228
Nachweis erbracht werden, der zum Teil auch Rückschlüsse auf die
Einhaltung nicht gemessener Kriterien ermöglicht.
Eine dynamische Zertifizierung basiert dabei auf:
Standards wie CSA CCM, ISO 27001/27017, NIST SP800‐53,
EuroCloud Audit Fragebogen,
kontinuierlichem Monitoring der kritischen Parameter von Cloud‐
Services und der Rechenzentrumsorganisation,
Automatisierung von Elementen des Zertifizierungs‐
/
Auditierungsprozesses sowie
den geeigneten technischen, organisatorischen, rechtlichen und
wirtschaftlichen Rahmenbedingungen für die Integration in den
Regelbetrieb des Anbieters.
Anhand der vorhandenen Forschungsergebnisse
63
wird davon ausgegangen,
dass sich ungefähr 30 % der Kontrollen automatisieren lassen. Durch dieses
Automatisierungspotenzial soll die Anpassung des herkömmlichen
Zertifizierungsverfahrens an die Dynamik der Cloud‐Services sowie höhere
Vertrauensbildung der Zertifikate erreicht werden.
3.9
Methodik zur Anbieterauswahl
3.9.1
Klassifizierung von Risiken
Generell sollte jedes Unternehmen seine individuellen Sicherheitsleitlinien
beschreiben, um ein angemessenes Verhältnis von Sicherheitsmaßnahmen
in Bezug auf das Schutzbedürfnis der Daten herzustellen:
63
Montesino, R., & Fenz, S. (2011). Information security automation: how far can we go? 2011
Sixth International Conference on Availability, Reliability and Security, IEEE, pp. 280‐285.