White Paper Zertifizierte IT-Sicherheit für Cloud-Services

Transkript

1 White Paper Zertifizierte IT-Sicherheit für Cloud-Services Prof. Dr. Andreas Gadatsch, Hochschule Bonn-Rhein-Sieg, Sankt Augustin Dr. Henrik Klein, TÜV Trust IT, Köln und Wien Manuel Münchhausen, TÜV Trust IT, Köln und Wien In Zusammenarbeit mit dem Forschungsinstitut für Informationswertsicherung, Sankt Augustin Abstract Cloud-Services gelten als zukunftsträchtiges Konzept zur Bereitstellung von IT-Leistungen und verdrängen zunehmend klassische IT-Outsourcing-Modelle. Allerdings weichen noch viele Unternehmen auf traditionelle Bereitstellungskonzepte (z. B. Betrieb eines eigenen Rechenzentrums, Klassisches Outsourcing) aus. Ein Grund hierfür ist das fehlende Vertrauen in die Cloud. Der Kunde kann in der Regel die möglichen Risiken und das Sicherheitsniveau des Anbieters nicht beurteilen, da er meist auch keine direkte Einsicht in die Abläufe und Strukturen des Dienstleisters hat (Winkelmann, 2010). Die weitere Verbreitung von Cloud-Diensten hängt stark davon ab, ob die Leistungsabnehmer ausreichend Vertrauen in die IT-Dienstleister, die technische Infrastruktur und das gesamte organisatorisch-rechtliche Umfeld (z.b. auch den jeweiligen Rechtsschutz, Anspruchs- und Klagemöglichkeiten) haben. Eine Möglichkeit, diese Situation im Sinne einer Entscheidungshilfe zu verbessern ist es, ein neutrales Zertifikat für IT- Sicherheit von Cloud-Services zu nutzen. Im Rahmen der weiteren Vertrauensbildung in die Cloud ist der unabhängigen Zertifizierung von Cloud-Services eine erhebliche Bedeutung beizumessen. Dieses White-Paper beschreibt typische Kategorien von Cloud-Services, thematisiert die hohe Bedeutung des Vertrauens in die Cloud und geht auf Anforderungen an eine vertrauenswürdige Zertifizierung von Cloud-Dienstleistungen (Trusted Cloud-Services) ein. Abschließend wird ein praxisreifes Lösungsangebot zur Zertifizierung von Cloud-Diensten vorgestellt, welches die zuvor beschriebenen Anforderungen erfüllen kann. Zertifizierte IT-Sicherheit für Cloud-Services Seite 1

2 Inhalt 1. Kategorien von Cloud-Services Vertrauen als Grundlage für die Nutzung von Cloud-Services Cloudability - Sind wir reif für die Cloud? Lösungsansatz Trusted Cloud Services Beispiele aus der Praxis Literatur Kategorien von Cloud-Services Mittlerweile hat sich der IT-Sourcing-Markt stark weiterentwickelt. Zahlreiche IT-Dienstleister stellen in vielfältigen Facetten spezialisierte und standardisierte leistungsfähige Angebote für den breiten Markt bereit. Aktuelle Studien belegen, dass die externe Beschaffung von IT- Leistungen stetig zunimmt (vgl. z.b. Gadatsch et al., 2013). Kaum ein Unternehmen stellt alle IT-Leistungen vollständig intern bereit. Die jüngste Entwicklung ist unter dem Begriff Cloud- Computing bekannt geworden. Hierunter ist die Bereitstellung von IT-Dienstleistungen über Netzwerke, speziell das Internet zu verstehen. Obwohl der Begriff in der Wissenschaft noch nicht abschließend definiert worden ist, lassen sich folgende Attribute zuordnen: Ondemand-Zugriff, Pay-per-use und Elasticy (Biebl, 2012, S. 24). Zugriff ist On demand : Der Kunde (Nutzer) kann weitgehend automatisiert IT- Ressourcen buchen und kündigen. Die Bereitstellung und Kündigung der Services erfolgt im Idealfall ohne direkte Interaktion in sehr kurzer Zeit. Pay-per-use: Die IT-Services werden nach Nutzung abgerechnet. Fixkosten fallen in der Regel keine oder nur in vergleichsweise geringem Umfang an. Übliche Abrechnungsgrößen sind z.b. Datentransfervolumen oder Datenspeichervolumen. Der Nutzer kann die Berechnungsgrundlagen selbst nachvollziehen. Elasticy: Der Nutzer kann auf (scheinbar) unbegrenzte Ressourcen zurückgreifen, die Bereitstellung kann in kürzester Zeit dem Bedarf entsprechend vorgenommen werden. Diese Eigenschaft ist wichtig bei kurzfristig auftretenden Bedarfsspitzen, z.b. wenn große Datenmengen in kurzer Zeit analysiert werden müssen oder das Weihnachtsgeschäft zu einem erhöhten Daten- und Verarbeitungsvolumen führt. Zertifizierte IT-Sicherheit für Cloud-Services Seite 2

