Cloud Services: Zertifizierungen und Testierungen
Das weltweite Cloudgeschäft wird derzeitig von einigen wenigen Anbietern in den USA und China dominiert.
Die in Europa maßgeblich genutzten Cloud-Anbieter, die aus den USA stammen, unterstehen den dort gültigen gesetzlichen Vorgaben des "Cloud Act" (Clarifying Lawful Overseas Use of Data Act). Dieses US-Gesetz besagt, dass die Firmen den US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten müssen, wenn die Speicherung nicht in den USA erfolgt. Das gilt damit auch für die Cloud-Riesen Microsoft, Amazon und Google mit ihren europäischen Rechenzentren.
Die Bedenken gegen die Nutzung ausländischer Cloud-Dienste etwa aus Gründen des Datenschutzes und der Informationssicherheit könnten europäischen Anbietern entsprechende Marktchancen bieten, wenn sie garantieren können, dass die Daten in Europa bleiben.
Vertreter der europäischen Industrie formieren Allianzen und lancieren koordinierte Initiativen, um ein entsprechendes Gegengewicht zur Konkurrenz aus Übersee zu bilden.
Auch die Politik weiß um die Bedeutung der digitalen Unabhängigkeit Europas und sieht hier Handlungsbedarf. Die Politik ist aufgerufen auch Initiativen und Projekte jenseits der Europäischen Cloud-Initiative GAIA-X zu unterstützen.
Der nächste Abschnitt präsentiert einige dieser wichtigsten Initiativen.
Anschließend werden Zertifizierungen und Nachweise für Datenschutz und Informationssicherheit vorgestellt, mit denen europäische Anbieter von Cloud-Diensten den Nachweis entsprechender Cloud-Sicherheit liefern können.
Europäische und österreichische Cloud-Allianzen und -Initiativen
Euclidia: Die Cloud-Industrie-Allianz EUCLIDIA wurde am 8. Juli 2021 gegründet. Die 23 Gründungsmitglieder sind europäische Anbieter diverser Cloud-Dienstleitungen und haben sich zum Ziel gesetzt, ein unabhängiges europäisches Cloud-Technologie-Ökosystem zu schaffen, das den europäischen Werten wie Recht auf Privatsphäre und fairer wirtschaftlicher Wettbewerb besser gerecht wird, als die dominierende Konkurrenz aus China und USA und dennoch international wettbewerbsfähig bleibt. Die Allianz wendet sich auch explizit an die Politik mit der Aufruf europäische Innovationstreiber entsprechend finanziell zu fördern. (Link: https://www.euclidia.eu/)
ECUC: Anfang 2021 haben sich 13 europäische Großbanken zur European Cloud User Coalition zusammengeschlossen. Das Ziel ist in erster Linie die gemeinsame Entwicklung von Sicherheitsstandards und Best Practices für die Nutzung von Cloud-Technologien im Finanzsektor und in weitere Folge die Schaffung eines Public-Cloud-Ökosystems für den Finanzsektor, das den hohen europäischen Regulierungs- und Datenschutzstandards entspricht. Die Mitglieder des Konsortiums versprechen sich größere Unabhängigkeit bei der Technologie-Auswahl von den dominanten US-Anbietern – langfristig möglicherweise mit GAIA-X.
Ö-Cloud-Initiative: Vom BMDW Bundesministerium für Digitalisierung und Wirtschaftsstandort als Initiative lanciert, wird das Ö-Cloud Gütesiegel mittlerweile vom Verband der österreichischen Cloud Computing-Industrie "Eurocloud Austria" – als Repräsentant des paneuropäischen EuroCloud-Netzwerks - ausgestellt. Anbieter von Cloud- Diensten in Österreich müssen eine Selbstevaluierung nach 135 Kriterien zu Themen wie Datenschutzorganisation, Datenschutzplanung, Aufzeichnung der Verarbeitungsaktivitäten, vertragliche Einhaltung der DSGVO oder zusätzliche Kontrollen der Zugangsdaten durchführen. Die Gültigkeit des Gütesiegels ist auf ein Jahr befristet.
Austrian Cloud: Die Initiative der Wirtschaftskammer Wien bietet mit dem Gütesiegel „Austrian Cloud" eine Zertifizierung für Cloud-Dienstleister an, die den Speicherort der Daten in Österreich garantieren können. Das Angebot richtet sich vor allem an österreichische klein- und mittelständische Unternehmen, die auf sich aufmerksam machen wollen und mit dem Gütersiegel werben können.
Cloud-spezifische Zertifizierungen und Testierungen (Europa)
BSI C5. Der BSI Kriterienkatalog Cloud Computing C5 definiert die Mindestanforderungen für sicheres Cloud Computing und richtet sich in erster Linie an Anbieter, deren Prüfer und Kunden. Es wurden bereits nationale, europäische und weltweite Cloud-Anbieter nach C5 testiert.
CSA STAR. Die Cloud Security Alliance (CSA) ist Herausgeber eines Frameworks das Maßnahmen und Kontrollen für Cloud-Dienstleistungen beschreibt, die Cloud Controls Matrix (CCM). Die CSA zertifiziert Cloud-Dienstleister mit dem sogenannten CSA STAR (Security Trust Assurance and Risk) anhand eines dreistufigen Zertifizierungsschemas.
Der EU Cloud of Conduct wurde vom unabhängigen Think Tank Scope Europe (Scope EU) entwickelt. Der Verhaltenskodex definiert eine Reihe von DSGVO-Anforderungen, die Cloud-Dienstanbietern (CSPs) nachweislich - entweder per Selbstauskunft oder durch Zertifizierung - erfüllen müssen.
European Cloud Service Data Protection Certification (AUDITOR): Das Forschungsprojekt European Cloud Service Data Protection Certification (AUDITOR) entwickelt derzeit eine europaweite Datenschutzzertifizierung für Anbieter von Cloud-Diensten. Das Zertifizierungsverfahren AUDITOR soll noch während der Projektlaufzeit (bis 31.12.2021) in der Praxis erprobt und validiert werden. Das Kompetenznetzwerk Trusted Cloud e.V. wird das AUDITOR-Zertifizierungsverfahren, das das TCDP (Trusted Cloud Datenschutz-Profil) ablöst, verwalten.
SecNumCloud: Die französische Cybersicherheitsangentur ANSSI entwickelte diese cloudspezifische Zertifizierung auf Basis der ISO27001. 2016 starteten ANSSI und BSI gemeinsam eine Initiative zur Cloud-Sicherheit. Mit ESCloud (Label für Cloud-Sicherheit) vereinen die beiden nationalen Cyber-Sicherheitsbehörden die Sicherheitsanforderungen des durch das BSI entwickelten Anforderungskatalogs C5 mit dem durch das ANSSI entwickelten Standard SecNumCloud zu einem einheitlichen Sicherheitsnachweis.
EUCS – Cloud Services Scheme: Die Europäische Agentur für Netzwerk- und Informationssicherheit ENISA entwickelt derzeit eine Europäische Zertifizierung für die Cybersicherheit von Cloud Services. Die Zertifizierung integriert auch den BSI C5 sowie die DSGVO und ist auf alle Servicemodelle (IaaS, PaaS, SaaS) anwendbar.
ISO 27017 und ISO27018: Als Teil der internationalen Normenfamilie ISO27000 definiert die Subnorm ISO27017 spezifische Schutzmaßnahmen zum Absichern von Cloud-Diensten für Provider wie auch für Kunden. Die ISO 27018 befasst sich speziell mit der Regulierung der Verarbeitung von personenbezogenen Daten in einer Cloud.