Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit der Wirtschaftsprüfungsgesellschaft PwC am 2. Dezember 2015 einen Kriterienkatalog vorgestellt, anhand dessen das Sicherheitsniveau von Cloud-Anbietern geprüft und transparent gemacht werden kann. Damit folgt das BSI seinem öffentlichen Auftrag, sich um Sicherheitsbelange der Informationsgesellschaft zu kümmern.
Die zunehmende Zahl Internet-basierter Lösungen und des gerade erst beginnenden Internet of Things (IoT) bringt verschiedene Sicherheitsfragen mit sich – nicht zuletzt auch für öffentliche Einrichtungen als potenzielle Nutzer. Der vorgestellte Kriterienkatalog ist noch als Entwurf gekennzeichnet. Abschließende Anpassungen sollen aber weitestgehend nur noch im Bereich der Ergänzungen erfolgen, also etwa im Zusammenhang mit Erläuterungen und Hilfstexten.
Im Wesentlichen ein Remix
Bereits in den vergangenen Jahren war beim BSI die erfreuliche Tendenz zu erkennen, geeignete internationale Standards in eigene Empfehlungen zu integrieren. So wurden vor allem ISO 27001/27002, CSA Cloud Control Matrix, AICPA Trust Service Principles, IDW ERS FAIT 5 sowie die eigenen Veröffentlichungen zum IT-Grundschutz und zu SaaS- Sicherheitsprofilen für den neuen Kriterienkatalog herangezogen und in einer Referenzierungsmatrix die Gemeinsamkeiten dargestellt.
- Die Studienteilnehmer
222 Mittelständler nahmen an der Studie teil. Zwei Drittel davon planen mit allen Cloud-Modellen. - Teilnehmende Branchen
Der größte Anteil der Teilnehmer kommt aus dem produzierenden Gewerbe. - Rolle der Cloud
Die Zahl der "Cloud-Verweigerer" liegt heute bei nicht einmal mehr 15 Prozent. - Zukunft gehört Multi-Cloud-Umgebungen
Die Zukunft liegt in Hybrid- und Multi-Cloud-Ansätzen. - Gründe für Cloud-Initiativen
Die Kundenanforderungen lassen Mittelständlern keine Wahl: der Weg führt in die Cloud. - IT-Abteilung entscheidet
IT-Abteilungen haben in Sachen Cloud den Hut auf. Doch kleine Mittelständler haben oft keine, dort entscheidet der Chef selbst. - Cloud-Anteil am IT-Budget
Vier von fünf Mittelständlern investieren weniger als 30 Prozent ihres IT-Budgets in Cloud-Technologien. - Flexibilität ist Trumpf
Anwender möchten flexibler und agiler werden. der Kostenaspekt ist nicht ganz so wichtig. - Immer noch Sicherheitssorgen
Datensicherheit und Datenschutz bleiben die hemmenden Faktoren. - Sichtbare Fortschritte
Die meisten Betriebe sind entweder in der konkreten Planungs- oder bereits in der Implementierungsphase. - Das wandert in die Cloud
E-Mail und Collaboration sind die bevorzugten Cloud-Anwendungen. - Vorhandenes wird verlagert
Am häufigsten werden bestehende Workloads migriert. - Offenheit ist Auswahlkriterium
Ein Public-Cloud-Anbieter muss vor allem offen sein und Integrationsmöglichkeiten bieten. - Bevorzugte Anbieter
AWS, Microsoft und SAP genießen die höchste Aufmerksamkeit im Mittelstand. - Cloud-Management
Als Cloud-Management-Lösungen sind VMware-Lösungen besonders beliebt. - Verantwortung beim Provider
Wer in die Public Cloud geht, sieht die Verantwortung für Betrieb und Sicherheit schwerpunktmäßig beim Anbieter. - Wann Externe ins Spiel kommen
Integration, Betrieb und Architektur sind Themen, bei denen Mittelständler Hilfe suchen. - Wichtig: Skills und Projekterfahrung
Cloud-Integratoren sollten gute Leute und Projekterfahrung haben. - Keine Alleingänge
Anwender arbeiten mit Externen zusammen.
