Hintergrund Cloud-Zertifikate

Was ein vertrauenswürdiger Cloud-Provider bieten muss

Cloud-Zertifikate sind ein Indiz für Qualität und Sicherheit. Aber nur regelmässige Audits liefern eine belastbare Aussage über alle relevanten Aspekte von Passwortmanagement bis Disaster Recovery.

Text: Urs Binder,

Vertraue, aber prüfe nach. Dieses russische Sprichwort passt bestens, wenn es um die Sicherheit und Zuverlässigkeit von Cloud-Providern und Cloud-Diensten geht. Nehmen wir als Beispiel ein Handelsunternehmen: Stammdaten und kundenspezifische Transaktionen müssen vertraulich behandelt werden und dürfen keinesfalls in falsche Hände geraten – sonst springen die Kunden ab. Preiskalkulationen und Vereinbarungen mit Lieferanten gehen ausschliesslich die beteiligten Parteien etwas an. Das gleiche gilt für Personaldossiers und Lohndaten. Und dass die IT tagelang nicht funktioniert oder Daten verloren gehen, kommt überhaupt nicht in Frage. Zu wichtig sind die IT-Systeme fürs Geschäft.


Das alles gilt selbstverständlich auch, wenn die Systeme im hauseigenen Rechenzentrum stehen. Wer seine IT jedoch ganz oder teilweise der Cloud übergibt, braucht die Gewähr, dass auch der Provider bezüglich IT-Sicherheit, Datenschutz und Systemverfügbarkeit alle erforderlichen Massnahmen getroffen und umgesetzt hat.

Zertifizierung von Rechenzentren und Cloud-Services

Zertifikate liefern einen Nachweis der Vertrauenswürdigkeit von Cloud-Anbietern, deren Rechenzentren und einzelner Cloud-Services. Vier Beispiele:

  • Der «Star Audit ECSA» und der «Star Audit Swiss» mit zusätzlichen Schweiz-spezifischen Charakteristiken von eurocloud.org. Die ECSA-Website verzeichnet aktuell allerdings erst wenige zertifizierte Anbieter.
  • Das «Trusted Cloud»-Zertifikat vom TÜV Rheinland bestätigt das erfolgreiche Bestehen einer umfassenden Reihe von Prüfungen aller relevanten Aspekte. Bekannte SaaS-Anbieter wie Salesforce.com oder box.com sind zertifiziert.
  • Das Tier-IV-Zertifikat des Uptime Institute gilt als weltweit höchste Qualitätsauszeichnung und garantiert die Verfügbarkeit, Effizienz und Sicherheit von Rechenzentren. Das Swisscom-Data-Center in Wankdorf hat dieses Zertifikat 2014 als erstes Schweizer Rechenzentrum erhalten.
  • Für PaaS-Plattformen wie die Swisscom Application Cloud gibt es ein Zertifikat der Cloud Foundry Foundation.


Solche Zertifizierungen berücksichtigen Normen und Vorgaben für verschiedene Bereiche des Designs und Betriebs von Rechenzentren, ergänzt durch Cloud-spezifische Merkmale und Controls bezüglich Vertraulichkeit und Funktionalität.


Zertifikate stellen jedoch immer bloss eine Momentaufnahme dar, liefern keine fortwährende Überwachung der Systeme und Services und gehen nicht auf die einzelnen Kunden der erbrachten Services und ihre individuellen Bedürfnisse ein.

Transparenz und Visibilität

Gerade regelmässige Audits sind es aber, was Cloud-Kunden wirklich weiterhilft. Das Ziel ist es, dem Kunden Transparenz und Visibilität über alle Systemcharakteristiken zu verschaffen. Wenn ein Provider dies bieten kann, profitiert der Kunde zweifach: Er kann sich von der Qualität und der adäquaten Umsetzung der Services und der Sicherheitsmassnahmen überzeugen. Und er kann anhand der Zertifizierungen und Berichte nachweisen, dass er seine eigene Sorgfaltspflicht erfüllt.


Swisscom als Cloud-Provider setzt dazu auf vier Standbeine:

 

  • Das gesamte Unternehmen ist ISO 27001-zertifiziert: Dies garantiert, dass ein dokumentiertes Information-Security-Management-System vorhanden ist und aufrechterhalten wird und beschreibt, wie Sicherheitsrisiken beurteilt und behandelt werden.
  • Ein extern auditierter Infrastruktur-Report gemäss SOC2/ISAE3402: Ein Kontrollsystem überprüft und dokumentiert regelmässig verschiedene Kontrollpunkte wie etwa die Durchführung von Backups und die Vergabe von Administratorprivilegien. Am Ende der Reporting-Periode erhält der Kunde einen Bericht von einem der «Big 4»-Wirtschaftsprüfer, der das Kontrollsystem und die erfolgten Messungen unabhängig bewertet.
  • Der Business Continuity Report, ebenfalls extern auditiert: Er weist die Umsetzung von Disaster-Recovery-Massnahmen für besonders geschäftskritische Anwendungen nach. Damit bekommt der Kunde Rechenschaft über die Einhaltung der zugesagten Leistungsmerkmale, zum Beispiel die Zeit bis zur Service-Wiederherstellung im Fehlerfall oder die maximale Zeitdauer eines Datenverlusts.
  • Das Security Reporting informiert über die Sicherheit von Managed Services: Hier stehen besonders das Patch-Management, die Anti-Malware-Massnahmen und die Härtung der Systeme im Fokus. Der Kunde hat Gewähr, dass die Managed Services mit bestmöglicher Sicherheit betrieben werden.

Agiles Business und effiziente IT

Swisscom begleitet Sie mit optimalen Data Center- & Cloud-IT-Lösungen.  

 

Zum Angebot