67
Das hört sich etwas sperrig an, sagt aber letztendlich aus, ob die Eignung
anhand vorher festgelegter Anforderungen gegeben ist.
Im Bereich Cloud‐Computing wird diese Eignung zunächst an den fachlichen
Anforderungen validiert, und erst im Weiteren werden die Bereiche
Sicherheit, Datenschutz, Integrationsfähigkeit und Compliance als
fachübergreifende Anforderungen geprüft.
Wer eine solche Prüfung durchführen möchte, wird erkennen, dass es
Kriterien und Prüfanforderungen bedarf, und zwar besonders in Bereichen,
die auch bei der fachlichen Betrachtung nicht erkennbar sind. Da sind zum
Beispiel Fragestellungen wie „Wo sind die Daten gespeichert?“, „Wie sind
die Datenschutzanforderungen umgesetzt?“ oder „Können Daten nach
Beendigung der Nutzung wieder vollständig verfügbar gemacht werden?“.
Dies ist nur ein kleiner Teil von Fragen, die zur konkreten Bewertung der
Cloud‐Service‐Qualität gestellt und entsprechend hinsichtlich der Erfüllung
geprüft werden müssen.
Da solche Prüfungen in der Regel aufwendig sind und besondere Expertise
benötigen, gibt es Zertifizierungen. Hier werden generelle Anforderungen im
Rahmen eines standardisierten Prüfverfahrens formuliert und durch
qualifizierte Auditoren validiert. Die ISO 27001 (IT‐Sicherheitsverfahren –
Informationssicherheits‐Managementsysteme –
Anforderungen) ist das bekannteste Prüfverfahren im Bereich der IT‐
Sicherheit.
In Bezug auf Cloud‐Computing ist Sicherheit aber nur ein Aspekt der
Prüfungsanforderungen. Gerade die Spezifikation von Service Level
Agreements (SLAs) und die vertragliche Formulierung von
Datenschutzanforderungen sind ebenfalls in hohem Maße relevant. Da
Cloud‐Services oftmals über mehrere Beteiligte erbracht werden, ist auch zu
prüfen, ob die Anforderungen über die gesamte Lieferkette erfüllt sind.
Wenn der Anbieter einer SaaS‐Lösung eine ISO‐27001‐Zertifizierung hat,
sagt dies noch lange nichts über die Sicherheitssysteme der Vorlieferanten
aus, z.B. eines eingebundenen Plattform‐ oder Infrastrukturanbieters.
Die EuroCloud‐Organisation hat daher schon im Jahr 2010 mit der Definition
eines cloud‐spezifischen Zertifizierungsverfahrens begonnen und dieses im
Frühjahr 2011 unter der Bezeichnung EuroCloud Star Audit veröffentlicht.
Mit einem einheitlichen Prüfverfahren für alle Cloud‐Services und mit einem
abgestuften Bewertungsverfahren ist die Umsetzung der