Mit den Empfehlungswerken der Internationalen Organisation für Normung, der Cloud Security Alliance sowie der deutschen und amerikanischen Berufsorganisation für Wirtschaftsprüfung wurden international anerkannte Regelwerke ausgewählt, die eine breite praktische Akzeptanz aufweisen. Während des Projekts wurden zudem verschiedene thematisch gewichtige Verbände mit Cloud-Bezug, darunter Bitkom, CSA, ISACA und ODCA, um ein Meinungsbild zu den Zwischenergebnissen gebeten.
Das ein Mix aus einem halben Dutzend etablierter Empfehlungskataloge zur IT-Sicherheit alle wesentlichen Sicherheitsbereiche abdeckt, war zu erwarten. Daher stellt sich eher die Frage, welche Neuerungen und Vorteile sich aus der Zusammenstellung des BSI ergeben?
- Deutsche Unternehmen sind startklar für die Cloud
Grundsätzlich sind deutsche Unternehmen gut vorbereitet für den Einsatz von CloudServices. Das hat die Studie "Cloud Readiness 2015" von COMPUTERWOCHE, CIO und TecChannel ergeben. Die Befragung von fast 700 Entscheidern hat aber auch gezeigt, dass es an einigen Stellen noch Defizite gibt. - Minderheit mit Cloud-Readiness-Check
Haben Sie Ihr Unternehmen einem Cloud-Readiness-Check unterzogen? - Einstufung Cloud Readiness
Bitte stufen Sie Ihr Unternehmen in Sachen „Cloud Readiness“ ein! - Ausstiegsszenarien
Haben Sie in Ihrem Unternehmen geklärt, wie IT-Verfahren und die zugehörigen Daten wieder aus der Cloud geholt werden können? - Hindernisse
Was sind in Ihrem Unternehmen die größten Hindernisse für die Nutzung von Cloud-Services? - Cloud-Readiness-Studie 2015
Den ausführlichen Berichtsband zur Studie mit allen Ergebnissen und Daten können Sie über unseren Shop beziehen:
Alle der aufgeführten Empfehlungswerke haben ihre eigene Historie und Sichtweise auf das Thema Cloud-Sicherheit. Der generelle Zielkonflikt solcher Standards besteht darin, auf der einen Seite möglichst alle Facetten und Eventualitäten berücksichtigen und darstellen zu wollen und auf der anderen Seite die spezifische Situation des Anbieters zu berücksichtigen. Ist die Intention des Standards die einer Checkliste, ist die umfassende Darstellung wünschenswert. Für eine verlässliche Prüfung sind hingegen eher klare Prüfkriterien wünschenswert, die möglichst wenig Raum für Interpretation und damit auch für spezifische Situationen bieten.
Dieser Herausforderung musste sich auch das BSI stellen. Da die Behörde mit PwC eine Prüfungsgesellschaft als Projektpartner ausgewählt hat, war es wohl von Beginn an beabsichtigt, einen prüfungsorientierten Standard zu erstellen. Herausgekommen ist ein Kriterienkatalog, der sich in 18 Anforderungsbereiche gliedert und insgesamt 117 Einzelanforderungen auflistet. Um den unterschiedlichen Anbieter- und Anwendungsszenarien gerecht zu werden, wurden einige Einzelanforderungen als optional und für besondere Vertraulichkeits- oder Verfügbarkeitsanforderungen relevant gekennzeichnet.
Weitere Beiträge zum Thema Cloud-Zertifizierung
An den Anfang wurden außerdem vier Umfeldparameter gestellt, in denen die Spezifika der Anwendung in Bezug auf das Verfahren, das rechtliche Umfeld und bestehende Zertifizierungen dargestellt werden sollen. Zudem wurde ein eigener Anforderungsbereich „Dienstleistermanagement“ vorgesehen. Mit diesem Spagat soll trotz Prüfungsanspruch, der Weg für die spezifische Situationsberücksichtigung geebnet werden.
Geplant sind Testate, die sich, vergleichbar mit einer Bilanzprüfung, auf zurückliegende Prüfungszeiträume beziehen werden. Obwohl bestehende Zertifikate berücksichtigt werden können, dürfte mit der Zertifizierung ein signifikanter Validierungsaufwand verbunden sein. Noch ist unklar, wer mit welcher Akkreditierung die als Ergebnis angestrebten Testate wird abnehmen dürfen.
