Zertifikat ja – nur welches?
Von Ariane Rüdiger
Auf die Cloud können und wollen anscheinend die meisten deutschen Unternehmen nicht mehr verzichten. Das belegten die Ergebnisse des Cloud-Monitors Deutschland 2021. Die Cloud-Nutzung ist signifikant auf inzwischen 82 % angestiegen, und nur noch ein geringer einstelliger Anteil der Firmen bleibt Cloud-abstinent. Von den wenigen aber, die die Cloud nicht nutzen, tut dies die überwältigende Mehrheit wohl aus Sicherheitsgründen – auch das war ein Ergebnis der Befragung.
Für Cloud-Nutzer spielt bei der Auswahl des Providers zwar die Leistung die wichtigste Rolle. Gleich danach folgen aber Datensicherheit und Compliance sowie der Wunsch, das betreffende Rechenzentrum möge sich nach europäischem Recht richten. Zudem beklagen 53 % der Anwender Compliance-Probleme bei der Integration von Public-Cloud-IT in die übrige Infrastruktur.
Unternehmen bleiben dabei für ihre Daten verantwortlich, auch wenn diese bei einem Public-Cloud-Provider lagern oder dort verarbeitet werden. Daher müssen Provider möglichst nachweislich gängige Sicherheitsvorgaben erfüllen. Dafür geben entsprechende Zertifizierungen, Testate und Auditierungen einen Anhaltspunkt. Sie sind allerdings unter den Cloud-Dienstleistern weniger verbreitet, als man hoffen möchte. Ist der Cloud-Service-Provider zertifiziert, wirkt das im Fall von Rechtsverfahren wegen Datenschutzverstößen entlastend für das Unternehmen, das ihm seine Daten anvertraut hat.
ISO 27001: Goldstandard für sicheres Informationsmanagement
Am bekanntesten dürfte die Zertifizierung nach ISO/IEC 27001 sein. Es gibt sie seit 2005, ein europäisches Update folgte 2017. Die Norm beschreibt Konzeption, Aufbau, Betrieb und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Sie fasst alle informations- und datenbezogenen Sicherheitsmechanismen unter einem strategischen Dach zusammen. Sie verlangt die systematische Erfassung, Bewertung und Behebung von entsprechenden Risiken sowie eine fortlaufende Verbesserung des einmal etablierten ISMS. Dieses System erfasst auch nicht IT-technische Bereiche, soweit sie mit der Informationssicherheit zusammenhängen. Auditierungen müssen in regelmäßigen Abständen wiederholt werden.
Sachliche Basis sind dabei die Festlegungen im BSI-Grundschutz. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat kürzlich den Teil des BSI-IT-Grundschutzes, der sich mit Rechenzentren befasst (INF.2), in einer aktualisierten Form veröffentlicht. Danach gelten auch Serverräume bereits als Rechenzentren. Im Detail werden die Anforderungen an IT und Betriebseinrichtungen beschrieben.
Ein brennendes Rechenzentrum ist für jeden RZ-Kunden und -Provider ein Albtraum. Stetiges Arbeiten an der IT-Sicherheit sowie regelmäßige Audits nach einschlägigen Normen können helfen, solche Zwischenfälle zu verhindern. (Bild: Kentix)
Vom BSI gibt es zudem den C5-Anforderungskatalog (Cloud Computing Compliance Criteria Catalogue – C5:2020), der sich speziell mit Cloud-Services befasst. Er wurde erst 2020 angepasst und ist trotz der kurzen Bezeichnung C5 durchaus umfangreich. Er umfasst Themen wie Organisation, Personalmanagement, Asset Management, physische Sicherheit, Beschaffung, Regelbetrieb, Identitätsmanagement, Verschlüsselung und Schlüsselmanagement etc. Die Einhaltung der Vorgaben kann von anerkannten Wirtschaftsprüfern auditiert und testiert werden.
Daneben gibt es noch ISO/IEC 27002. Diese Norm stammt ursprünglich aus Großbritannien und wurde in die ISO-27000-Normfamilie übernommen. Sie beschreibt den Schutz vor Angriffen. Es ist nicht möglich, sich danach zertifizieren zu lassen. Allerdings schadet es nichts, einen Provider danach zu befragen, ob er diese Norm kennt und gegebenenfalls ganz oder teilweise implementiert hat. Eine Zertifizierung nach ISO/IEC 27001 ersetzt dies aber keinesfalls.
