Cloud-Standards und Zertifizierungen im Überblick

Standards und Cloud, passt das überhaupt zusammen? Cloud Computing ist einer der entscheidenden Innovationstreiber bei der künftigen Gestaltung der Informationstechnologie. Da ist meist wenig Platz für Standards, weil neue Konzepte, Architekturen und Technologien entwickelt werden, die sich zum Teil noch bestätigen müssen und kontinuierlich verändert und optimiert werden. Auf der anderen Seite verlangen Kunden Verlässlichkeit und wollen Investitionssicherheit für eigene Entwicklungen, um Cloud Services optimal in die eigene IT-Infrastruktur zu integrieren.

In zahlreichen Studien werden als Grundanforderungen genannt:

• Sind die Sicherheitsanforderungen ausreichend erfüllt?
• Kann ein Wechsel zu einem anderen Anbieter mit überschaubarem Aufwand erfolgen?
• Sind die rechtlichen und regulatorischen Anforderungen zu erfüllen?
• Besteht eine ausreichende Transparenz zur Überwachung der Services durch den Kunden?

Bei der Menge und Vielfalt der Cloud-Service-Angebote ist es auf Dauer ökonomisch nicht vertretbar, alle diese Grundanforderungen anhand individueller Analysen zu bewerten und sich mit den jeweiligen Technologien und Architekturen vertraut zu machen. Daher besteht auch in diesem Bereich die Notwendigkeit, Standards zu etablieren und deren Einhaltung zu prüfen.

Standards

Daran knüpft sich die Frage, was überhaupt als Standard gilt und in welchen Bereichen Standards schon zum Einsatz kommen. Im Kontext Cloud Computing sind es die Bereiche Technologie, Management und Recht, zu denen allgemeine Vorgaben erfüllt werden müssen, die zumeist nicht Cloud-spezifisch sind, sondern generell in den Bereichen IT-Outsourcing und Interoperabilität zu berücksichtigen sind.

Zumindest auf dieser Ebene existiert eine Vielzahl von Standardisierungsinitiativen, die bei der künftigen Gestaltung von Cloud Services zu berücksichtigen sind. Um „Lock-In“-Situationen – also die Inkompatibilität von kundenspezifischen Daten bei einer möglichen Migration auf einen anderen Cloud-Service oder die Rücküberführung in die selbstgeführte IT-Verarbeitung – zu vermeiden, ist besonderes der Bereich Interoperabilität zu beachten. Ein valider Ansatz ist der Einsatz von Open-Source-Technologien, die schon vom Grundkonzept her darauf ausgelegt sind, eine breite Integration zu unterstützen.

Eine weitere Möglichkeit ergibt sich durch den Einsatz von „Cloud-Brokern“, die den Zugriff auf unterschiedliche Cloud-Services vereinheitlichen. Dabei werden proprietäre Schnittstellen auf eine einheitliche Schnittstelle zusammengeführt. Wir kennen diese Konzepte aus dem Bereich der Enterprise Application Integration (EAI). Generell entwickelt sich ein Markt „Migration as a Service“, bei dem Daten zwischen unterschiedlichen Anwendungen überführt werden können. Solche Services können zum Beispiel gesamte E-Mail-Konten von Unternehmen in die Cloud oder von einem Cloud Service zum nächsten transferieren.

Qualität

Die besondere Herausforderung für den Anwender besteht nun in der qualitativen Bewertung eines Cloud-Service und des Anbieters, über den der Service bezogen wird. Der Begriff Qualität lässt sich gemäß ISO 9000 beschreiben als „ein Grad, in dem ein Satz objektiv messbarer Merkmale definierte Anforderungen erfüllt“. Das hört sich etwas sperrig an, sagt aber letztendlich aus, ob die Eignung anhand vorher festgelegter Anforderungen gegeben ist.

Bei der Vielzahl der angebotenen Cloud-Services stellt es eine enorme Herausforderung dar, den geeigneten Anbieter zu wählen. Für das klassische IT-Outsourcing konnte man entweder eine langjährige Reputation, den direkten Kontakt zum Anbieter oder in vielen Fällen auch die regionale Erreichbarkeit der IT-Standorte des Anbieters berücksichtigen. All diese Kriterien sind bei Cloud Computing zunächst nicht gegeben. Es wird in erster Linie ein Service gemietet und die Art und Weise der Serviceerbringung durch den Anbieter kann sehr komplex und völlig losgelöst von regionalen Betrachtungen sein.

So ist zum Beispiel zu prüfen, ob ein Softwaredienst eines nationalen Anbieters Teile der Erbringung (zum Beispiel die Rechner und Speicherkapazitäten) aus dem Ausland bezieht und sich somit besondere Anforderungen aus dem Datenschutz- und Steuerrecht ergeben. Eine Vielzahl von Services wird mittlerweile auch über Marktplätze und Portale angeboten, zum Teil auch als Eigenmarke. Auch hier ist zu hinterfragen, wer der eigentliche Leistungserbringer ist.

Compliance

Unter dem Begriff Compliance verstehen wir die Einhaltung von Gesetzen und Richtlinien des Unternehmens für eine ordnungsgemäße Betriebsführung. Für den Bereich Cloud Computing erreicht man die Prüfbarkeit der Compliance-Anforderungen nur durch eine ausreichende Transparenz der externen Serviceerbringung: die konkrete Bestimmung der Datenorte, der Leistungserbringer und ihrer Funktionen sowie die vertragliche Prüfung aller notwendigen Leistungsgarantien. Hinzu kommt die Anzeigepflicht eventueller Änderungen in der Leistungserbringung, die dann auch zu einem außerordentlichen Kündigungsrecht führen muss und bei der im Vorfeld auch eine ordnungsgemäße Rückführung der Daten an den Anwender vorgesehen wird.

