Cloud

Code of Conduct für Cloud Service Providers: Gütesiegel für die Cloud

Die Cloud wächst und wächst, meldet der Digitalverband Bitkom: 65 Prozent der Unternehmen in Deutschland setzen auf Software, Speicher oder Rechenleistung aus der Cloud, so der Cloud-Monitor 2017. Und auch wenn die Sorgen um die Sicherheit von Cloud-Diensten weniger geworden sind: Cloud-Umgebungen kämpfen mit den gleichen Bedrohungen wie traditionelle Firmennetze und sind durch die gespeicherten Daten ein höchst attraktives Angriffsziel. Jedes Unternehmen, unabhängig ob es ein globaler Cloud-Provider ist, ein Konzern mit entsprechendem konzerninternen IT-Dienstleister oder ein mittelständisches Unternehmen mit angesiedelter IT-Abteilung, muss sich vor Angriffen schützen. Die Frage ist: Wie viel Aufmerksamkeit, Budget und Spezialwissen ein Unternehmen, dessen Kernkompetenz nicht IT ist, diesem Thema widmen kann?

Sicherheit in der Cloud hat höchste Priorität. Unternehmen teilen sich in der Cloud häufig Rechner und Netzwerk, Speicher und Datenbanken. Jede dieser Einzelkomponenten bietet eine mögliche Angriffsfläche und deswegen ist es wichtig, entsprechende technologische und prozessuale Maßnahmen sicherzustellen.

Der erste Schritt hin zu einer sicheren Cloud ist jedoch das Bewusstsein um die Bedrohungen, der zweite Schritt die Wahl des richtigen Cloud-Dienstes und des jeweiligen Anbieters. Das hat auch die Politik erkannt und mit einigen Unternehmen den European Union Data Protection Code of Conduct für Cloud Service Providers(CoC) erarbeitet. Ähnlich komplex wie der Name sind auch die Inhalte des 41-Seiten-Dokumentes, deshalb haben wir bei Dominic Schulz, Vice President Cloud Deutschland, Österreich und Schweiz bei IBM, nachgefragt.

Dominic Schulz

Dominic Schulz, Vice President Cloud Deutschland, Österreich und Schweiz bei IBM, gibt Auskunft über den European Union Data Protection Code of Conduct für Cloud Service Providers(CoC).

Was sind die wesentlichen Punkte des Code of Conduct für Cloud Service Provider?

Dominic Schulz: Meiner Meinung nach ist Vertrauen der wesentliche Punkt bei der Auswahl eines Cloud-Partners, gefolgt von der entsprechend zugrunde liegenden Technologie. Schauen Sie nur auf ihr privates Umfeld: Viele Menschen haben beispielsweise Sicherheitsbedenken bei Smart-Home-Anwendungen, was deren Adaption beeinträchtigt – und so ist es auch im Geschäftsleben. Das ist unter anderem ein Grund für die zurückhaltende Entwicklung digitaler Geschäftsmodelle im deutschen Mittelstand. Deshalb ist es für die breite Durchsetzung einer neuen Technologie so wichtig, verbindliche Regeln festzulegen, die dann auch entsprechend überprüft werden. Der CoC ist ein solches Regelwerk und der erste dieser Art weltweit. Entstanden in dreijähriger Zusammenarbeit zwischen der Europäischen Kommission und verschiedenen Cloud-Service-Providern orientiert er sich an den Bedürfnissen des Marktes und Kundenanwendungen.

Welche Cloud-Dienste umfasst er konkret?

Dominic Schulz: Er umfasst Dienste für Infrastruktur-, Plattform- und Software-as-a-Service und ist somit breiter angelegt als die bisherigen Regelwerke, beispielsweise CISPE, der sich nur auf Infrastruktur-Dienste bezieht. Dabei werden nicht die Anbieter, sondern die individuellen Cloud-Dienste zertifiziert. Das ist essentiell, denn ein Anbieter kann durchaus sichere Plattform-Dienste anbieten, aber die Anforderungen an Software-as-a-Service nicht erfüllen.
Wichtig in diesem Zusammenhang ist auch, dass der CoC langfristig angelegt ist: SCOPE Europe, eine neue unabhängige Organisation, wird die weitere Entwicklung des CoC beaufsichtigen, geeignete Governance-Gremien einrichten und so die Zuverlässigkeit und Transparenz des CoC sicherstellen.

Was haben die Kunden davon?

Dominic Schulz: Es hilft ihnen bei der Auswahl des entsprechenden Cloud-Providers. Denn die Unternehmen, die ihre Cloud-Dienste im Rahmen des CoC zertifizieren, verpflichten sich, dass ihre Datenschutz- und Sicherheitsrichtlinien weit über die gesetzliche Einhaltung hinausgehen. So ist Sicherheit ein Hauptmerkmal aller IBM Cloud-Lösungen und sie entsprechen – von externen Auditoren geprüft – einer Vielzahl von deutschen, internationalen und industriellen Standards, wie die ISO-Standards 27001 und 27017 oder FISMA oder FedRAMP. Über den CoC bekommen Kunden einen transparenten Überblick über das Angebot am Markt und können nach ihren individuellen Anforderungen entscheiden.