3 Damit unterscheidet sich Cloud-Computing deutlich von klassischen Outsourcing-Modellen, die eher statisch geprägt sind. Klassische Outsourcing-Modelle erfordern langwierige Vertragsverhandlungen, haben längere Laufzeiten und sind häufig nur schwer für das Unternehmen umkehrbar, was zu einer vielfach unerwünschten Abhängigkeit vom IT- Dienstleister führt. Cloud-Computing wird üblicherweise auf vier hierarchische Ebenen betrachtet: Human as a Service, Software as a Service, Platform as a Service und Infrastructure as a Service (vgl. Abbildung 1). Abbildung 1: Cloud-Computing Ebenen (Baun et al, 2010, S. 27 ff.) Die unterste Ebene des Infrastructure as a Service stellt den Zugriff auf virtuelle Hardware bereit. Typische Beispiele sind die Services von Amazon zur Bereitstellung virtueller Server ( Elastic Compute Cloud ) oder die Bereitstellung von Massenspeicher durch Google ( Cloud Storage ). Diese Services entbinden den Kunden davon, eigene Rechenzentren mit der notwendigen Sicherheitsinfrastruktur zu betreiben. Die darüber liegende Schicht richtet sich primär an Softwareentwickler. Platform as a Service stellt den Entwicklern vollständige Entwicklungsumgebungen bereit. Hierzu gehört z. B. das Angebot Azure von Microsoft, Zertifizierte IT-Sicherheit für Cloud-Services Seite 3

4 eine Plattform zur Erstellung von Cloud-Anwendungen. Die bekannteste Schicht stellt Software as a Service dar. Hierunter sind Anwendungen zu verstehen, die sich primär an den Endanwender (privat oder geschäftlich) richten. Die Anzahl möglicher Beispiele ist enorm groß. Typische Anwendungen sind -Services (web.de), Suchdienste (google), Office-Lösungen (Microsoft 365) oder vollständige Enterprise-Resource-Planning Systeme (SAP Business ByDesign). Die aus Anwendersicht weniger bekannte oberste Schicht des Human as a Service ist ein Ansatz des Crowd-Sourcing. Sie nutzt Cloud-Lösungen zur Übertragung von Aufgaben an menschliche Ressourcen. Als typisches Beispiel lässt sich der Amazon Service Mechanical Turk anführen, mit dem Mikroaufgaben an eine große Zahl von Crowdworkern verteilt und überwacht werden können. Die Organisation von Cloud-Architekturen wird üblicherweise mit den Kategorien Private Cloud, Community Cloud, Public Cloud und Hybrid Cloud beschrieben (vgl. Abbildung 2). Abbildung 2: Cloud-Organisationsformen (basierend auf Baun, C. et al. 2010, S. 26) Zertifizierte IT-Sicherheit für Cloud-Services Seite 4

5 Bei der Private Cloud gehören Anbieter (z.b. interne IT-Abteilung) und Nutzer (Fachbereiche des Unternehmens) zur gleichen Benutzerorganisation (im Beispiel der Abbildung 2 zur Benutzerorganisation B ). Die Hauptmotivation für dieses Konzept ist der Sicherheitsaspekt: Die Kontrolle der Daten verbleibt vollständig beim Nutzer. Allerdings erfordert eine private Cloud enorm hohe Investitionen in Hardware, Software und Personal. Die Community Cloud ermöglicht es, einheitliche Services für Benutzerorganisationen mit ähnlichen Anforderungen hinsichtlich Sicherheit, Compliance oder Funktionalität anzubieten. Der Betrieb kann dabei durch einen oder mehrere Benutzerorganisationen, eine externe Organisation oder eine beliebige Kombination daraus erfolgen (vgl. Mell und Grance, 2011, S. 3). Insbesondere für stärker regulierte Branchen wie Finanzdienstleister oder das Gesundheitswesen kann eine solche Lösung von Interesse sein, aber auch für die öffentliche Hand. Die Public Cloud ist der Standardfall für Cloud-Computing. Anbieter und Nutzer gehören zu unterschiedlichen Benutzerorganisationen. Der Zugang zur Cloud erfolgt meist durch ein internetbasiertes Portal. Die Nutzung setzt einen Vertrag zwischen den Parteien voraus, der häufig unkompliziert online geschlossen wird. Unter Hybrid Clouds werden beliebige Mischformen verstanden. Ein typisches Anwendungsszenario ist die Bereitstellung von Ressourcen für Lastspitzen durch einen Anbieter aus der externen Public Cloud. Im Business Intelligence (BI) werden beispielsweise Inhalte für das Reporting aus internen ( Private Cloud ) und externen Quellen ( Public Cloud ) gemischt und zumindest teilweise externen Benutzern zugänglich gemacht (vgl. Seufert und Bernhardt, 2010, S. 9). 2. Vertrauen als Grundlage für die Nutzung von Cloud-Services Die externe Beschaffung von IT-Leistungen ( IT-Outsourcing oder auch IT-Sourcing ) ist beinahe so alt, wie die Informationsverarbeitung selbst. Bereits in der Frühphase der elektronischen Datenverarbeitung (EDV) wurden einzelne Spezialanwendungen durch externe Anbieter bereitgestellt. Zu den Pionieren des IT-Outsourcings gehören in Deutschland beispielsweise die Steuerberater, welche die Dienstleistungen der deutschen DATEV zur Unterstützung der elektronischen Buchhaltung schon seit 1966 nutzen. Obwohl Zertifizierte IT-Sicherheit für Cloud-Services Seite 5

