich in die Abschnitte Anbieter, Service, Subunternehmer/Rechenzentren, Zertifikate, Vertrag, Sicherheit, Datenschutz/Compliance, operative Prozesse, Interoperabilität/Portabilität und Architektur. Über die Listung von Cloud Services entscheidet der unabhängig besetzte Trusted-Cloud-Beirat.
[...]

•    Trusted Cloud Service des TÜV TRUST IT
Die österreichische TÜV AUSTRIA bietet eine Bewertung von Cloud Services in den Kategorien IT-Sicherheit, Betrieb und Datenschutz an. Der Anforderungskatalog basiert auf Best-Practice-Lösungen und Standards wie ISO 27001, ISO 27018, COBIT, ITIL oder IDW PS. Nach einem initialen Workshop erfolgt eine umfassende Prüfung des Services im Zertifizierungsaudit. Der abschließende Ergebnisbericht listet Maßnahmenvorschläge auf und mündet dann im Zertifikat mit Prüfsiegel.
[...]

•    Trust in Cloud von Cloud Ecosystem
Cloud Ecosystem prüft SaaS- und IaaS-Anbieter, aber auch Cloud Professionals und bietet entsprechende Gütesiegel an. Dabei wird das Standard-Zertifikat „Trust in Cloud“ nach einem Self-Assessment vergeben, bei dem 24 von 30 Prüfpunkten einer Checkliste erfüllt sein müssen; zudem sind vier Referenzen anzugeben. Beim erweiterten Gütesiegel „Trust in Cloud Excellence“ steigt die Anzahl der Prüfpunkte auf 100, die zudem von einem externen Auditor abgenommen werden müssen.
[...]

Weitere Zertifikate beschränken sich vorrangig auf die Prüfung einzelner Themen, etwa Datenschutz (European Privacy Seal, Trusted Cloud Datenschutz-Profil für Cloud-Dienste, TRUSTe Enterprise Privacy Certifications – hier ist auch der Entwurf zur ISO 27018 „Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung“ zu beachten) oder Buchhaltungssysteme (Keurmerk Zeker-OnLine). Und manche haben durchaus Potenzial, befinden sich aber noch in der Entwicklung (Cloud Confidence, ESCloud, NGCert des Fraunhofer AISEC).

Sowohl Cloud-Provider als auch Cloud-Interessenten haben also derzeit die Qual der Wahl. Vielleicht hilft die Übersicht dabei, den Nebel zu lichten und bei der Entscheidung für den einen oder anderen Anbieter. Doch erst die nächsten Monate und Jahre werden zeigen, welche Gütesiegel sich im Markt durchsetzen und als Standards etablieren werden.

Artikel empfehlen