Praxis-Spiegel
Ob diese Differenzierung ausreicht, um die Bandbreiten und Lieferketten des Cloud-Spektrums abzudecken, wird wohl erst die Praxis zeigen. Im Projekt wurden zwar testweise drei Unternehmen erfolgreich validiert, jedoch nur ein mittelständischer Betrieb. Ob diese für den Cloud-Gesamt-Markt wirklich repräsentativ sind, darf zumindest mit Blick auf die aktuellen Entwicklungen angezweifelt werden.
Beim Cloud Computing geht es um Lieferketten und Dynamik. Schwergewichte wie Amazon, VMWare, Microsoft und IBM bauen Ihre Plattformangebote funktional immer weiter aus und ermöglichen Kleinstunternehmen und Startups, neue Lösungen in immer kürzeren Zyklen zu entwickeln, deren Hauptargument geringe Preise und hohe Flexibilität sind. Parallel dazu beginnen Cloud-Orchestrierungsstandards und Container-Initiativen wie OpenStack, das Open Container Projekt oder die Cloud Native Computing Foundation die architektonischen Möglichkeiten verteilter und dynamischer Verarbeitung auf eine ganz neue Stufe zu stellen.
Der Markt für Internet-gestützte Cloud-Marktplätze wie beispielsweise die Deutsche Börse Cloud Exchange (DBCE), die German Businesscloud oder die Cisco Intercloud steht ebenfalls noch ganz am Anfang, ebenso wie das Internet of Things. Die Komplexität wird zunehmen. Gleichzeitig diskutiert die IT-Branche unter dem Label DevOps, wie Anforderungsveränderungen in kürzester Zeit in die Systeme einfließen können. Die Stabilität von IT-Strukturen wird also gleichzeitig abnehmen. Das in diesem globalen Umfeld die Mehrzahl der Anbieter ein solches auf die Vergangenheit gerichtetes deutsches Testat und die damit verbundenen Aufwände mit Begeisterung aufnimmt, ist kaum zu erwarten. Dennoch sehen vielleicht Einige es als Chance, sich für den deutschen Markt damit abzugrenzen.
Ein weiteres Fragezeichen ergibt sich durch die hohe Dynamik im Zertifizierungsumfeld. Sowohl die ISO steht mit ihrer Cloud-Ergänzungsnorm ISO 27017 kurz vor der Veröffentlichung als auch das Bundesministerium für Wirtschaft und Energie mit dem Trusted Cloud Datenschutzprofil, das ebenfalls als offizieller Prüfstandard angelegt ist. Beide werden im Markt deutliches Gewicht haben, gehörten aber ebenso wie die Kommentare der europäische Sicherheitsbehörde ENISA „Privacy and Data Protection by Design – from Policy to Engineering“ nicht zu den aktuellen Integrationszielen der BSI-Initiative. Zwar strebt das BSI perspektivisch eine enge Abstimmung mit der französischen Behörde ANSSI an, in der Hoffnung aus diesem Nukleus einen europaweiten Cloud-Sicherheitsstandard zu entwickeln. Dennoch ist leider derzeit weder national noch europäisch eine klare Zertifizierungsstrategie für den öffentlichen Bereich mit Bezug auf Clouds erkennbar. Schade.
Hinzu kommt, dass es nicht nur Sicherheitsaspekte sind, für die sich Anwender interessieren. Mit der zunehmenden Vernetzung und Interaktion werden auch Integrationsstandards die Kaufentscheidungen maßgeblich mitentscheiden und sich mit Sicherheitsstandards vermischen.
Das Bessere ist der Feind des Guten
Trotz aller Defizite in Bezug auf die Dynamik und Komplexität der Cloud-Entwicklung darf man am Ende nicht übersehen, dass Anwender nach Verlässlichkeit suchen und sich in Hinblick auf gesetzliche und regulative Compliance gerne an behördlich abgesegneten Standards und Zertifikaten orientieren. Vor allem in Hinblick auf das Sicherheitsniveau unternehmenskritischer Anwendungen bei gleichzeitiger Praktikabilität positioniert sich der BSI-Kriterienkatalog aktuell ganz weit vorne. Ob dies Anbieter und Anwender genauso sehen, wird die Zukunft zeigen. Auch, ob es vielleicht demnächst neue Zertifikate gibt, die der Komplexität der Lieferketten vielleicht noch besser gerecht werden.