TÜV Rheinland rät: Risiken bei Cloud Services genau prüfen

Cloud Computing wird sich 2013 endgültig im europäischen Mittelstand etablieren. Rund 80 Prozent aller Unternehmen werden sich im Laufe dieses Jahres für eine Lösung rund um die Datenwolke entscheiden, sind die Experten für Cloud Security bei TÜV Rheinland überzeugt. Hauptgründe sieht der TÜV Rheinland in Einsparungspotenzialen bei Soft- wie Hardware sowie neuen Formen der Kollaboration in den Unternehmen.

Die Europäische Union verspricht sich von der produktivitätsfördernden Technologie bis 2020 eine Steigerung des EU-Bruttoinlandsprodukts um 160 Milliarden Euro jährlich. Die Spezialisten für Informationssicherheit von TÜV Rheinland warnen allerdings vor überhöhten Erwartungen. „Es ist davon auszugehen, dass Unternehmen Cloud-Dienste in sensiblen Bereichen eher nicht in Anspruch nehmen. Der Grund ist mangelndes Vertrauen in Datenschutz und Datensicherheit bei den Cloud Service Providern“, erklärte Hendrik Reese, Experte für Cloud Security bei TÜV Rheinland anlässlich des 7. Europäischen Datenschutztages am 28. Januar 2013.

Die Skepsis ist grundsätzlich nicht unbegründet: Bei vielen Anbietern ist weder transparent, wo die sensiblen Daten gelagert werden noch wird klar beantwortet, ob und wie die Daten vor Verlust, Missbrauch oder Cyberspionage geschützt sind. „Die EU engagiert sich zwar in der Förderung von Cloud Computing, bleibt in der aktuellen Diskussion um die Reform des Datenschutzes in Bezug auf die Sicherheit von Cloud-Angeboten allerdings noch viele Antworten schuldig. Doch der Markt schläft nicht“, konstatiert Hendrik Reese.

Zurzeit macht sich eine breite Mehrheit in den Brüsseler Gremien für europaweit einheitliche Prüf- und Zertifizierungsverfahren im Cloud Computing stark. Eine Standardisierung der Anforderungen an Cloud Security, so die Fachleute, wird das Vertrauen in die neue Technologie bei den Unternehmen stärken, die künftig am deutlichsten von Cloud Computing profitieren: kleine und mittlere Organisationen. Darüber hinaus wird es auch die Entstehung europäischer Anbieter fördern und damit auch den Zuspruch europäischer Unternehmer.

Doch das ist Zukunftsmusik. Vorläufig sind aus Brüssel keine eindeutigen Regelungen, etwa in Bezug auf Rechte und Pflichten, Abläufe und Verantwortlichkeiten in Datenschutz und Datensicherheit bei Cloud Service Providern, zu erwarten.
   
„Für Unternehmen stellt sich also die Frage, wie sie das Potenzial der Cloud nutzen können, ohne Compliance- und Sicherheits-Risiken einzugehen“, erklärt Hendrik Reese. Denn generisch ist Cloud Computing nichts anderes als eine Form der Auftragsdatenverarbeitung und dafür hat der deutsche Gesetzgeber dem Cloud nutzenden Unternehmen bereits bestimmte Pflichten auferlegt, die er beim Provider durchsetzen und die dieser auch einhalten muss. Mit der Reform wird dies auch stärker europäisch verankert und teilweise verschärft.

Bei Datenschutzverletzungen beispielsweise ist das Unternehmen verpflichtet, seine Nutzer innerhalb von 24 Stunden zu benachrichtigen. Voraussetzung dafür ist, dass zunächst einmal die Information vom Provider an das Cloud nutzende Unternehmen fließt. Außerdem hat der User, dessen personenbezogene Daten in einer Cloud gespeichert werden, Anspruch auf eine elektronische Kopie der eigenen Daten. All diese Rechte und Pflichten sowie weitere Vertrags- und Haftungsfragen wie den Standort des Cloud Services sollten Unternehmen beim Provider vor Vertragsabschluss prüfen und verbindlich in der Nutzungsvereinbarung verankern lassen, empfiehlt TÜV Rheinland.

Wer sich bis zur Reform des europäischen Datenschutzes nicht auf eigenes Risiko mit dem Kleingedruckten befassen, sondern Compliance-konform auf Nummer Sicher gehen will, sollte sich nach einem TÜV Rheinland-zertifizierten Cloud Service Provider umsehen. Weil es bislang keine international verbindlichen Normen für Cloud Security gibt, haben die IT-Sicherheitsspezialisten einen eigenen Prüfkatalog für diese Herausforderung entwickelt. Dieser orientiert sich sowohl an den hohen Anforderungen des Bundesdatenschutzgesetzes, am IT-Grundschutz als auch an internationalen Normen wie der ISO 27001: Das Prüfsiegel „Zertifizierter Cloud Service Provider“ ist für Unternehmen wie Verbraucher ein zuverlässiger Wertmaßstab für Qualität, Sicherheit und Transparenz rund um die Cloud.

Dazu nimmt TÜV Rheinland sowohl die Cloud-Infrastruktur als auch die Anwendungen für den Datenzugriff in die Cloud im Hinblick auf Sicherheit, Interoperabilität und Compliance näher unter die Lupe. Geprüft wird die Einhaltung von Datenschutz und Datensicherheit im Einklang mit der geltenden deutschen Gesetzgebung, die auf diesem Gebiet als die strengste europaweit gilt. Ein wichtiges Kriterium ist auch die permanente Verfügbarkeit der Daten. Dazu checkt TÜV Rheinland die Kapazitäten, die Absicherung des Netzes und die Verschlüsselung der Verbindungen. Weitere wichtige Qualitätskriterien sind Prozesse, Kompetenzen und Verantwortlichkeiten innerhalb der Datenwolke. Nach Ablauf von zwölf Monaten überprüft TÜV Rheinland, ob der Provider diese Maßstäbe nach wie vor einhält. Der Prüfkatalog selbst wird kontinuierlich an die sich verändernden Anforderungen angepasst