6 die Vertraulichkeit der Mandantendaten gerade in dieser Branche ein existenzieller Faktor ist, überwiegen die Vorteile des IT-Outsourcing-Modells offenbar deutlich. Ein wesentlicher Grund hierfür ist sich das Vertrauen in den externen Anbieter und seine Leistungen! Die Berichterstattung in den allgemeinen Medien (z.b. Reißmann, 2013) hat zu einer breiten Verunsicherung von Entscheidern geführt, wenn es um die Frage nach dem Vertrauen in Cloud-Services geht. Dennoch dominierten organisatorische oder technische Aspekte in Veröffentlichungen zum Cloud-Computing. Die Beschaffung von IT-Leistungen war früher eher produktorientiert (Auslagerung von Hardware, Software) während Sie sich durch Cloud- Computing zu einer Beschaffung von Dienstleistungen gewandelt hat, in der das Vertrauen in den Anbieter eine deutlich größere Rolle einnimmt. In Abbildung 3 ist dieser Wandel als Wertschöpfungskette des Cloud Computing schematisch dargestellt. Der Betreiber eines eigenen Rechenzentrums ist für den Gesamtkomplex verantwortlich. Betrachtet man die Wertschöpfungskette weiter nach rechts,, dann erhöht sich die Abhängigkeit vom externen Anbieter mit jedem weiteren fremdbeschafften Element. Abbildung 3: Wertschöpfungskette Cloud-Computing (in Anlehnung an: Vossen, G.; Haselmann, T.; Hoeren, T.: Cloud-Computing, Heidelberg, 2012, S. 8, modifiziert) Eine neutrale Zertifizierung der entlang der Cloud-Wertschöpfungskette erbrachten Leistungen wie dem Betrieb der Infrastruktur, der Bereitstellung von Entwicklungsarbeiten und der Anwendungslogik sowie der Datenhaltung erhöht das Vertrauenspotenzial für den möglichen Anbieter. Mögliche Elemente der Vertrauensbildung betreffen den Anbieter als Zertifizierte IT-Sicherheit für Cloud-Services Seite 6

7 Unternehmen und die jeweiligen Cloud-Services. Hier lassen sich verschiedene Aspekte identifizieren, die im Rahmen der Zertifizierung abgeprüft werden können. Aspekte des Anbieters sind beispielsweise die fachliche Kompetenz (fähiges Personal, angemessene Ausstattung, Erfahrung im Betrieb)und Redlichkeit (z. B. Einhaltung von Rechtsvorschriften und Vereinbarungen). Aspekte des Cloud-Services betrachten die Qualität des Services (Eignung und funktionale Abdeckung der Anforderungen) und die Zuverlässigkeit der Leistungserbringung (Stabilität, Datenschutz). 3. Cloudability - Sind wir reif für die Cloud? Nicht jedes Unternehmen ist reif für die Cloud ( Cloudability ). Bevor ein Unternehmen ein Cloud-Projekt startet, sind eine Reihe von Fragen zu klären und abhängig vom Ergebnis vorbereitende Maßnahmen zu treffen (vgl. Abbildung 4). Abbildung 4: Anforderungen an die Cloudability von Unternehmen 3.1 Funktionale Anforderungen Cloud-Computing ist nur sinnvoll, wenn der funktionale Anwendungsbereich (Aufgaben, Prozesse, Beteiligte, Lokalitäten, u.a.) der Cloud-Services abgegrenzt worden ist. Andernfalls drohen später riskante Lücken im Ablauf oder überflüssige Doppelarbeiten. Für den Erfolg des Cloud-Projektes ist es von Bedeutung, dass die relevanten Stakeholder und deren funktionale Anforderungen ermittelt und berücksichtigt werden. Dies sind insbesondere die verschiedenen Nutzer(gruppen), Kunden, IT-Support, IT-Betrieb, Gesetzgeber und ggf. weitere Beteiligte. Zusätzliche Zertifizierte IT-Sicherheit für Cloud-Services Seite 7

