Seite 67 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

67 
Das hört sich etwas sperrig an, sagt aber letztendlich aus, ob die Eignung 
anhand vorher festgelegter Anforderungen gegeben ist. 
Im Bereich Cloud‐Computing wird diese Eignung zunächst an den fachlichen 
Anforderungen validiert, und erst im Weiteren werden die Bereiche 
Sicherheit, Datenschutz, Integrationsfähigkeit und Compliance als 
fachübergreifende Anforderungen geprüft.  
Wer eine solche Prüfung durchführen möchte, wird erkennen, dass es 
Kriterien und Prüfanforderungen bedarf, und zwar besonders in Bereichen, 
die auch bei der fachlichen Betrachtung nicht erkennbar sind. Da sind zum 
Beispiel Fragestellungen wie „Wo sind die Daten gespeichert?“, „Wie sind 
die Datenschutzanforderungen umgesetzt?“ oder „Können Daten nach 
Beendigung der Nutzung wieder vollständig verfügbar gemacht werden?“. 
Dies ist nur ein kleiner Teil von Fragen, die zur konkreten Bewertung der 
Cloud‐Service‐Qualität gestellt und entsprechend hinsichtlich der Erfüllung 
geprüft werden müssen. 
Da solche Prüfungen in der Regel aufwendig sind und besondere Expertise 
benötigen, gibt es Zertifizierungen. Hier werden generelle Anforderungen im 
Rahmen eines standardisierten Prüfverfahrens formuliert und durch 
qualifizierte Auditoren validiert. Die ISO 27001 (IT‐Sicherheitsverfahren – 
Informationssicherheits‐Managementsysteme – 
Anforderungen) ist das bekannteste Prüfverfahren im Bereich der IT‐
Sicherheit. 
In Bezug auf Cloud‐Computing ist Sicherheit aber nur ein Aspekt der 
Prüfungsanforderungen. Gerade die Spezifikation von Service Level 
Agreements (SLAs) und die vertragliche Formulierung von 
Datenschutzanforderungen sind ebenfalls in hohem Maße relevant. Da 
Cloud‐Services oftmals über mehrere Beteiligte erbracht werden, ist auch zu 
prüfen, ob die Anforderungen über die gesamte Lieferkette erfüllt sind.  
Wenn der Anbieter einer SaaS‐Lösung eine ISO‐27001‐Zertifizierung hat, 
sagt dies noch lange nichts über die Sicherheitssysteme der Vorlieferanten 
aus, z.B. eines eingebundenen Plattform‐ oder Infrastrukturanbieters. 
Die EuroCloud‐Organisation hat daher schon im Jahr 2010 mit der Definition 
eines cloud‐spezifischen Zertifizierungsverfahrens begonnen und dieses im 
Frühjahr 2011 unter der Bezeichnung EuroCloud Star Audit veröffentlicht. 
Mit einem einheitlichen Prüfverfahren für alle Cloud‐Services und mit einem 
abgestuften Bewertungsverfahren ist die Umsetzung der