Welche Datenschutzprüfungen trotz Cloud-Zertifikat notwendig sind

Cloud-Zertifikate geben Orientierung und helfen bei der Datenschutzkontrolle. Der Cloud-Nutzer muss aber verschiedene Prüfungen zusätzlich vornehmen.

Dieser Artikel behandelt

Cloud-Sicherheit

Die Marktforscher melden übereinstimmend, dass Cloud Computing trotz Sorgen um IT-Sicherheit und Datenschutz weitere Verbreitung in Deutschland findet. Im Vergleich zu anderen europäischen Ländern sind die Unternehmen und selbst die Privatnutzer in Deutschland allerdings zurückhaltender, wenn es um den Einsatz von Cloud-Diensten geht. Ziel für Cloud-Anbieter muss es also sein, das Vertrauen der Nutzer zu wecken und zu stärken.

Eine wesentliche Maßnahme zur Vertrauensbildung ist die Zertifizierung der Cloud-Angebote. Cloud-Zertifikate werden als so wichtig für den weiteren Cloud-Erfolg gesehen, dass es eine ganze Reihe verschiedener Zertifizierungsanbieter und Cloud-Zertifikate gibt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beispielsweise nennt das Gütesiegel SaaS von EuroCloud, CSA und TÜV Trust IT. Doch es gibt weitaus mehr Cloud-Zertifikate.

Anwender wünschen sich Orientierung durch Zertifikate

Zertifikate haben generell einen hohen Stellenwert bei Anwendern, helfen sie doch bei den zunehmend komplexen Entscheidungen. Speziell im Cloud Computing scheinen sie eine große Hilfe zu sein, denn die notwendigen Prüfungen und Überlegungen bei der Cloud-Auswahl sind eine große Herausforderung, alleine schon dadurch, dass eine „Wolke“ und damit der Ort der Datenverarbeitung wenig greifbar erscheint. 

Die eigene Prüfung der Sicherheitsmaßnahmen beim Cloud-Anbieter, wie bei einer Auftragsdatenverarbeitung gefordert, halten viele Anwender für kaum möglich. Gartner erwartet für 2016, dass 40 Prozent aller Cloud-Entscheidungen auf Basis einer Zertifizierung erfolgen werden.

Anwender überschätzen das Ausmaß der Unterstützung durch Zertifikate

Cloud-Zertifikate erleichtern die Cloud-Prüfung, dürfen aber nicht als Ersatz für eigene Prüfungen verstanden werden.

Viele Cloud-Nutzer achten deshalb auf eine Zertifizierung der Cloud, da sie sich davon versprechen, dass die eigenen Prüfungen nicht mehr erforderlich sind. 

Ganz so einfach ist es aber nicht: Wie das BSI erläutert, muss der Cloud-Anwender die Aussagekraft des Zertifikats kennen, um beurteilen zu können, ob dadurch die eigenen Sicherheitsvorgaben eingehalten werden können. 

Der Anwender muss letztlich seine Anforderungen mit denen dem Zertifikat zugrunde liegenden abgleichen und entscheiden, ob die eigenen Anforderungen durch das Cloud-Zertifikat abgedeckt sind.

Wünschenswert aus Datenschutzsicht wäre es, dass es Cloud-Zertifikate gibt, bei denen dem Anwender automatisch klar ist, dass er keine Kontrolle zur Aussagekraft des Zertifikats mehr machen muss. 

Dazu werden Cloud-Zertifikate benötigt, die von den Aufsichtsbehörden für den Datenschutz als entsprechend positiv und vollständig eingestuft werden und die auch eine hohe Bekanntheit unter den Anwendern genießen.

Aufsichtsbehörden weisen auf verbleibenden Prüfungsbedarf hin

In ihrer Orientierungshilfe zum Cloud Computing erklären die Aufsichtsbehörden, dass dem Problem schwieriger Überprüfbarkeit der vertragsgemäßen Verarbeitung der Daten unter Umständen dadurch begegnet werden kann, dass lediglich Angebote von Cloud-Anbietern genutzt werden, die regelmäßig von unabhängigen Stellen auditiert und zertifiziert werden. Wichtig dabei ist, dass die Aussage einer Zertifizierungsstelle immer nur einen bestimmten Prüfungszeitpunkt betreffen kann, die einmalige Prüfung der Zertifizierungsstelle also nicht ausreicht.

Das Vorliegen von Zertifikaten entbindet den Cloud-Nutzer im Übrigen nicht von seinen Kontrollpflichten, die bloße Berufung auf eine Zertifizierung zum Beispiel nach ISO 27001 ist für den Bereich Datenschutz nicht aussagekräftig, wie die Aufsichtsbehörden unterstreichen.

Checkliste für Cloud-Zertifikate

Aus Sicht der Aufsichtsbehörden müssen Cloud-Anwender bei Cloud-Zertifikaten also hinterfragen:

  • Handelt es sich um ein Zertifikat, das sich auf den jeweiligen Cloud-Dienst bezieht?
  • Ist der Cloud-Datenschutz (ebenfalls) Gegenstand der Zertifizierung?
  • Handelt es sich bei der Zertifizierungsstelle um eine anerkannte, unabhängige Stelle?
  • Für welche Zeitraum ist das Zertifikat gültig beziehungsweise wann erfolgte die Zertifizierung?
  • Findet eine regelmäßige Re-Zertifizierung statt?
  • Gibt es regelmäßige Sicherheitsberichte des Cloud-Anbieters?
  • Gibt es bei Sicherheitsvorfällen unverzügliche und aussagekräftige Informationen?
  • Gibt es Berichte/Aussagen zu den Verarbeitungsstandorten und möglichen Unteranbietern, die der Cloud-Anbieter selbst nutzt?
  • Gibt es auch entsprechende Zertifizierungen für die Unteranbieter des Cloud-Anbieters, wenn diese bei der Erbringung des Cloud-Dienstes zum Einsatz kommen?
  • Sind die Prüfungsergebnisse zu der Zertifizierung für den Anwender zugänglich?
  • Hat der Anwender zusätzliche Möglichkeiten der Datenschutzkontrolle und werden diese nicht vertraglich ausgeschlossen, nur weil es ein Zertifikat gibt?

Cloud-Zertifikate erleichtern also die Cloud-Prüfung, dürfen aber nicht als Ersatz für eigene Prüfungen verstanden werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close