8 Aspekte betreffen die Realisierbarkeit der Anforderungen und evtl. verfügbare Test-, Prüf- und Abnahmekriterien für den Service. 3.2 Wirtschaftlichkeit Neben den fachlichen, organisatorischen und technischen Aspekten entscheidet die Wirtschaftlichkeit einer Cloud-Anwendung über deren Realisierung. Für den Anwender sollte die finanzielle Motivation klar umrissen sein. Er muss klären, ob es monetäre Ziele und Einsparvorgaben gibt, die zu verwirklichen sind. Weiterhin ist zu empfehlen, vor dem Cloud-Projekt eine Wirtschaftlichkeitsberechnung mittels geeigneter Verfahren (Kapitalwertmethode, Nutzwertanalyse, Return on Investment) durchzuführen. 3.3 Sicherheit Die Sicherheit von Daten in der Cloud wird aus Anwendersicht häufig als KO- Kriterium für die Nutzung von Cloud-Diensten angesehen. Von besonderer Bedeutung ist daher die Frage, ob relevante Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit bzgl. des auszulagernden Cloud-Services bereits ermittelt worden sind. Ebenso sollte geklärt sein, wie die Löschung von Daten nach Beendigung der Cloud- Services erfolgen soll und ob spezifische Anforderungen für den Fall der Insolvenz des Dienstleisters bestehen. Dies betrifft etwa die temporäre Sicherstellung des Betriebs sowie die Bereitstellung der Daten im Falle einer Insolvenz des Cloud Service Anbieters durch eine Alternative. Ein wichtiger Punkt ist die Einbindung weiterer Dienstleister, insbesondere wenn diese im Ausland sitzen. Grundsätzlich muss festgelegt werden, ob bei der Darstellung eines Cloud-Services die Beteiligung von weiteren, dritten Dienstleistern Zertifizierte IT-Sicherheit für Cloud-Services Seite 8

9 bzw. Subunternehmern gestattet ist. Dies betrifft sowohl Dienstleister, die bereits im Regelbetrieb Teile des Services darstellen, als auch Dienstleister die auf Abruf zum Abfangen von Überkapazitäten beteiligt werden. Es muss auch geklärt werden, ob der Cloud-Provider insbesondere bei der Wahl der Abruf-Dienstleister freie Wahl hat und welche Verpflichtungen seitens des Anwenders an den Dienstleister weiterzugeben sind. Der Speicherort für den Cloud-Service ist ein häufig diskutierter Aspekt und von besonderer Bedeutung für zahlreiche Kunden. Daher ist zu klären, ob konkrete Anforderungen an den Speicherort für den Cloud-Service bestehen. Insbesondere ist zu festzuhalten, ob der Speicherort gewechselt oder erweitert werden darf und ob ggf. hierzu eine Informationspflicht besteht. Zulässige Speicherorte sollten vertraglich festgelegt werden. 3.4 Nichtfunktionale Anforderungen Hierunter fallen Anforderungen, die die Qualität und Effizienz einer Cloud-Lösung beeinflussen, ohne dass sie direkt fachliche Aspekte betreffen. Hierzu gehören Anforderungen bezüglich der Skalierbarkeit, der Performance, notwendige kritische Verfügbarkeitsfenster sowie Anforderungen an Back-Up und Restore der Daten des Cloud-Services. Im Rahmen der Frage der Skalierbarkeit eines Cloud-Services sind insbesondere Vereinbarungen, wie schnell zusätzliche Kapazitäten oder Performance auf eine unangekündigte Anforderung für einen Cloud-Service bereitgestellt werden können und welche Abrechnungskonditionen dafür zugrunde gelegt werden von Bedeutung. Verfügbarkeitsfenster können etwa für einen Monats- oder Jahresabschluss wichtig sein. Erhöhte Verfügbarkeitsanforderungen für diese kritischen Zeitfenster sollten explizit vereinbart werden. Zertifizierte IT-Sicherheit für Cloud-Services Seite 9

10 Fragen des Back-Up und Restore von Daten entfallen nicht durch ein Cloud-Projekt. Daher sind Back-Up-Frequenzen (z.b. stündlich, täglich oder wöchentlich), Restorezeiten und Aufbewahrungsfristen festzulegen. 3.5 IT-Betrieb Ein reibungsloser Betrieb von Anfang an ist eine wichtige Voraussetzung für die dauerhafte Akzeptanz von Cloud-Anwendungen. Der Anwender muss klären, ob er spezifische zugesicherte Eigenschaften im Rahmen der Leistungserbringung benötigt und ob spezielle Anforderungen an den Support, das Änderungs- Management, die Portabilität und Interoperabilität der Cloud-Services bestehen. Weiterhin sind Toleranzen für mögliche Desaster im Betrieb des Cloud-Services festzulegen. Mögliche Beispiele sind folgende zu regelnde Detailfragen zum Incident Management: Wann soll ein Service-Desk zur Verfügung stehen? Welche Kommunikationskanäle sollen genutzt werden? Wer darf den Service-Desk nutzen? Wie ist die Eskalations-Hierarchie gestaltet? 3.6 Compliance Zunehmende nationale und internationale Vorschriften zwingen die Unternehmen zu verstärkten Bemühungen bei der Einhaltung von Gesetzen und Regelungen (Compliance). Die Verantwortung für eine gesetzeskonforme Abwicklung kann nicht an den Cloud-Dienstleiter ausgelagert werden, sie verbleibt letztlich beim Auftraggeber. Daher müssen alle relevanten Verpflichtungen im Zusammenhang mit dem auszulagernden Service identifiziert werden (z. B. Konzernpolicies, Gesetze, Zertifizierte IT-Sicherheit für Cloud-Services Seite 10

11 Standards, Verträge mit eigenen Kunden). Besondere Anforderungen können sich aus Spezialvorschriften ergeben: Finanzdienstleistungssektor (KWG, GoBS), Telekommunikationsbereich (TKG), Berufsgeheimnisträger, wie z.b. Ärzte und Anwälte (StGB), Anwendung steuerrelevanter Daten (AO) Geschäfts- und Handelsbriefe (HGB). Aus den Regelungen zur Auftragsdatenverarbeitung des 11 BDSG ergeben sich ferner weitreichende Verpflichtungen für den Auftraggeber. Es muss unter anderem geklärt werden, ob eine vertragliche Vereinbarung zur Verarbeitung personenbezogener Daten abgeschlossen werden muss und wie die Einhaltung von Kundenpflichten berücksichtigt werden sollen. Weitere Aspekte betreffen den Ort und die maximale bzw. minimale Dauer der Datenhaltung sowie spezifische Lizenzanforderungen. Die für den Cloud-Service-Nehmer relevanten Softwarelizenzbestimmungen können sich beispielsweise beim Übergang in die Cloud durch die Änderung der Software zugrunde liegenden System-Plattformen ebenfalls ändern. Aus wettbewerbsrechtlicher Sicht ist letztlich noch klären, ob es notwendig ist, Auskunft über weitere Kunden des Cloud Providers zu erhalten. 4. Lösungsansatz Trusted Cloud Services 4.1 Grundsätzliche Anforderungen an Zertifizierungsverfahren Die TÜV TRUST IT hat das Prüfverfahren Trusted Cloud als Standard für Cloud Services entwickelt. Dieses gibt einerseits Cloud-Anbietern die Möglichkeit, ihren Sicherheits- und Qualitätsstandard über eine Zertifizierung gegenüber Kunden transparent zu machen. Andererseits ermöglicht es Cloud-Anwendern, nach Durchführung des oben betrachteten Cloudability-Checks die in Frage kommenden Cloud-Anbieter prüfen zu lassen. Das Verfahren kann von internen Cloud-Anbietern (z. B. IT-Dienstleister im Rahmen eines Zertifizierte IT-Sicherheit für Cloud-Services Seite 11

12 Konzernverbundes) oder externen Anbietern verwendet werden, die ihre Cloud-Services am freien Markt anbieten. Die Bewertungsgrundlage beruht auf relevanten Normen, Standards und Best Practices (z. B. COBIT, ITIL, ISO 27001, IDW PS) sowie anwendbaren Gesetzen (BDSG, TKG, u.a.). Die Prüfgrundlagen werden von TÜV TRUST IT regelmäßig aktualisiert, entsprechend dem aktuellen Stand von Wissenschaft und Praxis. Der Trusted Cloud Standard bietet als Basis für eine nachvollziehbare, unabhängige und anerkannte Zertifizierung: Ein einheitliches auf Normen und Gesetzen basierendes Rahmenwerk Unabhängige Kontrollmechanismen für Anbieter und Kunden Umfassende Berücksichtigung von Anforderungen aus relevanten Gesetzen, Normen und Bestimmungen Referenzierbarkeit auf alle Anforderungen Im Rahmen eines Audits wird die Erfüllung der Anforderungen des Trusted Cloud Prüfkatalogs anhand von Interviews und Dokumentenprüfungen abgefragt. Der anschließende Prüfbericht enthält Empfehlungen der Auditoren, ob und unter welchen Voraussetzungen das Zertifikat Trusted Cloud Service durch die Prüfstelle der TÜV TRUST IT erteilt werden kann. Auf eine erstmalige Erteilung des Zertifikats folgen bis zu zwei Überwachungsaudits, um die weitere Erfüllung der Anforderungen zu überprüfen. Weiterhin ist vorgesehen, erhebliche Änderungen bei der Bereitstellung des Service oder der Anforderungen durch den Anwender gesondert zu verifizieren, um eine fortdauernde Erfüllung der Anforderungen sicher zu stellen. Die TÜV TRUST IT übernimmt im Rahmen dieses Zertifizierungsprozesses die Rolle als vertrauenswürdige, unabhängige und neutrale Zertifizierungsstelle mit entsprechend für diese Aufgabe qualifiziertem Personal. 4.2 Vorgehensweise Zertifizierung Trusted Cloud Service Konzeption Der Ablauf des Zertifizierungsprozesses verläuft in mehreren Phasen (vgl. Abbildung 5). Im ersten Schritt Scope Definition erfolgt die Festlegung des Prüfumfanges. Hierbei sind Zertifizierte IT-Sicherheit für Cloud-Services Seite 12

13 insbesondere die gewünschten Cloud Services sowie der angestrebte TRUST-Level (siehe Abschnitt 4.2.2) festzulegen. Anschließend erfolgt die Dokumentenprüfung. Die zu prüfenden Dokumente ergeben sich aus dem Prüfumfang und den gewünschten TRUST- Level. Hiernach erfolgt ein Audit mit zwei Blickrichtungen. Einerseits erfolgt ein Audit der Prozesse und der Organisation des Unternehmens. Andererseits erfolgt im Rahmen des Technischen Audits eine Analyse der vorhandenen Infrastrukturen und technischen Einrichtungen. Hier können auch von dritter Seite durchgeführte Pentests einbezogen werden. Anschließend werden die Ergebnisse der Prüfung und die vorgeschlagenen Maßnahmen in einem Ergebnisbericht festgehalten. Ggf. werden auch einzuhaltende Auflagen vermerkt. Bei positivem Verlauf wird die Zertifizierung für 3 Jahre verliehen. Abbildung 5: Zertifizierungsprozess Trusted Cloud Service Zertifizierte IT-Sicherheit für Cloud-Services Seite 13

14 4.2.2 Trust-Level Eine Zertifizierung erfolgt üblicherweise auf der Grundlage eines hierarchischen Konzeptes, bei dem verschiedene Qualitätsstufen (Level) erreicht werden können. Die angestrebten Level hängen von der Art der jeweils in Auftrag gegebenen Cloud-Anwendung ab. Der TRUSTED-Cloud-Service bietet die Möglichkeit vier aufeinander aufbauende Sicherheitslevel zu zertifizieren (vgl. Abbildung 6). Die Level dienen zur Darstellung der Servicequalität durch den Anbieter und können vom Anwender zur Orientierung beim Einkauf von IT-Dienstleistungen genutzt werden. Abbildung 6: TRUST-Level 1-4 für Cloud-Services Zertifizierte IT-Sicherheit für Cloud-Services Seite 14

15 TRUST-Level 1 Der TRUST-Level 1 ist der Basis-Level innerhalb der Trusted Cloud Service Zertifizierung. Dieser Level bietet Grundlagen der Informationssicherheit in der Cloud und eignet sich für die Speicherung und Verarbeitung unkritischer Daten. TRUST-Level 2 Der Level 2 bietet weiterreichende Maßnahmen der Informationssicherheit in der Cloud und eignet sich für die Speicherung und Verarbeitung von Daten, die grundsätzlichen Vertraulichkeitsanforderungen genügen müssen. Ein angemessenes Datenschutzniveau ist hier essentiell. Für die erforderlichen Maßnahmen müssen prozessuale Nachweise erbracht und belegt werden. TRUST-Level 3 Der Level 3 eignet sich für die Speicherung und Verarbeitung von Daten, die erweiterten Vertraulichkeitsanforderungen genügen müssen. Aus diesem Grund darf die Datenhaltung in der Cloud nur an Standorten erfolgen, die sich innerhalb der EU befinden. Für die erforderlichen Maßnahmen müssen Nachweise erbracht werden, dass die Prozesse bereits mehrfach durchlaufen wurden. TRUST-Level 4 Der Level 4 bietet die weitreichendsten Maßnahmen der Informationssicherheit in der Cloud und eignet sich für die Speicherung und Verarbeitung besonders schützenswerter Daten, die höchsten Anforderungen an Vertraulichkeit und Quality of Service genügen müssen. Die Prozesse müssen einer ständigen Optimierung und Aktualisierung unterliegen. Die Datenhaltung erfolgt ausschließlich im Inland Prüfleitfaden Der Prüfleitfaden Trusted Cloud Services stellt das operative Steuerungsinstrument für den Auditor der TÜV TRUST IT dar. Er umfasst derzeit mehr als 220 einzelne Prüfpunkte, die detailliert beschrieben sind und permanent an den aktuellen Wissenstand und die Projekterfahrungen angepasst werden. Der Aufbau des Prüfleitfadens ist in Abbildung 7 schematisch dargestellt. Zertifizierte IT-Sicherheit für Cloud-Services Seite 15

16 Abbildung 7: Prüfleitfaden (Schematischer Aufbau) Die Prüfpunkte sind nach Themen und Themenclustern gegliedert. Jedem Thema können mehrere Prüfpunkte (Maßnahmen) zugeordnet werden, die detailliert beschrieben und attribuiert werden. So wird beispielsweise festgehalten, ob es sich um einen optionalen oder obligatorischen Prüfpunkt handelt, welche Sicht (Kunde, Provider) relevant ist und auf welchen normativen oder gesetzlichen Grundlagen (Cobit, ITIL, BDSG etc.) die Anforderung beruht. Somit steht eine nachvollziehbare und transparente Prüfbasis zur Verfügung. Die Ergebnisse können in einer Datenbank gespeichert werden und für Vergleiche (Benchmarking) herangezogen werden. Die Prüfungsergebnisse führen soweit dies möglich ist mit der Einstufung in Level- Ausprägungen, um die unterschiedlichen TRUST-Level 1-4 zu ermitteln. Ein Beispiel hierzu ist in Abbildung 8 angegeben. Zertifizierte IT-Sicherheit für Cloud-Services Seite 16

17 Abbildung 8: Prüfleitfaden (Auszug Levelausprägung) 5. Beispiele aus der Praxis 5.1 Trusted Cloud Service Zertifizierung von Host Europe Die Host Europe GmbH mit Sitz in Köln bietet eine Vielzahl von Hosting Services an, darunter auch verschiedene cloudbasierte Lösungen. Um gegenüber den Kunden die Gewährleistung von Datensicherheit, Datenschutz und funktionaler Anforderungen zu belegen, unterzog sich das Unternehmen einem Zertifizierungsaudit nach dem Trusted Cloud Prüfverfahren. Dabei wurden, basierend auf dem Prüfkatalog der TÜV TRUST IT für Cloud Services, die cloudbasierten Dienstleistungen von Host Europe auf Infrastrukturebene (IaaS) untersucht. Die Prüfung umfasste die Themenkomplexe des Prüfkatalogs Trusted Cloud: organisatorische Sicherheit (u.a. Risikomanagement, Schulungsverfahren, Schwachstellenmanagement) Cloud Betrieb (u.a. Service Level Management, Kapazitätsmanagement, Incident Management, Backup) Compliance (u.a. Datenschutz, vertragliche Vorgaben, Auditregelungen) technische Sicherheit (u.a. Netzwerke, Firewalls und Virenschutz, Verschlüsselung) Zertifizierte IT-Sicherheit für Cloud-Services Seite 17

18 Durch Dokumentationsanalysen, technische Analysen der Infrastruktur und ein mehrtägiges interviewbasiertes Audit vor Ort mit Besichtigung der Räumlichkeiten, einschließlich der Rechenzentren, wurde die Erfüllung der Anforderungen des Trusted Cloud Prüfkatalogs festgestellt. Im Sinne der Anforderungen der Zertifizierung war besonders hervorzuheben, dass Kundendaten ausschließlich in unternehmenseigenen deutschen Rechenzentren gespeichert und verarbeitet werden. Außerdem wurde beispielsweise die strikte Trennung der Informationen einzelner Kunden belegt, sowie die bedarfsabhängige Skalierbarkeit von Services zur flexiblen Adressierung individueller und kurzfristiger Anforderungen an die Leistungsfähigkeit des Service. Ende 2012 wurde die weitere Erfüllung der Anforderungen im Rahmen des jährlichen Überwachungsaudit festgestellt. Dabei musste ein weiteres Rechenzentrum in die Prüfung einbezogen werden, da die Host Europe dieses als zusätzlichen Backup-Standort aufgebaut hatte. Durch die erweiterte Prüfung wird sichergestellt, dass die Anforderungen des Trusted Cloud Zertifizierungsverfahrens weiterhin erfüllt sind. Im Ergebnis war auch nach Ablauf des ersten Zertifizierungsjahres und der Erweiterung des Scope eine dem Standard entsprechende Umsetzung festzustellen. 5.2 Cloudability Check für ein mittelständisches Logistikunternehmen Bei einem mittelständischen Logistikunternehmen mit ca. 800 Mitarbeitern wurde erwogen, das CRM System mittels eines cloudbasierten Service auszulagern. Zu diesem Zweck unterstützte die TÜV TRUST IT das Unternehmen bei der Prüfung, ob die Auslagerung in die Cloud hinsichtlich funktionaler Anforderungen, Wirtschaftlichkeit, Sicherheit, nichtfunktionaler Anforderungen, IT-Betrieb, und Compliance umsetzbar ist. Unter funktionalen und wirtschaftlichen Gesichtspunkten erfolgte eine erste Selektion unter verschiedenen Cloud Service Providern, wovon drei Anbieter in die engere Auswahl kamen, die grundsätzlich in der Lage wären in die Leistungsfähigkeit des CRM Systems nach Migration in die Cloud gemäß der wirtschaftlichen Erwägungen des Auftraggebers zu gewährleisten. Anhand der übrigen Kriterien des Cloudability Check wurde anschließend verifiziert, inwiefern die Erwägungen der übrigen Themenkomplexe der Cloudreife besondere Herausforderungen stellen, die vom jeweiligen Provider umzusetzen wären: Zertifizierte IT-Sicherheit für Cloud-Services Seite 18

19 Sicherheit: u.a. Ermittlung relevanter Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit bezüglich des auszulagernden Services; Rückgabe der Daten nach Beendigung des Cloud Service Nicht-funktionale Anforderungen: u.a. Bedarf der Skalierbarkeit des Cloud Service; Anforderungen an kritische Verfügbarkeitsfenster und Performance. IT-Betrieb: u.a. Anforderungen an Desaster Toleranz; Anforderungen an den Supportbedarf zum Cloudservice; Portabilität und Interoperabilität des Cloud Service Compliance: u.a. Erforderlichkeit vertraglicher Vereinbarung bei Personenbezug; Anforderungen an die Auditierbarkeit des Service; spezifische Lizenzanforderungen. Für die Themenfelder nicht-funktionale Anforderungen und Sicherheit konnte anhand der Servicebeschreibungen der jeweiligen Provider verifiziert werden, dass die Anforderungen des Unternehmens durch die drei verbliebenen Anbieter mindestens erfüllt werden können. Daneben ergab sich, dass seitens des Cloudinteressenten spezielle Anforderungen hinsichtlich der zukünftigen Portabilität des Services, der damit gegebenenfalls einhergehenden Rückgabe von Daten und der Interoperabilität mit weiteren Systemen bestehen. Hintergrund war der Wunsch des Unternehmens, für zukünftige strategische Entscheidungen, für Wechsel der Eigentumsverhältnisse bei dem gewählten Cloud Provider und für die geplante Anbindung unter anderem von Archivierungssystemen die entsprechende Planungssicherheit zu haben. Nur einer der Provider, die in der engeren Auswahl waren, konnte alle diese Anforderungen aktuell und zukünftig erfüllen. Momentan ist das weitere Verfahren noch in der Schwebe, da innerhalb des Unternehmens noch im Rahmen der Wirtschaftlichkeitsprüfung des Cloudabilitychecks geprüft wird, welcher Aufwand für die Migration des Service zu erwarten ist. Sobald dies bekannt ist, wird das weitere Vorgehen für die Auslagerung des CRM Systems abzustimmen sein. Zertifizierte IT-Sicherheit für Cloud-Services Seite 19

20 6. Literatur Baun, C.; Kunze, M.; Nimis, J.; Tai, S.: Cloud-Computing, Berlin et al. 2010, S. 27 ff. Biebl, J.: Wofür steht Cloud-Computing eigentlich?, in: Wirtschaftsinformatik und Management, 01/2012, S. 24 Gadatsch, A.: IT-Controlling, Praxiswissen für IT-Controller und Chief Information Officer, ViewegTeubner, Wiesbaden 2012a Gadatsch, A: Big Data: Begriff und betriebswirtschaftliche Auswirkungen, in: WISU, Das Wirtschaftsstudium, Heft 12, 2012b, S Gadatsch, A.; Juszczak, J.; Kütz, M.: Ergebnisse der 4. Umfrage zum Stand des IT- Controlling im deutschsprachigen Raum (2013), in: Schriftenreihe des Fachbereiches Wirtschaft Sankt Augustin, Hochschule Bonn-Rhein-Sieg, Sankt Augustin 2013 Mell, P.; Grance, T.: The NIST Definition of Cloud Computing, NIST Special Publication , 2011 Picot, A.: Podiumsdiskussion Wann vertrauen Sie Ihrem IT-Versorger? Cloud und Trust in der Kontroverse von Anbietern und Konsumenten, Springer, Berlin et. al., 2011, DOI: / _10 Seufert, A.; Bernhardt, N.: Business Intelligence und Cloud-Computing, HMD275, 47. Jahrgang, Oktober 2010., S. 39 Reißmann, Ole: Cloud Computing EU-Studie warnt vor Überwachung durch die USA, in: Spiegel online; , Online im Internet: (Abruf am ) Vossen, G.: Cloud-Computing für Unternehmen, dpunkt, Heidelberg, 2012 Winkelmann, A.: Cloud Computing: Sicherheit und Datenschutz, Universität Potsdam, Institut für Informatik, Arbeitspapier für die Alcatel-Lucent Stiftung, , Online im Internet: (Abruf ) Zertifizierte IT-Sicherheit für Cloud-Services Seite 20