Schlagwort: Zertifizierung

Kategorien
Analysen

Cloud Computing benötigt professionelle, unabhängige und vertrauenswürdige Zertifizierungen

Ich hatte vor über einem Jahr bereits über denn Sinn und Unsinn von Cloud Siegeln, Zertifikaten, Verbänden und Initiativen geschrieben. Ich bin damals schon zu dem Ergebnis gekommen, dass wir vertrauenswürdige Zertifizierungen benötigen. Allerdings sah der deutsche Markt eher schwach aus und wurde neben EuroCloud von weiteren Interessenvertretung wie der „Initiative Cloud Services Made in Germany“ oder „Deutsche Wolke“ vertreten. Aber es gibt mittlerweile einen vielversprechenden unabhängigen Neuling.

Ergebnisse aus dem letzten Jahr

„Cloud Services Made in Germany“ und „Deutsche Wolke“

Was Initiativen im Allgemeinen gemeinsam haben ist, dass Sie mit diversen Versprechen versuchen, so viele Anbieter von Cloud Computing Services wie möglich in die eigenen Reihen zu lotsen. Vor allem „Cloud Services Made in Germany“ springt auf das vermeintliche Qualitätsmerkmal Made in Germany auf und verspricht dabei „Mehr Rechtssicherheit bei der Auswahl von Cloud-basierten Diensten…“.

Und exakt so positionieren sich „Cloud Services Made in Germany“ und „Deutsche Wolke“. Mit schwachen Bewertungskriterien machen sich beide sehr attraktiv für Anbieter aus Deutschland, die mit dem „Aufkleber“ wiederum auf ihren Webseiten Werbung machen können. Jedoch wird in den Kriterien in keinster Weise auf die wirkliche Qualität eines Service eingegangen. Darf sich der Service wirklich Cloud Service nennen? Wie ist das Abrechnungsmodell? Sorgt der Anbieter für eine Cloud Computing konforme Skalierbarkeit und Hochverfügbarkeit? Und viele weitere Fragen, die essentiell wichtig sind, um die Qualität eines Cloud Service zu bewerten!

Beide Initiativen haben in Ihrer Form auf jeden Fall eine Berechtigung. Sollten allerdings nicht als ein Qualitätskriterium für einen guten Cloud-Service genutzt werden. Stattdessen gehören Sie in die Kategorie „Patriotismus: Hallo Welt, schaut mal wir Deutschen können auch Cloud.“

EuroCloud und Cloud-EcoSystem

Neben beiden Initiativen gibt es noch die Vereine EuroCloud und Cloud-EcoSystem, welche beide mit Gütesiegel und Zertifikat werben. EuroCloud hat dafür seinen SaaS Star Audit im Angebot. Der SaaS Star Audit richtet sich, wie der Name schon sagt, ausschließlich an Software-as-a-Service Anbieter. Je nach Wunsch und Geldbeutel kann sich dieser vom EuroCloud Verband mit einem bis fünf Sternen auszeichnen lassen, wobei der Anbieter ebenfalls Mitglied des EuroCloud sein muss. Die Anzahl der Sterne sagt wiederum auch etwas über den Umfang der Prüfung aus. Werden bei einem Stern lediglich „Vertrag & Compliance“ und ein bisschen „Betrieb Infrastruktur“ überprüft, werden bei fünf Sternen ebenfalls, Prozesse und Sicherheit intensiver überprüft.

Das Cloud-EcoSystem hingegen hat mit „Cloud-Experte“ sein Qualitäts-Zertifikat für Saas & Cloud Computing Berater sowie sein „Trust in Cloud“ für Cloud Computing Anbieter. Ein „Cloud-Experte“ nach dem Cloud-EcoSystem e.V. soll Anbietern wie auch Anwendern eine Entscheidungshilfe bieten können. Dabei kann ein Experte neben dem Schreiben und Erstellen von Fachartikeln und Checklisten ebenfalls Qualitätskontrollen vornehmen. Außerdem soll sich ein Kunde darauf verlassen können, dass der Berater über bestimmte Eigenschaften eines Kriterienkatalogs für “Cloud-Experten” verfügt. So soll jeder “Cloud-Experte” über tiefes Fachwissen und Basis Qualifikationen sowie vorhandene Referenzen verfügen und auf Wunsch seine selbst erstellten Unterlagen bereitstellen. Im Grunde geht es laut dem Cloud-EcoSystem e.V. also darum, das Cloud-EcoSystem zu gestalten und zu präsentieren.
Das „Trust in Cloud“-Zertifikat soll als Entscheidungshilfe für Unternehmen und Anwender dienen und sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv zu vergleichen und an Hand aufbereiteter Informationen zu einer sicheren Entscheidung kommen. Die Zertifizierung basiert auf einem Katalog mit 30 Fragen, der in 6 Kategorien á 5 Fragen unterteilt ist. Die Fragen müssen durch den Prüfling mit Ja oder Nein beantwortet werden und zudem nachgewiesen werden. Beantwortet der Cloud Anbieter eine Frage mit Ja, erhält er dafür eine “Cloud”. Die Checkliste umfasst die Kategorien Referenzen, Datensicherheit, Qualität der Bereitstellung, Entscheidungssicherheit, Vertragsbedingungen, Serviceorientierung und Cloud-Architektur.

