Wer steckt hinter dem Gütesiegel Trusted Cloud und welche Absicht wird damit verfolgt?
Zypries: Die Nutzung von Cloud Computing ist ein Erfolgsfaktor für die digitale Transformation und damit für die Sicherung der Wettbewerbsfähigkeit der deutschen Wirtschaft. Darüber sind sich heute Wirtschaft und Wissenschaft einig. Cloud Computing bringt aber auch neue Fragestellungen auf, beispielsweise beim Datenschutz. Gerade kleine und mittelständische Unternehmen sind oft noch zurückhaltend, weil sie kein Vertrauen in die neue Technologie haben oder ihnen dieser Markt angesichts einer Vielzahl unterschiedlicher Siegel und Zertifikate zu undurchsichtig ist.
Bisher deckt keines der verfügbaren Siegel die ganze Breite der Anforderungen an Cloud Computing ab. Sie zertifizieren eher spezifische Aspekte wie Datenschutz oder technische Kriterien. Daher sind sie für die Bedürfnisse des Mittelstands häufig ungeeignet. Wir denken aber, dass gerade diese Unternehmen besonders von Cloud-Lösungen profitieren könnten.
Genau hier setzt unser Label Trusted Cloud an. Es zeichnet vertrauenswürdige Cloud-Services und Dienstleistungen aus, die Mindestanforderungen an Transparenz, Sicherheit, Qualität und Rechtskonformität erfüllen. So entsteht Vertrauen in die auf der Trusted-Cloud-Plattform gelisteten Cloud-Services. Für Transparenz und Anbieterunabhängigkeit steht der Träger des Labels, der gemeinnützige Verein Kompetenznetzwerk Trusted Cloud (KN TC), bestehend aus Vertretern von Verbänden, der Wirtschaft sowie der Wissenschaft. Ich vertrete das Bundeswirtschaftsministerium im Beirat des Vereins. Dort achten wir auf die korrekte Umsetzung der Kriterien für das Label.
Unser Label Trusted Cloud ist aber kein Supersiegel, sondern eher vergleichbar mit einer objektiven Plattform, die transparent allgemeine Anforderungen an sichere und rechtskonforme Cloud-Dienste formuliert und Cloud-Services auflistet, die diese erfüllen. Letztlich kann die Umsetzung des Labels nur erfolgreich sein, wenn Experten die Marke weiterführen. Wir können nur eine Starthilfe geben.
Trusted Cloud - was ist das? |
Zentrales Anliegen des Labels Trusted Cloud ist es, vertrauenswürdige Cloud-Angebote für die Wirtschaft - nicht zuletzt für kleine und mittlere Unternehmen - erkennbar zu machen. Das Internet-Portal www.trusted-cloud.de soll hierfür als Marktplatz dienen und Anwender mit Anbietern zusammenführen. Beteiligt sind neben dem Bundeswirtschaftsministerium Capgemini für die Ausarbeitung und Umsetzung der Konzepte sowie die Firma Init für die Entwicklung und den Betrieb des Portals. Seit dem 7. März 2016 können in einem ersten Schritt Anbieter von Cloud-Services die Listung ihrer Angebote rund um die Cloud beantragen. |
Worauf können sich Unternehmen konkret verlassen, wenn ihr Anbieter der Wahl das Label Trusted Cloud erhalten hat?
Zypries: Cloud-Services, die das Label Trusted Cloud erhalten haben, erfüllen die Mindestanforderungen, die in dem frei zugänglichen Kriterienkatalog aufgeführt sind. Darauf können sich Unternehmen verlassen. Was geprüft und zugesichert ist, kann von jedem nachvollzogen werden. Dabei stehen zum Beispiel die Transparenz hinsichtlich Vertragsgestaltung, Qualität der Serviceerbringung und Sicherstellung der Datenhoheit des Anwenders im Fokus.
Die Prüfung der Mindestanforderungen wird von einem vereinsexternen Prüfer übernommen und von einem unabhängigen Aufsichtsgremium kontrolliert. Die Anbieter sichern die Korrektheit ihrer Angaben rechtsverbindlich zu. Mit der unabhängigen Prüfung und der Zusicherung seitens der Hersteller haben die Anwender ausreichend viele Informationen für die Auswahl eines Cloud-Service.
Entbindet das Siegel Anwenderunternehmen von der rechtlichen Verpflichtung, zu überprüfen, ob der Cloud-Provider ihrer Wahl sich an geltendes Datenschutzrecht hält?
Zypries: Nein. Wir erleichtern die Prüfung aber sehr. Wir wissen, dass beim Einsatz von Cloud Computing der Datenschutz für Anwender besonders wichtig ist, und haben darauf ein besonderes Augenmerk gelegt. Unsere entsprechenden Kriterien konzentrieren sich daher bewusst auf die Darstellung, ob die gesetzlich vorgeschriebenen Anforderungen des Bundesdatenschutzgesetzes (BDSG) von einem Cloud-Service eingehalten werden. Der Anwender sieht auf einen Blick, ob der Cloud-Service BDSG-konform ist.
Das ist ein enormer Mehrwert vor allem für Kleinbetriebe, die häufig nicht die notwendigen Ressourcen zur Einstellung von IT-Experten zur Verfügung haben. Das Trusted-Cloud-Portal soll auch den Zugang zur Datenschutzzertifizierung bei Auftragsdatenverarbeitung ermöglichen. Im Sommer wird der Pilot startbereit sein und rechtskonforme Datenverarbeitung damit wesentlich erleichtern. Diese Zertifizierung soll mit Blick auf die Anforderungen der EU-Datenschutz-Grundverordnung ausgebaut werden.
