Categories: CloudServer

ENISA legt Mindestanforderungen für Clouds fest

Das Cloud Certification Schemes Metaframework, kurz CCSM, von ENISA (European Union Ageny for Network and Information Security) soll europaweit Mindeststandards für Zertifizierungsprogramme für Cloud-Angebote festschreiben. Neben dem Framework startet ENISA auch ein Online-Tool, das sich an Anwenderunternehmen richtet und die Auswahl eines Cloud-Services erleichtern soll.

In dem Framework sind Sicherheitsanforderungen zusammengefasst, die für Zertifizierungen im öffentlichen Sektor der EU-Mitgliedsländer erforderlich sind. Die Anforderungen werden von den zahlreichen Anbietern von Zertifikaten bereits geprüft. In Deutschland ist das die Cloud-Gruppe des Branchenverbands eco.

Wesentliches Ziel des CCSM ist jedoch die Dokumentation. Dadurch soll mehr Transparenz für Zertifizierungsprogramme erreicht, und Kunden bei der Auswahl und Beschaffung von Cloud-Computing-Services geholfen werden.

Die erste Version des CCSM beginnt bei den Grundlagen für das Cloud Computig: Sie ist vorerst auf Netzwerk- und Informationssicherheitsanforderungen beschränkt. Mit 29 Dokumenten zu NIS-Anforderungen aus 11 Ländern – neben Deutschland und Österreich auch Dänemark, Finnland, Griechenland, Großbritannien, Italien, Niederlande, Schweden, Slowakei und Spanien – deckt es 27 Sicherheitsziele ab, die fünf Cloud-Zertifizierungsprogrammen zugeordnet sind.

Die Agentur plant, im nächsten Schritt die NIS-Anforderungen aus weiteren Ländern zu integrieren und den Schutz personenbezogener Daten einzubauen.

Mit dem Cloud Certification Schemes Metaframework versucht die europäische Sicherheitsbehörde einen ersten Schritt zur Harmonisierung von Cloud-Zertifkaten. Zudem sollen Unternehmen eine Auswahlhilfe bekommen. (Quelle: ENISA)

Die ENISA arbeitet seit vergangenem Jahr mit der Cloud Select Industry Group on Certification Schemes und der Europäischen Kommission zusammen und hat zwei Werkzeuge entwickelt, die Kunden im Bereich Cloud Security unterstützen sollen. Diese Arbeit ist Teil der europäischen Cloud-Strategie im Rahmen der Digitalen Agenda der EU.

Das erste, CCSL genannte Tool, ist eine Liste bestehender Zertifizierungsprogramme für Informationssicherheit. Das Programm wurde Ende 2014 eingeführt. CCSM ist das zweite Werkzeug und quasi eine Ergänzung. Es formuliert 27 Sicherheitsziele und wird bereits in einer großen Ausschreibung zur Beschaffung von Cloud-Services genutzt (PDF). Die Ausschreibung deckt 2500 Cloud-VMs sowie 2500 TByte Cloud-Storage ab.

ENISA-Direktor Professor Udo Helmbrecht betont aber auch, dass die Zertifizierung nicht alle Sicherheitsprobleme lösen könne. Dennoch sollen sich dadurch einige Beschaffungsmaßnahmen vereinfachen.

Das Tool helfe Unternehmen bei der Verwendung bestehender Zertifizierungsprogramme und biete Anbietern von Cloud-Services ein Format, mit dem sie die Sicherheitsmaßnahmen zum

Schutz ihrer Dienste nach außen hin erklären können. Es helfe zudem, ein Matrix-Mapping zu verschiedenen Cloud-Zertifizierungsprogrammen zu erstellen und/oder Beschaffungs-Checklisten sowie Fragebögen als Ausdrucke oder Tabellen zu erstellen.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

18 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

19 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago