Kommt jetzt das einheitliche Cloud-Zertifikat?

Ein neues „ISO-Datenschutz-Zertifikat“ soll die Auswahl des Cloud-Anbieters erleichtern, so wird berichtet. Doch bieten das nicht bereits bestehende Cloud-Zertifikate? Welche Unterschiede gibt es? ZDNet hat nachgefragt.

Cloud Computing entwickelt sich zum Standard in deutschen Firmen, so das Ergebnis einer aktuellen Befragung von PwC und ISACA Germany Chapter. 70 Prozent der deutschen Unternehmen nutzen Cloud-Dienste. Trotzdem stehen über die Hälfte der Fachbereiche für IT-Sicherheit und Datenschutz dem Cloud Computing eher skeptisch gegenüber. Gerade im Hinblick auf Public Clouds gibt es Vorbehalte.

Erschwerend kommt hinzu, dass der Datenschutz dem Cloud-Anwender eine Kontrollpflicht auferlegt, da es sich bei Cloud Computing in aller Regel um Auftragsdatenverarbeitung handelt, bei der der Auftraggeber und damit der Cloud-Nutzer in der Verantwortung bleibt. Ein deutsches Cloud-Zertifikat soll nun das notwendige Vertrauen in die Cloud schaffen: In Zukunft könne dadurch jedes Unternehmen, das Daten auslagert, sicher sein, dass die eigenen Compliance-Vorgaben auch vom Cloud-Dienstleister eingehalten werden, so eine Meldung von Uniscon.

Cloud-Computing (Bild: Shutterstock)Möglich machen soll es insbesondere die ISO/IEC-Norm 27018, ein neuer, internationaler Standard für den Datenschutz in der Cloud, und die darauf aufbauende Datenschutzzertifizierung „Trusted Cloud Datenschutzprofil“ (TCDP). Das TCDP soll nun im Rahmen eines Folgeprojekts des BMWi getestet und erforderlichenfalls weiterentwickelt werden.

Zertifikat soll Cloud-Nutzer die Kontrollpflichten abnehmen

Ein Ziel des neuen Zertifikats ist mehr Rechtssicherheit für den Cloud-Anwender: Indem ein Unternehmen einen Anbieter auswählt, der mit der für die Unternehmensdaten notwendigen Schutzklasse ausgezeichnet ist, soll das Unternehmen als Auftraggeber in Zukunft seine vom Gesetz vorgeschriebenen Kontrollpflichten erfüllen können, so das am Trusted Cloud-Pilotprojekt beteiligte Unternehmen Uniscon.

Das Bundesministerium für Wirtschaft und Energie (BMWi) sieht die Grundlage für rechtskonforme und wirtschaftliche Nutzung von Clouds als gelegt an. Das klingt nach Erfüllung eines lange gehegten Wunsches für das Cloud Computing in Deutschland. Die Zertifizierung TCDP könnte scheinbar das möglich machen, was man sich von einem einheitlichen Cloud-Zertifikat erhofft: eine Vergleichbarkeit von Cloud-Anbietern hinsichtlich ihrer Datenschutzkonformität.

VERANSTALTUNGSHINWEIS

Die digitale Transformation als Umsatzgenerator

Die Veranstaltung informiert, wie Sie durch Einführung eines kundenzentrierten Identitätsmanagements auf Basis der ForgeRock-Technologie in ihrem Unternehmen Umsatzsteigerungen erzielen können. Zum Thema erhalten Sie Einblicke, die Ihnen die Veranstalter und ein unabhängiger Analyst präsentieren. Wie man mit der Technologie die Evolution einer eCommerce-Plattform vorantreibt, skizziert ein Vortrag von Zalando.

Neues Cloud-Zertifikat hat seine Grenzen

Cloud-Zertifikate, die bei der Auswahl des Cloud-Anbieters helfen wollen, gibt es allerdings bereits. Deshalb stellt sich die Frage, ob das neue Cloud-Zertifikat wirklich anders ist als die bereits vorhandenen. ZDNet hat Vertreter bestehender Angebote zur Cloud-Zertifizierung befragt, wie sich die neuen Zertifikate auf Basis von ISO 27001 / ISO 27018 gegenüber ihren Zertifikaten positionieren werden.

