Auf dem Weg zur EU-weiten Cloud-Zertifizierung

Cloud-Zertifizierung ist erfolgskritisch

Die Cybersicherheitszertifizierung von Cloud-Diensten wird mehr Vertrauen und Rechtssicherheit in die Sicherheit der grenzüberschreitenden Datenverarbeitung bringen, erklärte die EU-Agentur für Cybersicherheit ENISA. Zertifizierte Cloud-Dienste werden der EU-Datenwirtschaft helfen, weiter zum BIP-Wachstum beizutragen, ist sich ENISA sicher.

Nicht nur die IT-Sicherheitsbehörde der EU sieht dies so. Unabhängige Sicherheitszertifikate sind ein „Must-have“ bei der Auswahl des Cloud-Services, sagen 69 Prozent der befragten Unternehmen in Deutschland, wie der Cloud-Monitor 2020 von Bitkom und KPMG zeigt. Für weitere 30 Prozent ist dies „nice-to-have“, nur ein Prozent hält dies für nicht wichtig.

An Zertifikaten und Standards mangelt es nicht

Nun ist es nicht das Problem, dass es noch keine Cloud-Zertifikate geben würde, die Aussagen über die Sicherheit des jeweils zertifizierten Cloud-Dienstes treffen. Es ist vielmehr so, dass es viele verschiedene Zertifikate auf dem Markt gibt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führte aus, dass es auf dem Markt bereits einige Zertifikate für Cloud-Angebote gibt und dass zu den bekannten das Gütesiegel SaaS von EuroCloud, CSA STAR TÜV Trust IT zählen.

Nicht jedes Zertifikat ist jedoch direkt vergleichbar. Bei Zertifikaten und Testaten muss geprüft werden, ob der Zertifizierungsgegenstand den gesamten angebotenen Cloud-Service enthält und was die wesentliche Aussage des Zertifikats ist, weist das BSI in der Publikation „Sichere Nutzung von Cloud-Diensten“ hin.

Das BSI selbst hat noch ein weiteres mögliches Cloud-Testat hinzugefügt, die Testierung nach dem Anforderungskatalog Cloud Computing (C5) des BSI. Der „Cloud Computing Compliance Criteria Catalogue“ richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE-International Standard on Assurance Engagements 3000.

Der vom BSI entwickelte C5 hat sich seit seiner Veröffentlichung 2016 zum etablierten und vielfach national und international umgesetzten Standard der Cloud-Sicherheit entwickelt. Dabei sollte ein Cloud-Testat wie C5 nicht als deutsches Cloud-Zertifikat verstanden werden, das Ziel ist eine EU-weite, einheitliche Cloud-Zertifizierung. Entsprechend wurde der C5-Kriterienkatalog aktiv vom BSI in die Entwicklung eines EU-Zertifizierungsschemas für Cloud-Dienste eingebracht und bildet hierfür eine wesentliche Grundlage. Neben Aspekten der Informationssicherheit deckt der C5 auch eine Vielzahl von Anforderungen ab, die im Kontext des Datenschutzes (Datenschutz-Grundverordnung, DSGVO) zu erbringen sind.

Geplante Harmonisierung: European Union Cybersecurity Certification Scheme on Cloud Services (EUCS)

Ziel des EU-Zertifizierungsschemas EUCS ist es, bessere Bedingungen zur Nutzung von Cloud-Diensten im EU-Binnenmarkt zu schaffen sowie eine Harmonisierung und Straffung der für eine Zertifizierung notwendigen Nachweise herbeizuführen. Um das EU-Zertifizierungsschema noch besser an die Bedürfnisse der verschiedenen Stakeholder anzupassen, hat die europäische Cyber-Sicherheitsagentur ENISA eine öffentliche Kommentierung des Entwurfs für das Zertifizierungsschema zur Cloud-Sicherheit unter dem Cyber Security Act vorgesehen.

Die Zertifizierung von Cloud-Diensten ist mit Herausforderungen verbunden, wie ENISA betont, wie zum Beispiel verschiedene Marktteilnehmer, komplexe Systeme und eine sich ständig weiterentwickelnde Landschaft von Cloud-Diensten sowie die Existenz unterschiedlicher Systeme in den Mitgliedstaaten.

Der Entwurf des EUCS geht diese Herausforderungen an, indem es bewährte Verfahren für die Cybersicherheit auf drei Sicherheitsebenen fordert und einen Übergang von den derzeitigen nationalen Systemen in der EU ermöglicht. Der Entwurf des EUCS soll die Cybersicherheit in der gesamten Cloud-Lieferkette berücksichtigen.

Der Entwurf sieht vor, dass EUCS ein freiwilliges System ist, die Zertifikate in den EU-Mitgliedstaaten gelten, für alle Arten von Cloud-Diensten – von der Infrastruktur bis zu Applikationen, anwendbar ist, das Vertrauen in Cloud-Dienste durch die Definition eines Referenzsatzes von Sicherheitsanforderungen steigert, drei Sicherheitsstufen („Einfach“, „Erheblich“ und „Hoch“) abdeckt, einen Übergangspfad von nationalen Systemen definiert, eine dreijährige Zertifizierung, die erneuert werden kann, beinhaltet und Transparenzanforderungen wie den Ort der Datenverarbeitung und -speicherung enthält.

Wie es um EUCS gegenwärtig steht

Die Kommentare zu dem Entwurf zeigten, dass einige Elemente des Systems angepasst werden mussten, wie Bedingungen oder Fristen für die Aufrechterhaltung von Zertifikaten, die Überwachung und Behandlung von Verstößen oder Schwachstellen. Dies wurde von ENISA nun überarbeitet.

Die Agentur der Europäischen Union für Cybersicherheit ENISA hat inzwischen der Europäischen Kommission offiziell das erste Kandidatensystem für die Cybersicherheitszertifizierung nach gemeinsamen Kriterien übermittelt (EUCC-Kandidatensystem v.1.1.1). Die Prüfung durch die EU-Kommission findet nun statt.

Es zeigt sich: Unternehmen können und sollten weiterhin festhalten an dem Auswahlkriterium Zertifizierung der Cloud-Sicherheit. Eine Beurteilung des Sicherheitsniveaus bei einem angebotenen Cloud-Dienst durch den Cloud-Nutzer selbst ist kaum zu bewerkstelligen. Ohne Sicherheitsnachweis jedoch können Cloud-Dienste aus Compliance-Gründen nicht einfach eingesetzt werden.

Mit dem European Union Cybersecurity Certification Scheme on Cloud Services (EUCS) naht die notwendige Harmonisierung beziehungsweise die Verfügbarkeit von EU-weiten Cloud-Zertifikaten, die sich dann auch leichter vergleichen lassen. Der Weg zur einheitlichen Cloud-Zertifizierung ist lang, aber ein gutes Wegstück ist nun beschritten.