Prüfanforderungen

Es gibt schon eine Reihe von Auditierungsschemen für IT-Outsourcing, die sich allerdings sehr auf die Themen Sicherheit und korrekte Transaktionsdurchführung beziehen. Für den komplexen Bereich des Cloud-Computing müssen aber alle kritischen Bereiche im Sinne der Compliance-Anforderungen geprüft werden.

Es ist sehr hilfreich, zunächst die eigenen Anforderungen zu klassifizieren und je nach Service eine Gewichtung des notwendigen Erfüllungsgrads zu erstellen. Dies sind in erster Linie die Bereiche

• Sicherheit
• Transparenz
• Skalierbarkeit
• Kontrollmöglichkeiten
• Integrationsfähigkeit und -aufwand
• Flexibilität
• Wirtschaftlichkeit
• Compliance

Die Anforderungen können je nach fachlicher Nutzung und Risikoeinschätzung der zu verwaltenden Daten unterschiedlich gesehen werden. Es ist zu empfehlen, für jeden geeigneten IT-Service, der aus der Cloud bezogen wird, eine Scorecard zu entwickeln, in der neben den jeweiligen Anforderungen auch eine Problemeinschätzung durchgeführt wird. Dabei sind die Fachanforderungen sehr unterschiedlich und können, je nach Cloud-Service, sehr stark variieren.

Die Prüfung darf sich auch nicht monolithisch in diesen Bereichen bewegen, sondern muss auch die Zusammenhänge untersuchen. So ist zum Beispiel die Zusage einer Verfügbarkeit von 99,9 Prozent einer SaaS-Anwendung nicht viel wert, wenn der Infrastrukturlieferant im Innenverhältnis nur eine Verfügbarkeit von 99,5 Prozent zusichert und keine geeigneten Redundanzverfahren eingerichtet sind.

Die Anforderung der Kontrolle eines externen IT-Anbieters wird im Bereich Cloud Computing zunehmend zu Problemen führen. Gerade in manchen Datenschutzbestimmungen wird die Vor-Ort-Prüfung des Anbieters eingefordert. Es stellt sich aber die Frage, wo denn „vor Ort“ ist. Beim Vertragsgeber, beim Rechenzentrumdienstleister oder beim Betreiber des Softwareangebots? Und wenn man einmal vom Standort der Daten ausgeht, muss man sich auch die Frage stellen, welche Informationen man aus einem persönlichen Besuch eines Rechenzentrums erhalten kann. Ohne eine intensive Überprüfung durch geschulte Personen aus dem Bereich Datenschutz, Datensicherheit, Betriebsführung und gegebenenfalls Softwareentwicklung erhält man im besten Fall einen subjektiven Eindruck, ob das Gesehene einen ordentlichen Eindruck macht, allerdings ohne qualitative Aussage zur Umsetzung der technischen und organisatorischen Maßnahmen.

Daher wird die Anwendung von Zertifizierungen durch anerkannte Prüfstellen eine immer wichtiger werdende Funktion für den Nachweis von Kontrollpflichten sein.

Im Bereich Cloud Computing wird diese Eignung zunächst an den fachlichen Anforderungen validiert und erst im Weiteren die Bereiche Sicherheit, Datenschutz, Integrationsfähigkeit und Compliance als fachübergreifende Anforderungen geprüft. Um eine solche Prüfung durchzuführen, bedarf es allerdings Kriterien und Prüfanforderungen, und zwar besonders in Bereichen, die nicht bei der fachlichen Betrachtung erkennbar sind. Da solche Prüfungen in der Regel aufwendig sind und besondere Expertise bei der Prüfung benötigt wird, gibt es Zertifizierungen.

Zertifizierung

Hier werden generelle Anforderungen im Rahmen eines standardisierten Prüfverfahrens formuliert und durch qualifizierte Auditoren validiert. Die ISO-Norm 27001 (IT-Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen) ist das bekannteste Prüfverfahren im Bereich der IT-Sicherheit.
Was Cloud Computing angeht, ist Sicherheit aber nur ein Aspekt der Prüfungsanforderungen. Gerade die Spezifikation von Service Level Agreements (SLA) und die vertragliche Formulierung von Datenschutzanforderungen sind ebenfalls in hohem Maße relevant. Da Cloud Services oftmals über mehrere Beteiligte erbracht werden, ist auch zu prüfen, ob die Anforderungen über die gesamte Lieferkette erfüllt sind. Wenn der Anbieter einer SaaS-Lösung eine ISO-27001-Zertifizierung hat, sagt dies noch lange nichts über die Sicherheitssysteme der Vorlieferanten, etwa eines eingebundenen Plattform- oder Infrastrukturanbieters, aus.

In der abgebildeten Übersicht werden einige der typischen Zertifizierungssysteme dargestellt.

Die EuroCloud Organisation hat schon im Jahr 2010 mit der Definition eines Cloud-spezifischen Zertifizierungsverfahrens begonnen und im Frühjahr 2011 unter der Bezeichnung EuroCloud Star Audit veröffentlicht. Mit einem einheitlichen Prüfverfahren für alle Cloud-Services und mit einem abgestuften Bewertungsverfahren ist die Umsetzung der Qualitätsanforderungen für die Kunden nachvollziehbar dokumentiert und durch qualifizierte Auditoren validiert.