Sie sind hier: HomeDatacenter

Auditor: Europaweite Zertifizierung von Cloud-Diensten

Die Cloud-Nutzung boomt weltweit und mit ihr die Fülle an Cloud-Providern und Zertifizierungsstellen. Der gegenwärtige Markt gleicht einem Dschungel an Angeboten und Gütesiegeln – Transparenz von Qualitätsstandards ist Mangelware. Das Forschungsprojekt "Auditor" will dagegenhalten.

Cloud Sicherheit Bildquelle: © Kirsty Pargeter - 123RF

Gemeinsame Fotos teilen, digitale Projektarbeit ortsunabhängig verfügbar machen, stündliche Sicherungskopien von Datensätzen dezentral erstellen – Cloud Computing übernimmt heute in Privat- und Berufsalltag immer mehr und immer zentralere Aufgaben. Vor allem kleine bis mittlere Unternehmen verzichten häufig aus Kostengründen auf die Anschaffung und den Betrieb eigener, leistungsstarker Rechenzentren und buchen stattdessen virtuelle Rechenpower bei Cloud-Anbietern. In sogenannten Private Clouds können sie oft den Großteil der alltäglichen Arbeitsressourcen – von ihren Daten bis hin zu Spezialsoftware – zur Verfügung stellen. Dank der Auslagerung ins Netz sind diese dann sowohl am Firmenstandort als auch auf Geschäftsreisen überall in der Welt per Login verfügbar.

Doch trotz der zahlreichen Vorteile bestehen weiterhin Bedenken gegenüber der Buchung von Cloud-Diensten als Substitut für die eigene IT-Infrastruktur. Nicht zuletzt durch gehäufte Berichte über Cyber-Attacken auf E-Mail oder Internet-Provider wächst das Misstrauen, auch nur die eigenen Privatfotos in der Cloud und damit im Internet abzuspeichern. Die Auslagerung von sensiblen Prozessen und Daten für den unternehmerischen Erfolg – gerade im Falle von Berufsgeheimnisträgern – wird aufgrund des Kontrollverlusts über den verarbeitenden Server kritisch gesehen. Welche Angebote sind sicher? Wie zuverlässig sind die unterschiedlichen Anbieter?

Forschungsprojekt gegen mangelnde Transparenz bei Cloud-Angeboten

„Wer Licht ins Dunkel bringen und sich eine angemessene Bewertung und Einordnung der am Markt agierenden Cloud-Provider schaffen möchte, kommt an einer einheitlichen, rechtlich geprüften Zertifizierung von Cloud-Angeboten nicht vorbei. Tatsächlich jedoch erscheint die Vielfalt der Gütesiegel und Zertifizierungsstellen derzeit wie ein Dschungel, der die Intransparenz am Markt und somit die Nutzerbedenken nur befördert“, erläutert Dr. Marius Feldmann von Cloud&Heat Technologies aus Dresden die derzeitige Marktlage. Für die Zukunftsfähigkeit und Vertrauenswürdigkeit von Cloud-Diensten und damit der ganzen Branche sei ihm zufolge deshalb vorrangig wichtig, dass sich aus der Masse an Angeboten und Klassifizierungen ein einheitliches System entwickelt. Ein System, das Nutzern wie Betreibern ein klares, allumfassendes und den jüngsten gesetzlichen Regularien für Datenschutz in Europa und Deutschland entsprechendes Tool zur Einstufung der Angebote an die Hand gibt.

Mehr als zehn deutsche Unternehmen und Forschungseinrichtungen haben sich unter der Leitung von Prof. Roßnagel und Prof. Sunyaev der Universität Kassel aus dieser Problematik heraus das Ziel gesetzt, eine EU-weit standardisierte Datenschutzzertifizierung für Cloud-Dienste zu entwickeln und praktisch zu erproben. In dem zwei Jahre laufenden Förderprojekt Auditor (European Cloud Service Data Protection Certification) sollen alle relevanten Aspekte, wie etwa Zuständigkeiten, Transparenzpflichten, Haftung und Kontrollmechanismen, stets vor dem Hintergrund der neuen EU-Datenschutz Grundverordnung betrachtet werden.

„Das Projekt Auditor soll die Vergleichbarkeit von Cloud-Diensten, die vonseiten der Unternehmen aus unterschiedlichen EU-Mitgliedsstaaten angeboten werden, verbessern und damit Transparenz schaffen. Ermöglicht wird dies durch eine nachhaltig anwendbare EU-weite Datenschutzzertifizierung von Cloud-Diensten nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO). Wir arbeiten quasi im Interesse aller am Markt beteiligten Akteure an einer Marktweiterentwicklung im Cloud-Bereich“, berichtet Prof. Dr. Ali Sunyaev (Direktor am wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel). Neben seinem Lehrstuhl für Wirtschaftsinformatik und Systementwicklung ist ebenfalls der Lehrstuhl Öffentliches Recht mit Schwerpunkt Recht der
Technik und des Umweltschutzes der Universität Kassel am Projekt beteiligt. Weitere Projektpartner kommen aus der Praxis: Deutsche Cloud-Anbieter wie ecsec oder Cloud&Heat Technologies oder der Verband EuroCloud Deutschland_eco e.V sowie TÜV Informationstechnik, TÜV NORD (TÜViT) und Datenschutz cert werden das Pilotprojekt mitgestalten.

Umfassende Vorteile für alle Stakeholder durch EU-weit gültige Zertifizierung

Die nach Maßgabe der EU-Datenschutzgrundverordnung (DSGVO) konzipierte Zertifizierung bietet für alle beteiligten Gruppen Vorteile. Zum einen garantiert sie den privaten Cloud-Nutzern einen besseren Schutz von personenbezogenen Daten entsprechend der gesetzlichen Regularien. Unternehmen wiederum ist anzuraten, ihre Daten und Prozesse durch die rechtliche Fundierung nur bei solchen Cloud-Anbietern zu hosten, die hinreichend Garantien dafür bieten, dass technische und organisatorische Maßnahmen den Datenschutz sicherstellen. Gleichzeitig bietet das Zertifikat der Gruppe der Nutzer eine bessere Vergleichbarkeit der einzelnen Cloud-Angebote. Zum anderen profitieren die Provider selbst, indem sie mit einer aussagekräftigen Zertifizierung eben diese Sicherheit nachweislich bieten können. Und auch für die Gruppe der Zertifizierer und Auditoren sowie Aufsichtsbehörden vereinfacht ein einheitlicher Standard Prozesse zur Bewertung und Prüfung.

„Eine Datenschutzzertifizierung wird insbesondere KMU helfen, Transparenz zu erlangen und bei der Datenverarbeitung Rechtssicherheit im europäischen Binnenmarkt darzustellen“, sagt Andreas Weiss, Direktor EuroCloud Deutschland_eco e.V.