Ein speziell auf die Cloud-Datensicherheit bezogener Standard, der die Inhalte von ISO 27002 auf Cloud-Services anpasst, ist ISO 27018. Die Norm regelt den Umgang mit personenbezogenen Daten in der Cloud, ihre Regeln sind etwa analog zu Art. 28 DSGVO.
Ein echtes Zertifikat nach ISO/IEC 27002 oder 27018 gibt es nicht, lediglich ein Testat (also eine Art Prüfbericht) kann sich der Cloud-Provider ausstellen lassen. Zertifizierbar ist nur die Einhaltung der ISO/IEC 27001.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilage „Privacy für Unternehmen – Cloud as a Service“. Einen Überblick mit freien Download-Links zu sämtlichen Heften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Alternative Standards
Im Übrigen müssen Unternehmen, also auch Cloud-Provider, nicht unbedingt ihr gesamtes Unternehmen nach ISO/IEC 27001 zertifizieren lassen. Sie können das Zertifikat auch nur für Teilbereiche anstreben. Daher ist es sinnvoll, bei Ausschreibungen genau nachzufragen, ob das Zertifikat für das gesamte Unternehmen, nur für bestimmte Standorte oder gar nur für bestimmte Abteilungen gilt. Und zudem sollte man sich von der Aktualität des vorgezeigten Prüfzertifikats überzeugen. Abgelaufene Zertifizierungen sagen etwas über die Vergangenheit aus, nicht über die Gegenwart.
Erwähnt werden sollten noch einige weitere Testierungen und Zertifizierungen: Die vom Bundesministerium für Wirtschaft initiierte Trusted-Cloud-Initiative gibt das Trusted-Cloud-Label heraus. Dafür prüfen externe Auditoren einzelne Cloud-Services nach zehn Kriteriengruppen und 163 Einzelkriterien auf übergreifende Anforderungen, vom Vertragsabschluss bis zur Vertragsbeendigung. Online zugänglich ist eine durchsuchbare Liste der geprüften Services.
Die Stiftung Datenschutz hat das TCDP (Trusted Cloud Datenschutz-Profil) entwickelt. Es richtet sich nach den Kriterien der alten Datenschutzgesetzgebung für Deutschland, ist also durch die DSGVO obsolet geworden. Die Prüfung nach TCDP erfolgte durch externe Auditoren, die mit entsprechenden Zertifikaten die BDSG-Konformität des Dienstes belegen konnten. Zielgruppe der TCDP waren große Cloud-Anbieter und Zertifizierer, die entsprechende Prüfungen durchführen wollten. Da TCDP seit der Einführung der DSGVO überholt ist, wird intensiv an einem europäischen Nachfolger gearbeitet. Diese „European Cloud Service Data Protection Certification“, so die Langbezeichnung, wird derzeit akkreditiert. Sie basiert auf einem von 2017 bis 2019 durchgeführten Forschungsprojekt.
Eine weitere Zertifizierung ist das StarAudit, das von EuroCloud Deutschland_eco e.V. entwickelt und seit 2011 vergeben wird. StarAudit bietet ein vielfältiges und etwas verwirrendes Zertifizierungsschema, das je nach angestrebtem Level auf Selbstauskünften oder externen Audits basiert. Es soll das Vertrauen in Cloud-Services stärken und wendet sich vor allem an kleine und mittlere Unternehmen.
Betriebssichere Rechenzentren: EN 50600
Es kann auch nicht schaden, wenn das Rechenzentrum, auf dem der Cloud-Service läuft, hinsichtlich seiner Zuverlässigkeit und Sicherheit geprüft wurde. Die wichtigste Norm hierfür in Europa ist DIN EN 50600 – Einrichtungen und Infrastrukturen von Rechenzentren. Auch sie macht nur Vorschläge, wie Rechenzentren betriebssicher, zuverlässig und umweltfreundlich aufgebaut werden können. Zudem sind die Formulierungen nicht sehr eindeutig. Erst die Umwandlung der Ansprüche in abzuprüfende konkrete Merkmale durch einen Zertifizierer und anschließend das bestandene Audit samt Zertifikat einer anerkannten Prüfungsorganisation garantieren zuverlässig, dass und in welchem Umfang diese Vorschriften auch tatsächlich eingehalten wurden.