Erhalten auch ausländische Cloud-Provider, die in Europa Data Centers unterhalten, das Trusted-Cloud-Siegel?
Zypries: Im Sinne des freien Wettbewerbs beschränkt sich das Label nicht auf Cloud-Angebote aus Deutschland oder dem Europäischen Wirtschaftsraum (EWR). Wohl aber orientiert sich der Kriterienkatalog an einem Vertrag nach deutschem Recht und sieht als Gerichtsstand Deutschland vor. Das sind wesentliche Anforderungen für ausländische Anbieter. Das Label ist von Anfang an mit europäischen Partnern entwickelt worden und daher so angelegt, dass es auch auf EU-Ebene in Zukunft ausgerollt werden kann. Wir sind mit der EU-Kommission dazu im Gespräch.
Außerdem wollen wir die Transparenz von Cloud-Services auch dadurch erhöhen, dass der Nutzer bei uns nachlesen kann, in welchem Land seine Daten gespeichert und verarbeitet beziehungsweise administriert werden. Die Frage, ob die Rechenzentren in Deutschland, im Europäischen Wirtschaftsraum oder im außereuropäischen Ausland stehen, wird mit dem Kriterienkatalog beantwortet. Damit geben wir dem Anwender eine Entscheidungsgrundlage an die Hand, auf deren Basis er sich entlang seiner eigenen Bedürfnisse für oder gegen einen geeigneten Cloud-Anbieter entscheiden kann.
Gibt das Trusted-Cloud-Label auch Sicherheit bezüglich der Qualität und Vollständigkeit von Cloud-Angeboten?
Zypries: Qualität und Vollständigkeit der Angebote sind uns bei Trusted Cloud ebenfalls sehr wichtig. Deswegen müssen die Cloud-Anbieter zur Erlangung des Labels auch die zur Serviceerbringung notwendigen operativen Prozesse transparent darstellen. Da geht es beispielsweise um den Nachweis eines effizienten Service-Managements und Angaben zur zugesicherten Serviceverfügbarkeit ebenso wie um Angaben über Support und Training.
Brauchen Anbieter, die das Siegel führen wollen, einen Nachweis ihrer wirtschaftlichen Stabilität?
Zypries: Das ist ein Stichwort im Bereich der Anbietertransparenz. Dazu erfasst der Kriterienkatalog Angaben zur Leistungsfähigkeit und Erfahrung des Anbieters bei der Bereitstellung von Cloud-Lösungen. Anhaltspunkte sind auch Kriterien wie die Zahl der Mitarbeiter im Unternehmen, insbesondere im Bereich Cloud-Services, Angaben zum Unternehmensumsatz sowie die Zahl der angebotenen Cloud-Services. Diese Angaben lassen eine fundierte Einschätzung der wirtschaftlichen Stabilität des Anbieters zu.
Spielen Mindeststandards für IT-Sicherheit eine Rolle, um das Siegel zu erhalten?
Zypries: Das Label Trusted Cloud erleichtert auch hier dem Anwender den Überblick über die vorhandenen Services. Wir stellen bereits erhaltene anerkannte Zertifizierungen des Service dar, ebenso wie die zum Einsatz kommende technische Infrastruktur. Dadurch wird das vorausgesetzte Fachwissen der Anwender auf ein notwendiges Minimum reduziert.
Gibt das Trusted-Cloud-Label Garantien hinsichtlich unerwünschter Lock-in Effekte?
Zypries: Auch hier geht es um einen Aspekt, der bei Trusted Cloud großgeschrieben wird. Das ist die Sicherstellung der Datenhoheit des Anwenders über den gesamten Lebenszyklus der Cloud-Service-Nutzung hinweg. Und die hört eben nicht mit der Einführung der Cloud-Lösung auf, sondern geht darüber hinaus bis zum Ende der Nutzung bei einem Anbieter. Um auch hier Sicherheit und Transparenz zu schaffen, erfragt der Kriterienkatalog Regelungen zur Beendigungsunterstützung und Rücküberführung von Daten, die vertraglich definiert sein müssen. Zudem wird eine Darstellung der Verfahren zum Zugriff auf Kundendaten und zur Datenrücküberführung eingefordert und damit transparent für die Anwender. (hv)
- Die wichtigsten Cloud-Zertifikate
Cloud-Zertifikate sollen den wild wuchernden Markt der Cloud-Dienstleister durchsichtiger machen und bei der Suche nach einem zuverlässigen Provider Unterstützung bieten. - EuroCloud SaaS Star Audit
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter und richtet sich mit seinem Zertifikat ausschließlich an Software-as-a-Service Anbieter. Der deutsche Ableger zertifiziert Unternehmen nach dem Standard "Euro Cloud SaaS Star Audit". - Cloud EcoSystem "Trust in Cloud"
Das SaaS-EcoSystem richtet sich vor allem an mittelständisch geprägte Unternehmen, das "Trust in Cloud"-Zertifikat soll sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv vergleichen zu können. - TÜV Rheinland "Certified Cloud Service"
Der TÜV nimmt sich mit dem "Certified Cloud Service"neuerdings auch der Cloud an und hat dazu ein mächtiges Werkzeug für die Prüfung von Cloud-Services entwickelt. Beginnend mit einem "Cloud-Readiness Check" werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft. - SAS 70 von AICPA
Eher in den USA als in Europa wird SAS 70 von AICPA verwendet. Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. - Safe Harbour
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. - Cloud Experte
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen. - Trust in Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen. - German Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.