Cloud

AUDITOR: Sicherheit ist ein Wert an sich

Unabhängig davon, ob man seine Daten vollständig selbst hinter den eigenen Firewalls im Unternehmen verwaltet oder auf die wirtschaftlichen und organisatorischen Vorteile von Cloud Computing setzt: Die Frage nach der Sicherheit ist und bleibt das beherrschende Thema. Datenschutz ist ein Wert an sich, auch unabhängig von regulatorischen Bestimmungen. Und man fragt sich gelegentlich schon, was mit den Abertausenden – auch persönlichen – Informationen in Clouds, auf Servern und allgemein im wolkigen virtuellen Raum geschieht. Zum Beispiel ist es für viele Unternehmen beruhigend zu wissen, wenn ein Cloud-Anbieter die Daten seiner Kunden komplett innerhalb der Europäischen Union verwahrt. IBM bietet unter anderem deshalb die EU Cloud in Frankfurt am Main an.

Denn Sicherheit und Transparenz sind für uns nicht bloß Schlagworte – wir richten unser komplettes Angebot danach aus. Im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO/GDPR) ist es für viele Kunden wichtig, dass eine Cloud komplett in Europa und nach allen hier gültigen, regulatorischen Bestimmungen arbeitet. Zusätzlich verfügt IBM über eine C5-Testierung. Unsere EU Cloud genügt also den hohen Anforderungen des „Cloud Computing Compliance Controls Catalogue“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das weitreichende C5-Testat ist in Deutschland notwendig, wenn Behörden und öffentliche Einrichtungen Cloud-Dienste nutzen wollen. Und IBM arbeitet als einer der ersten Unterzeichner nach den Maßgaben des European Union Data Protection Code of Conduct für Cloud Service Providers (CoC). Diese Zertifizierung umfasst Dienste für Infrastruktur-, Platform- und Software-as-a-Service-Angebote aus der Cloud.

Partner bei europäischem AUDITOR Forschungsprojekt

Vor allem aber gehören die Daten bei uns immer nur den Kunden. IBM fasst sie nicht an, verarbeitet sie nicht oder gibt sie gar in andere Hände. Unser Geschäftsmodell baut nicht auf den verarbeiteten Daten oder den Daten der Kunden auf – das unterscheidet uns auch von unseren Wettbewerbern.

Diese Selbstverpflichtung zum strikten Datenschutz sowie jahrzehntelange Erfahrung und Reputation in Sachen Datensicherheit bringt IBM jetzt in die neue europäische Initiative AUDITOR mit ein. IBM ist assoziierter Partner in diesem wegweisenden Projekt. Ziel des Forschungsprojekts ist eine europäische Datenschutz-Zertifizierung für Cloud-Dienste. Diese Initiative wurde vom Bundesministerium für Wirtschaft und Energie (BMWi) unter der Leitung des Karlsruher Instituts für Technologie (KIT) ins Leben gerufen. Mit dem KIT verbindet IBM eine langjährige Forschungspartnerschaft über das Karlsruhe Service Research Institute (KSRI). Das KIT ist zudem Partneruniversität der IBM Academic Initiative.

AUDITORIm Markt gibt es nicht erst seit Einführung der DSGVO im Mai 2018 einen wachsenden Bedarf nach einem einheitlichen und nachprüfbaren Datenschutzstandard für Cloud-Lösungen. Neben Großunternehmen werden von einem solchen Standard auch kleinere Unternehmen und Mittelständler profitieren. Sie werden dann bei Cloud-Anwendungen dieselben hohen Sicherheitsanforderungen für ihre Daten in Anspruch nehmen können wie zum Beispiel Banken und Versicherungen, ohne dass der Zertifizierungsprozess zu komplex wird. AUDITOR wird eines der ersten Zertifikate auf dem Markt, mit dem sich die DSGVO-Konformität nachweisen lässt. Es schließt so eine Lücke, denn bislang gibt es nur Selbstverpflichtungen und regulatorische Anforderungen im Bereich Cloud-Sicherheit. Was dringend gebraucht wird, ist eine vertrauenswürdige Prüfinstanz, die ein europaweit gültiges, standardisiertes Zertifikat gemäß der DSGVO verleiht.