Code of Conduct für Cloud Service Providers

Die Unternehmen, die  beim Code of Conduct mitmachen verpflichten sich auf strenge Datenschutz- und Sicherheitsrichtlinien

Machen alle Cloud-Provider mit?

Dominic Schulz: Der Beitritt zum CoC ist grundsätzlich freiwillig – jeder Anbieter muss für sich entscheiden, ob er seine Dienste zertifizieren lässt oder einen anderen Weg geht, um dann im Mai 2018 GDPR-konform zu sein. Gründungsmitglieder sind Fabasoft, Oracle, Salesforce, SAP und IBM, Alibaba Cloud ist im April 2017 beigetreten. Amazon Web Services und Microsoft haben jeweils einen eigenen proprietären Code of Conduct für ihr Cloud-Angebot entwickelt.
Es liegt in der Hand jedes Unternehmers zu bewerten, inwieweit man sich auf den CoC verlässt, welcher gemeinsam mit der Europäischen Kommission entwickelt worden ist oder ob man sich auf individuelle Definitionen einzelner Cloud-Anbieter verlässt. In der Praxis bedeutet das, dass Rechtsabteilungen bei Abweichungen vom CoC der Europäischen Kommission die herstellerspezifischen Vorschläge prüfen, was wiederum zu Verzögerungen in den Projekten führen kann. Warum auf individuelle Regeln eingehen, wenn es eine EU-weite Regelung gibt?

Trend Multi-Cloud: Unternehmen nutzen zunehmend Cloud-Dienste verschiedener Anbieter. Wenn sie nun einen zertifizierten Dienst von IBM mit einem unzertifizierten Dienst eines anderen Anbieters kombinieren, wird es dann nicht insgesamt unsicher?

Dominic Schulz: Ja, wir entwickeln uns rapide in Richtung einer Multi-Cloud-Welt. Ende 2018 wird die Hälfte aller Unternehmen mehr als fünf verschiedene Cloud-Dienstleister nutzen und die IT der Unternehmen mehrere Rechenzentren umspannen. Damit geht dann die zunehmende Fragmentierung der Systeme und Daten einher, die nahtlos integriert werden müssen, um den größten Nutzen für das Unternehmen zu erzielen. Diese zunehmend heterogene IT-Umgebung erfordert verschiedene Integrations- und Sicherheitsmaßnahmen, die insbesondere die Daten und die verknüpften Anwendungen einbindet.

Dabei gilt: Eine Gesamtlösung, die auf unterschiedliche Services einzelner Cloud Anbieter basiert, wird nicht pauschal unsicher. Es gilt jedoch ein gesondertes Augenmerk darauf zu legen, wie der Datenfluss aussieht und welche Anwendungen welche Daten Zugriff haben und was diese damit tun. Ich möchte hier auch dafür sensibilisieren, zu prüfen, was der beauftragte Cloud-Provider mit den Daten des Kunden macht. Zum Beispiel garantiert IBM, dass wir die Daten nicht zur anderweitigen Nutzung oder Auswertung verwenden. Kundendaten sind Kundendaten. Die Erkenntnisse aus den Kundendaten gehören dem jeweiligen Kunden, nicht der IBM und schon gar nicht etwaigen Drittanbietern, unabhängig ob die Daten anonymisiert sind oder nicht. Dies ist nicht immer so der Fall – prüfen Sie das bei der Auswahl ihres Cloud-Providers.

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Cloud Stories

Wenn Offenheit und Flexibilität zählen: OpenStack erobert die Cloud!

Mit Cloud-Services erreichen Unternehmen mehr Flexibilität und Skalierbarkeit für ihre Applikationen und verkürzen ihre Time-to-Market. So weit – so gut. Dabei haben zahlreiche Anwender jedoch die Befürchtungen, von einem Anbieter abhängig zu werden – der gefürchtete Vendor-Lockin. So haben sich vor allem die Open-Source-Communities auf die Fahne geschrieben, Standards zu schaffen, die genau dies verhindern. […]

Datenschutz und Sicherheit in der Cloud

Laut den Marktforschern von Forbes werden im Zeitraum von 2015 bis 2020 die weltweiten IT-Ausgaben für Cloud Computing um das Sechsfache steigen. Allein in der EU hat die Europäische Kommission den Wert der Datenwirtschaft im Jahr 2015 auf mehr als 285 Milliarden Euro geschätzt – dieser Wert könnte bis 2020 auf 739 Milliarden Euro anwachsen. […]

AUDITOR: Sicherheit ist ein Wert an sich

Unabhängig davon, ob man seine Daten vollständig selbst hinter den eigenen Firewalls im Unternehmen verwaltet oder auf die wirtschaftlichen und organisatorischen Vorteile von Cloud Computing setzt: Die Frage nach der Sicherheit ist und bleibt das beherrschende Thema. Datenschutz ist ein Wert an sich, auch unabhängig von regulatorischen Bestimmungen. Und man fragt sich gelegentlich schon, was […]