Sowohl EuroCloud als auch das Cloud-EcoSystem gehen den richtigen Weg und versuchen Anbieter anhand selbst aufgestellter Kriterien zu bewerten. Zwei Punkte gilt es dabei jedoch zu hinterfragen. Zunächst handelt es sich um Vereine, das bedeutet, man muss als Anbieter Mitglied werden. Es sei berechtigterweise gefragt, welcher Verein sein Mitglied durch eine Prüfung durchfallen lässt – Unabhängigkeit? Weiterhin stellen beide ihre eigenen Anforderungskataloge auf, die nicht miteinander vergleichbar sind. Nur weil ein Anbieter von zwei verschiedenen Vereinen ein „Gütesiegel“ hat, das nach unterschiedlichen Kriterien bewertet, bedeutet das noch lange nicht, dass der Cloud-Service auch echte Qualität liefert – Vertraulichkeit.

Die Profis steigen in den Ring: TÜV Rheinland

Unbeachtet von allen Organisationen, die sich extra für die Cloud zusammengefunden haben, hat der TÜV Rheinland eine Cloud-Zertifizierung gestartet. Der TÜV selbst ist den meisten eher von der Prüfung und Abnahme von Krananlagen, Fahrgeschäften oder der Hauptuntersuchung beim Auto bekannt. Hat aber auch in der IT seit über 15 Jahren Erfahrungen in den Bereichen der Beratung und Zertifizierung im Hinblick auf Compliance, Risikomanagement und Informationssicherheit.

Der Cloud-Zertifizierungsprozess ist sehr umfangreich und hat seinen Preis. Ein erster Blick auf den Prüfungsprozess und den Anforderungskatalog zeigt jedoch, dass der TÜV Rheinland damit ein sehr mächtiges Werkzeug für die Prüfung von Cloud-Services und -Infrastrukturen entwickelt hat.

Beginnend mit einem „Cloud-Readiness Check“ werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft und darauf basierend ein Aktionsplan erstellt. Im Anschluss folgt die Überprüfung des „Cloud-Designs“, bei dem das Konzept und die Lösung selbst unter die Lupe genommen werden. Hier werden unter anderem Themen wie die Architektur aber auch die Netzwerksicherheit, Zugriffskontrollen usw. überprüft. Anschließend wird die eigentliche Umsetzung der Cloud-Lösung betrachtet und Qualitätschecks vorgenommen. Danach erfolgt die Vorbereitung zur Zertifizierung und später die eigentliche Zertifizierung.

Der Cloud-Anforderungskatalog des TÜV-Rheinland umfasst fünf Hauptbereiche, die wiederum in zahlreiche Teilbausteine untergliedert sind. Dazu gehören Prozessorganisation, Aufbauorganisation, Datensicherheit, Compliance / Datenschutz und Prozesse. Alles in allem ein sehr tiefgehender Anforderungskatalog.

In einem genannten Referenzprojekt hat der TÜV Rheinland acht Wochen für die Zertifizierung eines international tätigen Infrastructure-as-a-Service Anbieter benötigt.

Unabhängige und vertrauenswürdige Cloud Zertifizierungen sind zwingend erforderlich

Die Qualität und der Nutzen von Zertifikaten und Gütesiegeln stehen und fallen mit den Unternehmen, die mit der Prüfung beauftragt sind sowie deren definierten Prüfkriterien. Schwache Anforderungskataloge treffen weder eine ehrliche Aussage, noch helfen Sie, die Qualitätsunterschiede von Cloud-Lösungen für den Nutzer klar darzustellen. Im Gegenteil, IT-Entscheider verlassen sich im Zweifelsfall auf diese vermeintlich geprüften Services, deren Qualität auf einem anderen Blatt steht. Hinzu kommt, dass es im Cloud Computing nicht mehr darum geht, eine Software oder einen Service einzusetzen, geschweige denn zu installieren. Es wird am Ende nur noch konsumiert und der Anbieter ist für alle anderen Prozesse verantwortlich, die der Kunde sonst selbst übernommen hätte.

Aus diesem Grund sind unabhängige, vertrauenswürdige, aber vor allem professionelle Zertifizierungen notwendig, um eine ehrliche Aussage über die Qualität und Eigenschaft eines Cloud-Service, seines Anbieters und aller nachgelagerten Prozesse wie Sicherheit, Infrastruktur, Verfügbarkeit usw. zu gewährleisten. Als Anbieter sollte man daher ehrlich zu sich selbst sein und sich am Ende für eine Zertifizierung entscheiden, die auf professionelle Kriterienkataloge setzt, welche nicht nur an der Oberfläche kratzen sondern tief in die Lösung eintauchen und damit eine glaubwürdige Aussage über die eigene Lösung treffen.

Kategorien
News

Das SaaS-EcoSystem stellt neue Trust in Cloud-Zertifikate aus

Um Nutzern eine Entscheidungshilfe bei ihrer Auswahl der passenden SaaS/Cloud-Lösung zu geben, bietet das SaaS-EcoSystem mit Trust in Cloud und dem Cloud-Experten zwei Zertifizierungen an, die sich nach eigenen Angaben wachsender Beliebtheit erfreuen. Jetzt konnte das Netzwerk drei weitere „Trust in Cloud“-Zertifikate vergeben: Apexnova, BBL-Software und Procad heißen die Neu-Zertifizierten.

Das SaaS-EcoSystem stellt neue Trust in Cloud-Zertifikate aus

Im Bereich ERP & Groupware hat die Apexnova GmbH mit zquadrat ein browserbasiertes ERP für den kleineren bis gehobenen Mittelstand mit speziellen Erweiterungen für Zeitarbeitsunternehmen und Personalvermittler entwickelt. Es bietet neben den üblichen warenwirtschaftlichen Funktionen eines ERP-Systems auch Module für DMS, Groupware, HRM, Bewerbermanagement, Projektmanagement und Zeiterfassung. Das System ist mandantenfähig, rollenbasiert und mehrsprachig. Die BBL-Software GmbH wurde im Bereich ERP & Multi-Projektmanagement für ihr cloudbasiertes Projektmanagementsystem PROJEKTA ausgezeichnet, das KMUs von der Projektplanung bis zur -abrechnung begleitet. Von der Registrierung bis zum Einsatz der Software vergehen maximal drei Minuten. In der Kategorie DMS und Filesharing erhielt die PROCAD GmbH & Co. KG für ihr Online-Filesharingsystem PROOM das Zertifikat aus den Händen des SaaS-EcoSystem-Vorstandes.

Als neutrale Instanz hat sich das SaaS-EcoSystem das Ziel gesetzt, die Angaben der Zertifikatsanwender nach sieben Fachkriterien: Referenzen, Datensicherheit, Entscheidungssicherheit, Qualität der Bereitstellung, Vertragsbedingungen, Service-Orientierung und Cloud-Architektur zu prüfen. Anders als bei üblichen Gütesiegel geht es dabei nicht um funktionale Qualität. „Dies halten wir für nicht zielführend, da es hier an objektiven Kriterien und nachvollziehbaren und fairen Bewertungsrastern mangelt“, erklärt Frank Türling, Geschäftsführer der Strategius GmbH und als Vorstandsvorsitzender des SaaS-EcoSystem e.V. zuständig für die Öffentlichkeitsarbeit, „vielmehr stellt Trust in Cloud auf zufriedene Kunden und Sicherheit ab.“ Den zertifizierten Unternehmen bietet „Trust in Cloud“ gleichzeitig die Möglichkeit, sich über das neue Qualitätszertifikat erfolgreich am Markt zu positionieren.

Kategorien
News

Google Apps erhält ISO-27001 Zertifizierung

Google hat seine Office Suite Google Apps von den Wirtschaftsprüfern Ernst & Young nach ISO-27001 zertifizieren lassen. Das teilt Google auf seinem Unternehmensblog mit und unterstreicht damit erneut das hartnäckige Ziel, auch Unternehmenskunden in seine Cloud begleiten zu wollen.

Google erhält damit die Bestätigung, dass sich Google Apps for Business an sämtliche Anforderungen für die „… Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken… “ hält.

Einzelne Nutzer oder Startups schauen in erster Linie nicht darauf, ob ein Unternehmen eine ISO-Zertifizierung besitzt. Allerdings erhalten größere Unternehmen sowie Entscheider, die sich mit ihrer Unterschrift für den Vertrag verantworten müssen, ein stück weit Sicherheit und dass sie bedenkenlos Googles Cloud Lösung nutzen können.