Zusammenarbeit mit dem Karlsruher Institut für Technologie (KIT)

Prof. Dr. Ali Sunyaev (KIT) leitet das Konsortium von AUDITOR. Dort werden derzeit ein Kriterienkatalog und ein Bewertungsprogramm erarbeitet, anhand derer die DSGVO-Konformität von Cloud-Lösungen überprüft werden kann. In Anwendungsbeispielen werden die Standards in der Praxis überprüft. Dazu wurden verschiedene Schutzklassen definiert, damit die Zertifizierung modular ausgelegt werden kann und der Prozess nicht zu unübersichtlich wird. IBM ist einer der Partner, der die Anwendbarkeit der Ergebnisse in der Praxis überprüft.

Erreicht werden soll die Vergleichbarkeit von Cloud-Diensten, die Unternehmen aus unterschiedlichen EU-Mitgliedsstaaten anbieten. Dies kommt allen Beteiligten zugute: Cloud-Kunden bekommen eine Garantie für ausreichenden Datenschutz, Cloud-Anbieter können sich diese Sicherheit offiziell bestätigen lassen, Zertifizierungsstellen erhalten einheitliche Standards und die Daten des Endverbrauchers sind geschützt.

Wichtig ist allen Beteiligten, dass in dieses strategisch bedeutende Projekt zwar eine deutsche Sicht auf strikte Datensicherheit einfließt, aber dass es auf eine EU-Ebene gehoben und mit den dort bereits diskutierten Aktivitäten abgeglichen wird. Die Zielrichtung des Projekts ist klar europäisch und setzt somit einen länderübergreifenden Standard.

Fazit: Ein einheitlicher und europaweit vergleichbarer Bewertungsrahmen für das Datenschutz-Niveau von Cloud-Lösungen wird Kunden zusätzliche Sicherheit geben, wenn sie Daten und Anwendungen in die Cloud verlagern. Wir unterstützen das Team um Prof Dr. Sunyaev dabei, mit AUDITOR genau solch einen verlässlichen Rahmen zu schaffen. Das wird der Akzeptanz der Cloud in Europa und Deutschland einen weiteren Schub geben.

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Cloud Stories

Mit Cloud-Objektspeichern grenzenlos Daten speichern

In Unternehmen nimmt die Menge unstrukturierter Daten stetig zu. Einen Mammutanteil nehmen in der Regel Sensordaten, wie zum Beispiel Bilder, Videos oder auch Ultraschallbilder, ein. CIOs stehen vor der Herausforderung, diese Daten sowohl sicher als auch kosteneffizient zu speichern und zu verwalten, weil diese Daten oder deren Auswertungen oft ein wichtiger Bestandteil neuer Geschäftsmodelle sind. […]

Eine Cloud übernimmt Verantwortung für Daten

Die Abkürzungen HIPAA, GxP, QMS oder GDPR eint, dass sie alle mit dem verantwortlichen Umgang mit digitalen Daten zu tun haben, der sogenannten Data Responsibility. Der HIPAA-Standard regelt in den USA den Datenschutz im Gesundheitssektor. GxP steht für „Gute x Praxis“ und fasst Richtlinien zum Schutz von Mensch, Tier und Umwelt zusammen, die in Bereichen […]

Robot-Recruiting: Die Chancen der technikgestützten Personalbeschaffung

Mit dem Begriff Robot Recruiting wird eine teilweise Automatisierung des Recruiting-Prozesses beschrieben. Anhand eines Algorithmus erfolgen Beurteilung und Auswahl geeigneter Bewerber. Dieser kann auch Jobinteressierten automatisiert offene Stellen empfehlen oder dem Unternehmen geeignete Bewerber vorschlagen. Kognitive Systeme können im Bereich Human Resources vielseitig eingesetzt werden. Als Bewerber steckt man viel Zeit und Mühe in die […]