Kategorien
Analysen

Cloud Computing benötigt professionelle, unabhängige und vertrauenswürdige Zertifizierungen

Ich hatte vor über einem Jahr bereits über denn Sinn und Unsinn von Cloud Siegeln, Zertifikaten, Verbänden und Initiativen geschrieben. Ich bin damals schon zu dem Ergebnis gekommen, dass wir vertrauenswürdige Zertifizierungen benötigen. Allerdings sah der deutsche Markt eher schwach aus und wurde neben EuroCloud von weiteren Interessenvertretung wie der „Initiative Cloud Services Made in Germany“ oder „Deutsche Wolke“ vertreten. Aber es gibt mittlerweile einen vielversprechenden unabhängigen Neuling.

Ergebnisse aus dem letzten Jahr

„Cloud Services Made in Germany“ und „Deutsche Wolke“

Was Initiativen im Allgemeinen gemeinsam haben ist, dass Sie mit diversen Versprechen versuchen, so viele Anbieter von Cloud Computing Services wie möglich in die eigenen Reihen zu lotsen. Vor allem „Cloud Services Made in Germany“ springt auf das vermeintliche Qualitätsmerkmal Made in Germany auf und verspricht dabei „Mehr Rechtssicherheit bei der Auswahl von Cloud-basierten Diensten…“.

Und exakt so positionieren sich „Cloud Services Made in Germany“ und „Deutsche Wolke“. Mit schwachen Bewertungskriterien machen sich beide sehr attraktiv für Anbieter aus Deutschland, die mit dem „Aufkleber“ wiederum auf ihren Webseiten Werbung machen können. Jedoch wird in den Kriterien in keinster Weise auf die wirkliche Qualität eines Service eingegangen. Darf sich der Service wirklich Cloud Service nennen? Wie ist das Abrechnungsmodell? Sorgt der Anbieter für eine Cloud Computing konforme Skalierbarkeit und Hochverfügbarkeit? Und viele weitere Fragen, die essentiell wichtig sind, um die Qualität eines Cloud Service zu bewerten!

Beide Initiativen haben in Ihrer Form auf jeden Fall eine Berechtigung. Sollten allerdings nicht als ein Qualitätskriterium für einen guten Cloud-Service genutzt werden. Stattdessen gehören Sie in die Kategorie „Patriotismus: Hallo Welt, schaut mal wir Deutschen können auch Cloud.“

EuroCloud und Cloud-EcoSystem

Neben beiden Initiativen gibt es noch die Vereine EuroCloud und Cloud-EcoSystem, welche beide mit Gütesiegel und Zertifikat werben. EuroCloud hat dafür seinen SaaS Star Audit im Angebot. Der SaaS Star Audit richtet sich, wie der Name schon sagt, ausschließlich an Software-as-a-Service Anbieter. Je nach Wunsch und Geldbeutel kann sich dieser vom EuroCloud Verband mit einem bis fünf Sternen auszeichnen lassen, wobei der Anbieter ebenfalls Mitglied des EuroCloud sein muss. Die Anzahl der Sterne sagt wiederum auch etwas über den Umfang der Prüfung aus. Werden bei einem Stern lediglich „Vertrag & Compliance“ und ein bisschen „Betrieb Infrastruktur“ überprüft, werden bei fünf Sternen ebenfalls, Prozesse und Sicherheit intensiver überprüft.

Das Cloud-EcoSystem hingegen hat mit „Cloud-Experte“ sein Qualitäts-Zertifikat für Saas & Cloud Computing Berater sowie sein „Trust in Cloud“ für Cloud Computing Anbieter. Ein „Cloud-Experte“ nach dem Cloud-EcoSystem e.V. soll Anbietern wie auch Anwendern eine Entscheidungshilfe bieten können. Dabei kann ein Experte neben dem Schreiben und Erstellen von Fachartikeln und Checklisten ebenfalls Qualitätskontrollen vornehmen. Außerdem soll sich ein Kunde darauf verlassen können, dass der Berater über bestimmte Eigenschaften eines Kriterienkatalogs für “Cloud-Experten” verfügt. So soll jeder “Cloud-Experte” über tiefes Fachwissen und Basis Qualifikationen sowie vorhandene Referenzen verfügen und auf Wunsch seine selbst erstellten Unterlagen bereitstellen. Im Grunde geht es laut dem Cloud-EcoSystem e.V. also darum, das Cloud-EcoSystem zu gestalten und zu präsentieren.
Das „Trust in Cloud“-Zertifikat soll als Entscheidungshilfe für Unternehmen und Anwender dienen und sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv zu vergleichen und an Hand aufbereiteter Informationen zu einer sicheren Entscheidung kommen. Die Zertifizierung basiert auf einem Katalog mit 30 Fragen, der in 6 Kategorien á 5 Fragen unterteilt ist. Die Fragen müssen durch den Prüfling mit Ja oder Nein beantwortet werden und zudem nachgewiesen werden. Beantwortet der Cloud Anbieter eine Frage mit Ja, erhält er dafür eine “Cloud”. Die Checkliste umfasst die Kategorien Referenzen, Datensicherheit, Qualität der Bereitstellung, Entscheidungssicherheit, Vertragsbedingungen, Serviceorientierung und Cloud-Architektur.