Die EN 50600 definiert vier Verfügbarkeitsklassen, von denen Tier 1 die niedrigste und Tier 4 (Voll- respektive Mehrfachredundanz in allen betriebswichtigen Bereichen) die höchste Verfügbarkeit garantiert. Die Norm umfasst vier große Bereiche:
- EN 50600-1: Allgemeine Aspekte für die Konstruktion und Spezifikation
- EN 50600-2-1: Gebäudekonstruktion
- EN 50600-2-2: Stromversorgung
- EN 50600-2-3: Regelung der Umgebungsbedingungen
- EN 50600-2-4: Infrastruktur der Telekommunikationsverkabelung
- EN 50600-2-5: Sicherungssysteme
Im gesamten Teil 2 geht es um physische Themen und den RZ-Bau einschließlich Brandschutz sowie Schutz gegen äußere Eindringlinge. Verfügbarkeitsklassen sind für Strom- und Kälteversorgung sowie die Verkabelung festgelegt. Teil 3 (EN 50600-3-1: Informationen für das Management und den Betrieb) behandelt das RZ-Management. In Teil 4 geht es um die in Zukunft immer wichtiger werdende Energieeffizienz, was aber im Zusammenhang mit Sicherheit nicht so relevant erscheint.
TÜV-Zertifizierung nach EN 50600
Bis zur Verabschiedung der EN 50600 prüfte TÜViT seit 2001 die Betriebssicherheit von Rechenzentren anhand des selbst entwickelten Standards TSI (Trusted Site Infrastructure). 2017 wurde zusätzlich ein Prüfkatalog zur neuen Europanorm entwickelt (TSI.EN 50600). Er bildet die Teile 1 bis 3 der Norm ab. Zudem prüft TÜViT auf Wunsch auch schon die Bauplanungen von Rechenzentren auf ihre Konformität mit der Norm, sodass sie vor dem Beginn teurer Baumaßnahmen gegebenenfalls angepasst werden können.
Rechenzentren mit einer Zertifizierung nach dem TÜViT-Katalog TSI.EN 50600 sind garantiert konform zu EN 50600, erfüllen eine von vier Verfügbarkeits- und mindestens die Schutzklassen 1 bis 3. Außerdem können sie Energieeffizienz nach einer von drei Granularitätsstufen aufweisen. Die aktuell gültige Normversion ist EN 50600 V 2.0 vom April 2020. Allerdings sind bis April 2023 auch noch Zertifizierungen nach der Normversion 1.0 möglich. Wer es genau wissen will, sollte sich vom angepeilten Provider sagen lassen, nach welcher Norm geprüft wurde. Zertifikate nach TSI.EN 50600 müssen regelmäßig durch Rezertifizierungen erneuert werden. Auch der TÜV Rheinland führt Prüfungen auf Konformität nach EN 50600 durch.
Die Einzelbereiche der EN 50600. (Bild: TÜV Rheinland)
Seit einigen Jahren ist in Deutschland das US-amerikanische Uptime Institute als Zertifizierer aktiv. Seine Prüfungen und Zertifikate beziehen sich auf die eigene, ebenfalls vierstufige Tier-Definition. Sie beschreibt hauptsächlich Zuverlässigkeitsklassen und die Redundanzgrade, die bei IT, Stromversorgung, Klimatisierung und Verkabelung nötig sind, um Ausfälle im gewünschten Umfang zu verhindern.
Zertifizierungen und KRITIS
Relevant könnte im Zusammenhang mit der Auswahl sicherer Provider das im Frühjahr 2021 renovierte IT-Sicherheitsgesetz (ITSiG 2.0) sein. Es erklärt wesentlich mehr Unternehmen als bisher zu kritischen Infrastrukturen, beispielsweise Firmen, die dem Außenwirtschaftsgesetz unterworfen sind (die also z.B. Rüstungs- oder Dual-Use-Güter herstellen), oder auch für die Volkswirtschaft sehr wichtige Unternehmen (etwa Autohersteller) und deren Zulieferer.
KRITIS-Unternehmen unterliegen besonders strengen IT-Sicherheitsregeln, und wenn sie mit Cloud-Providern zusammenarbeiten, müssen sie besondere Sorgfalt bei der Auswahl und Kooperation walten lassen. Hier einen nicht zertifizierten Cloud-Provider zu wählen, lässt sich eigentlich nur als Harakiri bezeichnen.