Was ist was bei der Cloud-Zertifizierung?

Wer stellt die Zertifikate aus, und wie läuft eine Zertifizierung ab?

Zertifikate sollten von anerkannten und unabhängigen Prüforganisationen stammen. Im Idealfall wären dies staatliche Instanzen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder etablierte Branchenverbände wie in Deutschland der BITKOM. In der gegenwärtigen Praxis stellen vor allem Zusammenschlüsse von Cloud-Providern und Verbände die Zertifikate aus.

Für die Zertifizierung prüfen und bewerten die Auditoren Cloud-Anbieter in relevanten Bereichen wie Vertrag und Compliance, Sicherheit, Betrieb und Infrastruktur, Prozesse, Anwendung und Implementierung. Dabei können unterschiedliche Zertifizierungstiefen erlangt werden. Als Ergebnis des Audits erhält der Anbieter dann das Cloud-Zertifikat.

Gibt es einheitliche, standardisierte Zertifikate?

Nein. Weltweit gültige cloud-spezifische Zertifizierungen gibt es bis dato nicht - und wird es auch die nächster Zeit nicht geben. Allerdings existiert eine Reihe von internationalen Standards zur Zertifizierung einzelner Aspekte der IT, die auch für Cloud Computing relevant sind.

Ein Blick in das Eckpunktepapier des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) zu Cloud Computing zeigt, was das BSI im Bereich Cloud Computing empfiehlt. Das BSI nennt als Beispiel den IT-Grundschutz und ISO 27001 als Basis. Entsprechende Zertifikate zu verlangen ist also bei einer Cloud-Kontrolle sinnvoll.

Ähnlich argumentiert der BITKOM: "Solange es keine weithin anerkannten internationalen Zertifikate für die Cloud-Services-Provider gibt, ist für den Cloud-Nutzer als Orientierung Folgendes wichtig: Normen und Zertifizierungen für Cloud-Services-Provider sollten sich an bereits bestehende und allgemein in der Branche akzeptierte Ansätze wie beispielsweise ISO 27001 und ISO 27002 anlehnen, die um essenzielle Cloud-Spezifika ergänzt werden."

Für Cloud-Anwender, die international agieren, ist es laut BSI sinnvoll, darauf zu achten, ob Cloud-Anbieter ihre IT-Infrastruktur auf bestimmte Standardisierungen hin ausrichten und so zumindest eine "Grundausstattung", beispielsweise an definierten Schnittstellen, bieten.

Was bedeutet Schutz nach ISO 27001?

Die seit 2005 angebotene Zertifizierung ISO 27001 wird vom BSI erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter.

Allerdings: Sicherheitsstandards wie ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Prüforganisationen an. Auch das BSI fördert diesen Trend.