Zertifizierungen für Cloud-Services entwickeln sich weltweit als neuer Trend. Nach der ISO 27018 für "Datenschutz in der Cloud" hat die heimische Zertifizierungsorganisation CIS nun auch die EuroCloud Star Audit Zertifizierungen im Portfolio. [...]
Vertrauen ist gut, Kontrolle ist besser. Nach diesem Motto soll das Vertrauen der Kunden in Cloud-Services durch Zertifizierungen gestärkt werden. Zwei Standards kristallisieren sich derzeit als führend heraus: der EuroCloud Star Audit Standard (ECSA), der auf europäischen Qualitäts- und Datenschutzwerten basiert, sowie die ISO 27018, die als Add-On für Cloud Privacy auf der internationalen Informationssicherheitsnorm ISO 27001 aufbaut. „Gemäß ECSA können Anbieter ein spezifisches Cloud-Service inklusive genutzter Infrastruktur und Subunternehmen zertifizieren lassen. Nach ISO 27001 und 27018 werden hingegen Organisationseinheiten oder Unternehmen zertifiziert“, berichtet Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Für beide Standards hat die CIS heuer die Akkreditierung erreicht – für EuroCloud Star Audit aktuell vor wenigen Wochen – und kann diese nun in Österreich als auch weltweit anbieten.
Welchen Standard die Provider wählen, hängt von den Anforderungen der Kunden ab. Auch eine Kombination beider Regelwerke ist laut CIS kostensparend möglich, da sich die Inhalte gut ergänzen und teilweise überschneiden. Die Sicherheitsanforderungen für Data Center sind beispielsweise fast deckungsgleich. Ebenso adressieren beide Regelwerke zentrale juristische Fragen: Wo werden Daten gespeichert und bei welchen Subauftragnehmern, welche nationalen Gesetze sind anzuwenden oder nach welchen definierten Prozessen darf eine Datenverarbeitung erfolgen?
„Wir haben uns entschieden, zusätzlich zu den relevanten ISO-Standards auch EuroCloud Star Audit zu vertreten, weil die Zertifizierung einzelner Cloud-Services sinnvoll sein kann – etwa wenn Kunden dies explizit fordern“, so Scheiber. Interessant ist auch das Star-Audit-Modell mit drei Stufen ähnlich der Hotellerie: „Die Zertifizierungsstufen 3-Stern, 4-Stern und 5-Stern werden zudem mit den Maturity Leveln A, B und C kombiniert. Diese Differenzierung kann den Einstieg in eine Cloud-Zertifizierung erleichtern“, erläutert Tobias Höllwarth, der weltweit für das Star-Audit-Programm verantwortlich ist. So können auch KMU einen hohen Reifegrad ihrer Cloud Services demonstrieren.
Für die Implementierungsphase steht ein Self Assessment Tool zur Verfügung, mit dem die Inhalte eines EuroCloud Star-Zertifizierungsaudits abgefragt werden. So kann sich der Anwender schrittweise dem anvisierten Maturity Level annähern. Der Fragenkatalog umfasst die Punkte Cloud Service Provider Profile, Contract & Compliance, Security & Data Privacy, Operation Data Center Infrastructure sowie Cloud Service Operational Processes. Weltweit gibt es bereits erste Unternehmen, die nach den noch jungen Standards EuroCloud oder ISO 27018 zertifiziert sind. (wf)
Be the first to comment