Sowohl EuroCloud als auch das Cloud-EcoSystem gehen den richtigen Weg und versuchen Anbieter anhand selbst aufgestellter Kriterien zu bewerten. Zwei Punkte gilt es dabei jedoch zu hinterfragen. Zunächst handelt es sich um Vereine, das bedeutet, man muss als Anbieter Mitglied werden. Es sei berechtigterweise gefragt, welcher Verein sein Mitglied durch eine Prüfung durchfallen lässt – Unabhängigkeit? Weiterhin stellen beide ihre eigenen Anforderungskataloge auf, die nicht miteinander vergleichbar sind. Nur weil ein Anbieter von zwei verschiedenen Vereinen ein „Gütesiegel“ hat, das nach unterschiedlichen Kriterien bewertet, bedeutet das noch lange nicht, dass der Cloud-Service auch echte Qualität liefert – Vertraulichkeit.

Die Profis steigen in den Ring: TÜV Rheinland

Unbeachtet von allen Organisationen, die sich extra für die Cloud zusammengefunden haben, hat der TÜV Rheinland eine Cloud-Zertifizierung gestartet. Der TÜV selbst ist den meisten eher von der Prüfung und Abnahme von Krananlagen, Fahrgeschäften oder der Hauptuntersuchung beim Auto bekannt. Hat aber auch in der IT seit über 15 Jahren Erfahrungen in den Bereichen der Beratung und Zertifizierung im Hinblick auf Compliance, Risikomanagement und Informationssicherheit.

Der Cloud-Zertifizierungsprozess ist sehr umfangreich und hat seinen Preis. Ein erster Blick auf den Prüfungsprozess und den Anforderungskatalog zeigt jedoch, dass der TÜV Rheinland damit ein sehr mächtiges Werkzeug für die Prüfung von Cloud-Services und -Infrastrukturen entwickelt hat.

Beginnend mit einem „Cloud-Readiness Check“ werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft und darauf basierend ein Aktionsplan erstellt. Im Anschluss folgt die Überprüfung des „Cloud-Designs“, bei dem das Konzept und die Lösung selbst unter die Lupe genommen werden. Hier werden unter anderem Themen wie die Architektur aber auch die Netzwerksicherheit, Zugriffskontrollen usw. überprüft. Anschließend wird die eigentliche Umsetzung der Cloud-Lösung betrachtet und Qualitätschecks vorgenommen. Danach erfolgt die Vorbereitung zur Zertifizierung und später die eigentliche Zertifizierung.

Der Cloud-Anforderungskatalog des TÜV-Rheinland umfasst fünf Hauptbereiche, die wiederum in zahlreiche Teilbausteine untergliedert sind. Dazu gehören Prozessorganisation, Aufbauorganisation, Datensicherheit, Compliance / Datenschutz und Prozesse. Alles in allem ein sehr tiefgehender Anforderungskatalog.

In einem genannten Referenzprojekt hat der TÜV Rheinland acht Wochen für die Zertifizierung eines international tätigen Infrastructure-as-a-Service Anbieter benötigt.

Unabhängige und vertrauenswürdige Cloud Zertifizierungen sind zwingend erforderlich

Die Qualität und der Nutzen von Zertifikaten und Gütesiegeln stehen und fallen mit den Unternehmen, die mit der Prüfung beauftragt sind sowie deren definierten Prüfkriterien. Schwache Anforderungskataloge treffen weder eine ehrliche Aussage, noch helfen Sie, die Qualitätsunterschiede von Cloud-Lösungen für den Nutzer klar darzustellen. Im Gegenteil, IT-Entscheider verlassen sich im Zweifelsfall auf diese vermeintlich geprüften Services, deren Qualität auf einem anderen Blatt steht. Hinzu kommt, dass es im Cloud Computing nicht mehr darum geht, eine Software oder einen Service einzusetzen, geschweige denn zu installieren. Es wird am Ende nur noch konsumiert und der Anbieter ist für alle anderen Prozesse verantwortlich, die der Kunde sonst selbst übernommen hätte.

Aus diesem Grund sind unabhängige, vertrauenswürdige, aber vor allem professionelle Zertifizierungen notwendig, um eine ehrliche Aussage über die Qualität und Eigenschaft eines Cloud-Service, seines Anbieters und aller nachgelagerten Prozesse wie Sicherheit, Infrastruktur, Verfügbarkeit usw. zu gewährleisten. Als Anbieter sollte man daher ehrlich zu sich selbst sein und sich am Ende für eine Zertifizierung entscheiden, die auf professionelle Kriterienkataloge setzt, welche nicht nur an der Oberfläche kratzen sondern tief in die Lösung eintauchen und damit eine glaubwürdige Aussage über die eigene Lösung treffen.

Von Rene Buest

Rene Buest is Gartner Analyst covering Infrastructure Services & Digital Operations. Prior to that he was Director of Technology Research at Arago, Senior Analyst and Cloud Practice Lead at Crisp Research, Principal Analyst at New Age Disruption and member of the worldwide Gigaom Research Analyst Network. Rene is considered as top cloud computing analyst in Germany and one of the worldwide top analysts in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter and Google+. Since the mid-90s he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies.

Rene Buest is the author of numerous professional technology articles. He regularly writes for well-known IT publications like Computerwoche, CIO Magazin, LANline as well as Silicon.de and is cited in German and international media – including New York Times, Forbes Magazin, Handelsblatt, Frankfurter Allgemeine Zeitung, Wirtschaftswoche, Computerwoche, CIO, Manager Magazin and Harvard Business Manager. Furthermore Rene Buest is speaker and participant of experts rounds. He is founder of CloudUser.de and writes about cloud computing, IT infrastructure, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn.