Die größten Missverständnisse der Cloud-Security – Werden wir mit Zertifizierungen und Labeln geblendet?

Autor/Redakteur: Matthias Bollwein, Mitgründer des IT-Startups Uniki/gg

Gibt man in eine Suchmaschine den Begriff „Cloud-Anbieter“ ein, werden über 40 Millionen Suchergebnisse angezeigt. Unternehmen, die einen neuen Cloud-Dienst einführen möchten, haben die Qual der Wahl und sind einer kaum bezwingbaren Informationsflut ausgesetzt. Ein Thema, das dabei seit jeher im Fokus steht: Sicherheit. Doch wie erkennt man einen Cloud-Anbieter, der gerade bei dieser sensiblen Materie transparent, kompetent und dauerhaft zuverlässig agiert? Um eine vertrauensvolle Basis zu schaffen, verweisen viele Cloud-Dienste auf ihre ISO-Zertifizierung oder werben mit bestimmten Gütesiegeln. Doch es ist nicht alles Gold was glänzt. Wie verlässlich, unabhängig und vor allem sicherheitsrelevant sind diese Auszeichnungen wirklich? Ein Leitfaden für mehr Verständnis bei Kaufentscheidungen von Cloud-Lösungen.

Bild: Uniki

Sicherheit in der Cloud – selbst für Experten schwer abschätzbar

Vornweg ist es elementar zu erwähnen, dass Sicherheit im Kontext der Cloud verschiedene Ausprägungen hat. Soll die Gesamtsicherheit einer Cloud-Lösung bewertet werden, ist dies für Außenstehende, selbst für IT-Experten, nicht lückenlos möglich. Denn einige Segmente bleiben für Externe verschlossen – beispielsweise der Code einer Cloud-Anwendung, das Betriebssystem oder gar Teile eines offiziellen Audits. Einzig und allein Open Source Cloud-Anwendungen kann vollständige Transparenz attestiert werden, da der gesamte Quellcode frei zugänglich ist und einer großen Entwickler-Community zur Überprüfung und Verbesserung zur Verfügung gestellt wird.

Was macht sicheres Cloud Computing aus?

Unterschieden werden kann insbesondere in drei sicherheitsrelevante Aspekte, von welchem kein einziger vernachlässigt werden darf, wenn das Sicherheits-Niveau hochgehalten werden soll: Informations- beziehungsweise Datensicherheit, Ausfallsicherheit und Rechtssicherheit einer Cloud-Lösung. Teilweise sind die Punkte miteinander verzahnt. Jeder einzelne Aspekt kann jedoch schwerwiegende Konsequenzen nach sich ziehen, wenn er seitens des Anbieters mangelhaft umgesetzt wurde: Ob Abmahnungen und Bußgelder, Arbeits- oder Produktionsstillstand oder unwiederbringbarer Verlust aller Unternehmensdaten. Wichtig zu merken: Die Basis für obige vier Sicherheitspunkte wird durch die interne Qualitätssicherung des jeweiligen Cloud-Anbieters geschaffen – Die Basis!

Darauf verlassen sich Unternehmen

Neben großen Markennamen sind ISO-Zertifizierung und Siegel bei Unternehmensentscheidern positiv besetzt, da diese Kompetenz und Wertigkeit suggerieren. Der grundlegende Ansatz hinter Zertifikaten ist, dass ein Cloud-Anbieter einen fest definierten Anforderungskatalog umsetzt und anschließend ein Audit einer unabhängigen Prüfstelle erfolgt. Doch auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mahnt, dass die Aussagekraft des Zertifikats betrachtet werden muss, um sicherzugehen, dass firmeninterne Anforderungen eingehalten werden können.

Wichtig ist in diesem Zusammenhang auch: Anders als bei genormten ISO-Zertifikaten werden einige Cloud-Siegel ohne unabhängigen Audit vergeben und basieren auf einer Selbstauskunft des Anbieters. Ein Beispiel dafür ist das beliebte Label „Trusted Cloud“. Zum einen stellen diese ausschließlich eine Momentaufnahme dar und zum anderen findet in solch einem Fall nur eine sogenannte Plausibilitätsprüfung statt – der Anbieter wurde also nicht auf Herz und Nieren geprüft.

Das bekannteste Zertifikat ISO 27001 – Was besagt es?

Hinter ISO 27001 verbirgt sich eine internationale Norm, die einem Cloud-Anbieter ein bestimmtes Niveau an Informationssicherheit zutraut. Was die Prüfstelle dabei unter die Lupe nimmt ist, ob beim jeweiligen Cloud-Anbieter ein strukturiertes, internes Informationssicherheits-Managementsystem (ISMS) vorliegt und Sicherheitsrisiken und -vorfälle ausreichend analysiert und behandelt werden. Um es differenziert zu betrachten: Die Qualitätssicherung und interne Prozesse sind Bewertungsgegenstand, nicht aber die tatsächliche technische Ausgereiftheit der Cloud-Lösung unter Einbezug aktueller IT-sicherheitsrelevanter Entwicklungen. Ein Beispiel für letztes wäre etwa eine Beurteilung des Schutzmechanismus vor DDos Attacken.