Cloud

AUDITOR: Sicherheit ist ein Wert an sich

Unabhängig davon, ob man seine Daten vollständig selbst hinter den eigenen Firewalls im Unternehmen verwaltet oder auf die wirtschaftlichen und organisatorischen Vorteile von Cloud Computing setzt: Die Frage nach der Sicherheit ist und bleibt das beherrschende Thema. Datenschutz ist ein Wert an sich, auch unabhängig von regulatorischen Bestimmungen. Und man fragt sich gelegentlich schon, was mit den Abertausenden – auch persönlichen – Informationen in Clouds, auf Servern und allgemein im wolkigen virtuellen Raum geschieht. Zum Beispiel ist es für viele Unternehmen beruhigend zu wissen, wenn ein Cloud-Anbieter die Daten seiner Kunden komplett innerhalb der Europäischen Union verwahrt. IBM bietet unter anderem deshalb die EU Cloud in Frankfurt am Main an.

Denn Sicherheit und Transparenz sind für uns nicht bloß Schlagworte – wir richten unser komplettes Angebot danach aus. Im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO/GDPR) ist es für viele Kunden wichtig, dass eine Cloud komplett in Europa und nach allen hier gültigen, regulatorischen Bestimmungen arbeitet. Zusätzlich verfügt IBM über eine C5-Testierung. Unsere EU Cloud genügt also den hohen Anforderungen des „Cloud Computing Compliance Controls Catalogue“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das weitreichende C5-Testat ist in Deutschland notwendig, wenn Behörden und öffentliche Einrichtungen Cloud-Dienste nutzen wollen. Und IBM arbeitet als einer der ersten Unterzeichner nach den Maßgaben des European Union Data Protection Code of Conduct für Cloud Service Providers (CoC). Diese Zertifizierung umfasst Dienste für Infrastruktur-, Platform- und Software-as-a-Service-Angebote aus der Cloud.

Partner bei europäischem AUDITOR Forschungsprojekt

Vor allem aber gehören die Daten bei uns immer nur den Kunden. IBM fasst sie nicht an, verarbeitet sie nicht oder gibt sie gar in andere Hände. Unser Geschäftsmodell baut nicht auf den verarbeiteten Daten oder den Daten der Kunden auf – das unterscheidet uns auch von unseren Wettbewerbern.

Diese Selbstverpflichtung zum strikten Datenschutz sowie jahrzehntelange Erfahrung und Reputation in Sachen Datensicherheit bringt IBM jetzt in die neue europäische Initiative AUDITOR mit ein. IBM ist assoziierter Partner in diesem wegweisenden Projekt. Ziel des Forschungsprojekts ist eine europäische Datenschutz-Zertifizierung für Cloud-Dienste. Diese Initiative wurde vom Bundesministerium für Wirtschaft und Energie (BMWi) unter der Leitung des Karlsruher Instituts für Technologie (KIT) ins Leben gerufen. Mit dem KIT verbindet IBM eine langjährige Forschungspartnerschaft über das Karlsruhe Service Research Institute (KSRI). Das KIT ist zudem Partneruniversität der IBM Academic Initiative.

AUDITORIm Markt gibt es nicht erst seit Einführung der DSGVO im Mai 2018 einen wachsenden Bedarf nach einem einheitlichen und nachprüfbaren Datenschutzstandard für Cloud-Lösungen. Neben Großunternehmen werden von einem solchen Standard auch kleinere Unternehmen und Mittelständler profitieren. Sie werden dann bei Cloud-Anwendungen dieselben hohen Sicherheitsanforderungen für ihre Daten in Anspruch nehmen können wie zum Beispiel Banken und Versicherungen, ohne dass der Zertifizierungsprozess zu komplex wird. AUDITOR wird eines der ersten Zertifikate auf dem Markt, mit dem sich die DSGVO-Konformität nachweisen lässt. Es schließt so eine Lücke, denn bislang gibt es nur Selbstverpflichtungen und regulatorische Anforderungen im Bereich Cloud-Sicherheit. Was dringend gebraucht wird, ist eine vertrauenswürdige Prüfinstanz, die ein europaweit gültiges, standardisiertes Zertifikat gemäß der DSGVO verleiht.

Zusammenarbeit mit dem Karlsruher Institut für Technologie (KIT)

Prof. Dr. Ali Sunyaev (KIT) leitet das Konsortium von AUDITOR. Dort werden derzeit ein Kriterienkatalog und ein Bewertungsprogramm erarbeitet, anhand derer die DSGVO-Konformität von Cloud-Lösungen überprüft werden kann. In Anwendungsbeispielen werden die Standards in der Praxis überprüft. Dazu wurden verschiedene Schutzklassen definiert, damit die Zertifizierung modular ausgelegt werden kann und der Prozess nicht zu unübersichtlich wird. IBM ist einer der Partner, der die Anwendbarkeit der Ergebnisse in der Praxis überprüft.

Erreicht werden soll die Vergleichbarkeit von Cloud-Diensten, die Unternehmen aus unterschiedlichen EU-Mitgliedsstaaten anbieten. Dies kommt allen Beteiligten zugute: Cloud-Kunden bekommen eine Garantie für ausreichenden Datenschutz, Cloud-Anbieter können sich diese Sicherheit offiziell bestätigen lassen, Zertifizierungsstellen erhalten einheitliche Standards und die Daten des Endverbrauchers sind geschützt.

Wichtig ist allen Beteiligten, dass in dieses strategisch bedeutende Projekt zwar eine deutsche Sicht auf strikte Datensicherheit einfließt, aber dass es auf eine EU-Ebene gehoben und mit den dort bereits diskutierten Aktivitäten abgeglichen wird. Die Zielrichtung des Projekts ist klar europäisch und setzt somit einen länderübergreifenden Standard.

Fazit: Ein einheitlicher und europaweit vergleichbarer Bewertungsrahmen für das Datenschutz-Niveau von Cloud-Lösungen wird Kunden zusätzliche Sicherheit geben, wenn sie Daten und Anwendungen in die Cloud verlagern. Wir unterstützen das Team um Prof Dr. Sunyaev dabei, mit AUDITOR genau solch einen verlässlichen Rahmen zu schaffen. Das wird der Akzeptanz der Cloud in Europa und Deutschland einen weiteren Schub geben.

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Cloud Stories

Ausfall der IT-Systeme und Disaster Recovery – wie gut sind Sie auf den Ernstfall vorbereitet ?

Seit jeher gibt es in der Wirtschaft das Bestreben, mit weniger mehr zu erreichen. Dieser Trend macht auch vor der IT nicht Halt und fordert produktivere Nutzungsmodelle. Mit dem Aufkommen der Cloud-Systeme erwarten Nutzer einen Rundum-Service und möchten nur für das bezahlen, was sie verbrauchen – ähnlich dem Wasser- oder Stromverbrauch von Versorgungseinrichtungen. Da IT-Systeme […]

Software-Entwicklung in der Cloud – Abkürzung zur Digitalisierung

Software ist das Herz aller Innovationen im digitalen Zeitalter. Alle 20 Stunden wird in Berlin ein neues IT-Unternehmen gegründet. Eine neue Dating-App, ein Web-Portal für vegane Lebensmittel, eine Metasuche nach neuen Talenten für Unternehmen – an neuen, guten Ideen herrscht kein Mangel. Wie die aktuelle C-Suite-Studie 2016 des IBM Institute for Business Value gezeigt hat, […]

Code of Conduct für Cloud Service Providers: Gütesiegel für die Cloud

Die Cloud wächst und wächst, meldet der Digitalverband Bitkom: 65 Prozent der Unternehmen in Deutschland setzen auf Software, Speicher oder Rechenleistung aus der Cloud, so der Cloud-Monitor 2017. Und auch wenn die Sorgen um die Sicherheit von Cloud-Diensten weniger geworden sind: Cloud-Umgebungen kämpfen mit den gleichen Bedrohungen wie traditionelle Firmennetze und sind durch die gespeicherten […]