„Die ISO 27018 ergänzt die ISO 27001 zwar um Grundsätze und Maßnahmen rund um den Datenschutz personenbezogener Daten in der Cloud, aber das ist aus unserer Sicht jedoch noch viel zu kurz gesprungen“, so Hendrik A. Reese, Principal Consultant, TÜV Rheinland i-sec. „Der „Certified Cloud Service“ von TÜV Rheinland berücksichtigt den Datenschutz als einen von mehreren wesentlichen Prüfmerkmalen. In der Praxis sind für Cloud-nutzende Unternehmen viele weitere Aspekte neben dem Datenschutz wichtig.“

Sebastian Meissner, Head of the EuroPriSe Certification Authority (EuroPriSe – European Privacy Seal) sieht ebenfalls Einschränkungen bei dem neuen Standard: „ISO 27001 / 27018 deckt nicht alle Cloud-Dienstleistungen ab, sondern bezieht sich nur auf den Bereich Public Cloud, und auch das nur dann, wenn der Cloud-Provider personenbezogene Daten als Auftragsdatenverarbeiter im Sinne von § 11 BDSG / Artikel 2(e) der RL 95/46/EG verarbeitet. Zudem ist es so, dass ISO 27018 viele datenschutzrelevante Aspekte adressiert, aber nicht alle Kriterien abdeckt, die wir etwa im Rahmen einer EuroPriSe-Zertifizierung als Maßstab anlegen“.

Das einheitliche Zertifikat ist weiter nicht in Sicht

Das Technologieprogramm Trusted Cloud soll laut BMWi dazu beitragen, Kriterien für eine einheitliche Bewertung und Beurteilung von Cloud-Diensten zu schaffen. Eine einheitliche Zertifizierung für Clouds ist jedoch noch nicht in Sicht: „Eine Konsolidierung der Zertifizierungsstandards erwarten wir eher mittelfristig, da derzeit noch zu viele Interessengruppen versuchen, ihre Prüfangebote im Markt zu etablieren. Ziel muss aber eine einheitliche Standardisierung sein“, so die Einschätzung von TÜV TRUST IT.

„Der Standard 27018 wird – genauso wie viele andere Zertifikate, die einzelne Teilaspekte abbilden, – seinen Markt finden. Es gibt verschiedene Prüfstandards mit unterschiedlichen Prüftiefen. Die Frage ist allerdings: Wie sinnvoll ist es, eine Siegelflut für zigtausend Einzelaspekte zu erstellen? Was bedeuten Einzel-Siegel für die Orientierung am Markt und wie praktikabel und effizient ist es, Cloud Service Provider Teil-Zertifizierungen durchlaufen zu lassen?“, beschreibt Hendrik A. Reese, TÜV Rheinland i-sec, seine Sicht der Dinge.

Neues Zertifikat eher als Ergänzung vorhandener Siegel

Cloud-Nutzer und Cloud-Anbieter werden wohl weiterhin damit leben müssen, dass es eine Vielzahl von Cloud-Zertifikaten gibt. Dabei gilt es, bei jedem Zertifikat genau auf den Prüfungsumfang und den Geltungsbereich zu achten. Ob eines der Zertifikate wirklich dem Cloud-Nutzer seine Prüfpflichten abnehmen wird, bleibt abzuwarten. Bis dahin gilt die Aussage der Aufsichtsbehörden für den Datenschutz, dass das Vorliegen von Zertifikaten den Cloud-Anwender nicht von seinen Kontrollpflichten entbindet. Noch ist das Ziel einheitlicher Cloud-Zertifikate nicht erreicht, und das neue Zertifikat wird neben die bereits bestehenden treten.

Neueste Kommentare 

3 Kommentare zu Kommt jetzt das einheitliche Cloud-Zertifikat?

Kommentar hinzufügen
  • Am 12. Mai 2015 um 18:43 von Ulle

    Was für ein unglaublicher Quatsch. Zertifizierungen sind letztlich bedrucktes Papier. Eine Beschäftigungsmaßnahme für Juristen.

    • Am 13. Mai 2015 um 9:56 von PeerH

      Oftmals Marketing und Gelddrucken – man schaue nur auf die unendlich vielen, tatsächlich nichtsaussagenden, Umwelt Zertifikate. Es gibt nur wenige, die sinnvoll sind, und auf die man sich verlassen kann.

      Die meisten sind leicht gegen ein geringes Salär zu erhalten. Und eben sinnlos.

  • Am 13. Mai 2015 um 8:38 von Oliver Schonschek

    Keine Frage, die Situation bei der Cloud-Zertifizierung ist bisher nicht zufriedenstellend. Ohne eine einheitliche Grundlage können Zertifikate kaum die gewünschte Hilfe sein. Die Idee hinter Zertifikaten ist jedoch richtig: Unabhängige Dritte übernehmen die Prüfung, die der Cloud-Nutzer selbst nicht durchführen kann, die aber rechtlich erforderlich ist. Wie dies in Zukunft in der Praxis aussehen kann, muss sich zeigen. Noch ist vieles zu tun.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *