{2} Cloud „Made in Germany“ – Zertifikate und Datenschutz

20.01.2020

Themen: DSGVO | Cloud | Digitalisierung

Mittlerweile gibt es auf dem Markt unzählige Cloud-Anbieter. Zu den großen zählen zum Beispiel die Konzerne Microsoft (Azure), Amazon (AWS), IBM (IBM Cloud) oder Google. Neben diesen Großkonzernen, die sowohl Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) oder sogar Software-as-a-Service (SaaS) bereitstellen, gibt es, besonders im SaaS-Umfeld, viele weitere Anbieter von Cloud-Diensten auch aus Deutschland, die sich zuletzt nicht nur durch ihren Standort empfehlen.

Der erste Artikel der dreiteiligen Blogreihe zum Thema „Sicherheit in der Cloud“ zielte thematisch auf die Cloud-Nutzung durch deutsche Unternehmen ab und beschrieb die wesentlichen Kriterien, die neben der DSGVO-Konformität im Entscheidungsprozess für Unternehmen wichtig sind. Dieser Artikel befasst sich nun mit Beispielen, welche Zertifikate, Testate sowie Sicherheitsvorkehrungen Cloud-Anbieter auszeichnen.

Vom Warnzeichen zum Gütesiegel „Made in Germany“

Das Qualitätssiegel „Made in Germany“ haben wir seit 1887 den Briten zu verdanken. So galt es ursprünglich als Warnzeichen und sollte zunächst deutsche Kopien eines Messerherstellers von dem hochwertigen englischen Original unterscheiden. Doch dieser Versuch entpuppte sich zunehmend als Misserfolg. Deutsche Hersteller verbesserten ihre Qualität und erreichten sogar einen großen Vorsprung. In allen Lebensbereichen steht „Made in Germany“ mittlerweile für Qualität und hohen Anspruch.

Wo früher gern deutsche Autos oder deutsche Elektrogeräte gekauft wurden, gewinnt nun das Siegel auch im IT- und Softwareumfeld immer mehr an Bedeutung. Ebenfalls ist es im Cloud-Umfeld ein ernst zu nehmendes Gütesiegel geworden. Viele deutsche Cloudanbieter legen besonderen Wert auf Zertifizierungen, Testaten und Sicherheitsvorkehrungen. Deutsche Anwendungen und Services erfüllen so das hohe Maß an Anforderungen im Bereich Sicherheit und Datenschutz – darauf setzen Unternehmen. Dies hat zum einen den Vorteil, dass ein Anwenderunternehmen die Kontrolle über die Informationsbestände behält. Zudem werden die Vorgaben der DSGVO erfüllt, was den Schutz von personenbezogenen Daten sicherstellt.

Doch es gibt weitere Aspekte, die Cloud-Services „Made in Germany“ attraktiv machen. Gerade für mittelständische Unternehmen, die den Weg in die Cloud gehen, ist es wichtig, seitens des Cloud-Anbieters auf fachlich fundierte Hilfestellung zurückzugreifen. Bei Großkonzernen, die weltweit agieren, ist dies oft nicht der Fall. Sie leisten in der Regel keine individuelle Hilfestellung, da sie breiter aufgestellt sind und mehrere Kundensegmente bedienen. Oft rentieren sich Support und Hilfestellungen für Einzelfälle nicht.

Gerade bei Sicherheitsfragen, Einhaltung von Datenschutz und Compliance ist es für Unternehmen oft schwierig, die Einhaltung und die Vorgehensweise der Cloud-Anbieter selbst zu überprüfen. Da ist es von Vorteil, dass Cloud-Anbieter ein genehmigtes Zertifizierungsverfahren nutzen können, um die Erfüllung der Anforderungen auf die unterschiedlichen Bereiche nachzuweisen.

Zertifizierungsverfahren und Testate für die Cloud

Für den Bereich Datenschutz und Datenschutzgrundverordnung gibt es genehmigte Zertifizierungsverfahren gemäß Artikel 42 der DSGVO. Mit dem passenden Zertifikat können sich nämlich beide Parteien, sowohl Cloud-Anbieter als auch das Anwenderunternehmen absichern und die rechtlichen Anforderungen abstimmen. Beispielsweise gibt es für die Konformität mit der DSGVO und aus der Perspektive des Datenschutzes das Trusted Cloud- Datenschutzprofil (TCDP). Das TCDP des Bundesministeriums für Wirtschaft und Energie (BMWi) umfasst neben Aspekten des Datenschutzes und der Datensicherheit außerdem noch Qualitäts- und Transparenzkriterien. Darüber hinaus geht das TCDP auf die Vertragsgestaltung ein. Es handelt sich um einen entwickelten Prüfstand für die Datenschutz-Zertifizierung nach dem Bundesdatenschutzgesetz (BDSG).

Ein weiterer Prüfstandard ist der Anforderungskatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik. Mit diesem Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue) können Unternehmen die Informationssicherheit von Cloud-Diensten beurteilen, die hier in einer Richtlinie für ein Mindestmaß an Sicherheit in der Cloud definiert wurden. Der C5 befasst sich fast ausschließlich mit Maßnahmen zum Schutz der Informationssicherheit und Transparenz. Hier grenzt sich auch der Anforderungskatalog C5 vom TCDP ab. In der Regel ist er in den genannten Bereichen zum Schutz der Informationssicherheit und Transparenz deutlich detaillierter als das TCDP. Im Vergleich zum TCDP, erfordert ein C5-Testat aufwendigere Prüfungen als das Trusted Cloud- Datenschutzprofil. Dies ist darin begründet, dass das C5 eine Vorgehensweise nach den Prozessen der Wirtschaftsprüfer, nicht der von ISO-Prüfern, verlangt.

Die Sicherheitszertifizierung nach ISO 27001 ist die weltweit verbreitetste im IT-Bereich in Bezug auf den IT-Grundschutz. Der BSI definiert ausführlich im IT-Grundschutzkatalog in welcher Weise auf welche Bedrohungslage zu reagieren ist. Zertifiziert werden hier nicht einzelne Cloud-Produkte, sondern vielmehr Vorgehensweisen, interne Prozesse und Entwicklungs- sowie Operationsteams. Der Auditor vom BSI prüft bei der Zertifizierung für jedes zutreffende bzw. angenommene Risiko, ob die Vorgaben des BSI erfüllt sind. Eine solche ISO 27001 Zertifizierung muss außerdem in regelmäßigen Abständen wiederholt werden.

Sicherheitsvorkehrungen und Angriffsabwehr

Neben den Sicherheitszertifikaten, Prüfkatalogen und Testaten gibt es aber noch wesentliche weitere Tests, mit denen Cloud-Anbieter die Sicherheit ihrer Cloud-Lösung am Markt darlegen können.

Mit dem Vulnerability Scan ist der erste Schritt zur Absicherung des Unternehmensnetzwerks anbieterseitig gemacht. Das Ziel des Vulnerability Scan ist es, mittels entsprechender Tools, die Dienste und Geräte zu identifizieren, die Sicherheitslücken aufweisen. Der Ablauf eines Vulnerability Scans sieht das Starten eines Tools vor, welches ein oder mehrere Ziele nach mindestens einer Sicherheitslücke abtastet. Er hilft Schwachstellen (engl. Vulnerabilities) in einem System zu erkennen, die ein potenzieller Angreifer ausnutzen könnte. Durch einen rechtzeitigen Scan können nämlich die Sicherheitslücken ausfindig gemacht werden, bevor jemand anderes dies tut. Abschließend folgen ein umfangreicher Report sowie die Behebung aufgetretener Schwachstellen. Um das Sicherheitsniveau langfristig zu halten, ist es wichtig den Vulnerability Scan regelmäßig durchzuführen.

Neben den netzwerkbasierten Vulnerability Scans, setzen viele Anbieter außerdem auf Penetrationstests, die anwendungsbasiert die Software auf Schwachstellen untersuchen. Zu empfehlen sind Penetrationstests von BSI-zertifizierten IT-Sicherheitsdienstleistern und nach BSI-zertifizierten Durchführungsstandards.

Inhaltlich fokussiert sich der Penetrationstest ebenfalls auf einer Schwachstellenanalyse und soll IT-Systeme gegenüber Hacker-Angriffen prüfen. Bei einem Penetrationstest kommen Methoden und Techniken zum Einsatz, die von echten Angreifern oder Hackern verwendet werden. Ziel ist es, die Empfindlichkeiten von Netzwerken und IT-Anwendungen gegenüber Einbruchs- und Manipulationsversuchen festzustellen. Die IT-Experten verwenden hierfür ähnliche Methoden und Techniken, wie sie Hacker einsetzen, um unautorisiert in ein System einzudringen. Auch bei einem Penetrationstest schließt ein umfangreicher Report sowie ein Testat die Prüfung ab. Eine regelmäßige Durchführung ist wie beim Vulnerability Scan empfehlenswert.

Die Akzeptanz der Cloud in Deutschland ist gestiegen – und sie nimmt immer weiter zu. „Made in Germany“ ist für viele Unternehmen in Deutschland ein erstes Auswahlkriterium, insbesondere wenn es um das Thema Datenschutz und Datensicherheit in der Cloud geht. Prüfzertifikate und Testate liefern weitere Sicherheit bei der Auswahl eines Cloud-Anbieters.

Wenn Sie erfahren möchten, welche weiteren Vorteile Cloud-Lösungen insbesondere für das Workflowmanagement bieten, empfehle ich Ihnen unser Whitepaper "Digitalisierung auf dem Vormarsch", welches Sie hier herunterladen können.