Die weltweite gültige Zertifizierung wurde von Ernst & Young durchgeführt und ergänzt Google Apps for Government, die bereits die Zertifikate SSAE 16/ISAE 3402 und Fisma besitzt. Allerdings sollte man nicht vergessen, dass dieses Zertifikat keinen Freifahrtschein für die 100%ige Sicherheit der Anwendung ausstellt. Unternehmen die sich nach ISO-27001 zertifizieren lassen, setzen sich lediglich selbst hohe Maßstäbe, um eine hohe Sicherheit zu gewährleisten. Ihre Sicherheitsvorkehrungen und Prozesse dokumentieren sie zudem sorgfältig, um zu zeigen, wie sie den eigenen hohen Erwartungen gerecht werden.

Unternehmen sollten weiterhin zur Kenntnis nehmen, dass Google seinen Kunden weiterhin nicht die Möglichkeit gibt, selbst zu entscheiden, wo die Unternehmensdaten – bspw. in Europa – gespeichert werden.

Weitere Informationen zu den Sicherheits-Audits und Zertifizierung für Google Apps stehen im Dokument [PDF] „Google Apps for Business Audit & Certification Summary„.

Kategorien
News

Die Cloud Security Alliance plant eigene Cloud Zertifizierung

Die Cloud Security Alliance (CSA) wird ein eigenes Open Certification Framework veröffentlichen, mit dem Cloud Anbieter flexibel, stufenweise und auf unterschiedlichen Ebenen auf Basis der CSA Richtlinien und Kontrollziele zertifiziert werden sollen.

Die Cloud Security Alliance plant eigene Cloud Zertifizierung

Die Cloud Security Alliance (CSA), ein nicht kommerzieller Zusammenschluss von Unternehmen, Einzelpersonen, Organisationen und weiteren „Interessenten“, die die sichere Nutzung des Cloud Computing vorantreiben wollen. Im Wesentlichen versucht die CSA einen gesetzlichen Rahmen für eine weltweit anerkannte Zertifizierung zu entwickeln, welcher die eigenen Anforderungen an die Vertrauenswürdigkeit usw. vertritt. Mit anderen Worten soll eine Reihe von Best Practices für die Cloud Sicherheit erstellt werden.

Das Framework wird auf den Kontrollzielen und der Struktur des CSA Governance, Risk and Compliance (GRC) Stack basieren. Der GRC Stack ist ein sich ständig weiterentwickelndes Tool mit dem Cloud Nutzer und Anbieter, sowohl Private als auch Public Clouds mit etablierten und bewährte Vorgehensweisen, Normen und Compliance-Anforderungen vergleichen können. Das Framework wird zudem einen expliziten Leitfaden für die Nutzung des GRC-Stack-Tools zur Zertifizierung mitbringen.

Der GRC-Stack besteht aus den folgenden Einzelteilen:

  • CloudAudit: Stellt Cloud Computing Anbietern und Nutzern eine offene und sichere Schnittstelle sowie Methoden zur Verfügung, mit denen sie automatisiert das Audit ihrer Cloud Umgebung vornehmen können.
  • Cloud Controls Matrix: Enthält alle grundlegende Richtlinien für die Beurteilung der Sicherheit und das Risiko eines Cloud Anbieters.
  • Consensus Assessments Initiative: Ist für die Forschung, Entwicklung neuer Tools und Förderung von Partnerschaften mit der Industrie zuständig, um Cloud Computing Audits zu ermöglichen.
  • CloudTrust Protocol: Hiermit können Cloud Nutzer alle Informationen bzgl. der Transparenz eines Angebots anfragen. Die Idee hinter dem Protokol ist nachzuweisen, dass in der Cloud exakt alles genauso geschieht, wie es der Cloud Anbieter nach Außen darstellt.

Die Zertifizierung wird zudem verschiedene Ebenen abbilden, welche die unterschiedlichen Anforderungen an die Vertrauenswürdigkeit und den Reifegrade von verschiedenen Anbietern und Nutzern unterstützt. Die Qualität wird auf unterschiedliche Weise sichergestellt. Vom „CSA Security, Trust, and Assurance Registry (STAR)“ Selbsttest bis hin zur kontinuierlichen Überprüfung durch externe Auditor,

Die CSA wird auf dem CSA Congress am 25.September 2012 in Amsterdam weitere Informationen und Partner zu dem Framework bekanntgeben.