222
Einführung im Unternehmen. Dies kann bis zur Anforderung einer
vollständig barrierefreien Nutzung von Cloud‐Services reichen. Die immer
wieder benötigte Funktion zum Zurücksetzen eines Passwortes zeigt oftmals
den Grad der Professionalität bei der Berücksichtigung solcher
Anforderungen.
3.8.5
EuroCloud Star Audit – Prüfumfang
Die intensive Prüfung der vorgenannten Bereiche erfordert ein spezielles
Fachwissen und Erfahrung bei der Durchführung.
Daher wird die Anwendung von Zertifizierungen durch anerkannte
Prüfstellen eine immer wichtiger werdende Funktion für den Nachweis von
Kontrollpflichten sein.
<P5>Im Bereich Cloud‐Computing wird diese Eignung zunächst an den
fachlichen Anforderungen validiert, und erst im Weiteren werden die
Bereiche Sicherheit, Datenschutz, Integrationsfähigkeit und Compliance als
fachübergreifende Anforderungen geprüft. Um eine solche Prüfung
durchzuführen, bedarf es allerdings Kriterien und Prüfanforderungen, und
zwar besonders in Bereichen, die nicht bei der fachlichen Betrachtung
erkennbar sind. Da solche Prüfungen in der Regel aufwendig sind und
besondere Expertise bei der Prüfung benötigen, gibt es Zertifizierungen.
Hier werden generelle Anforderungen im Rahmen eines standardisierten
Prüfverfahrens formuliert und durch qualifizierte Auditoren validiert. Die
ISO‐Norm 27001 (IT‐Sicherheitsverfahren – Informationssicherheits‐
Managementsysteme – Anforderungen) ist das bekannteste Prüfverfahren
im Bereich der IT‐Sicherheit.
In Bezug auf Cloud‐Computing ist Sicherheit aber nur ein Aspekt der
Prüfungsanforderungen. Gerade die Spezifikation von Service Level
Agreements (SLA) und die vertragliche Formulierung von
Datenschutzanforderungen sind ebenfalls in hohem Maße relevant. Da
Cloud‐Services oftmals über mehrere Beteiligte erbracht werden, ist auch zu
prüfen, ob die Anforderungen über die gesamte Lieferkette erfüllt sind.
Wenn der Anbieter einer SaaS‐Lösung eine ISO‐27001‐Zertifizierung hat,
sagt dies noch lange nichts über die Sicherheitssysteme der Vorlieferanten,
z.B. eines eingebundenen Plattform‐ oder Infrastrukturanbieters aus.
Aus diesem Grund hat EuroCloud das Star Audit‐Zertifikat entwickelt, das
durchgängig den gleichen Prüfumfang vorgibt und dann in Anlehnung an die
Güteaussagen des Hotelgewerbes ein bis fünf Sterne vergibt.
