:quality(80)/p7i.vogel.de/wcms/4f/b6/4fb68aebb416b3462f5c64b2ef5723c9/0110467219.jpeg "Bundespresseamt vs. Datenschutzbehörde oder auch Facebook vs. Mastodon – die Frage nach dem Gewinner soll nun das Verwaltungsgericht Köln beantworten (© Alltechbuzz_net – pixabay via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/1f/c9/1fc97acc1dec34c82c62d1d69da6b596/0110476065.jpeg "Der Ezhikrat fordert, die die Rolle der KI in der öffentlichen Kommunikation und Meinungsbildung kritisch zu hinterfragen (© M.Dörr & M.Frommherz – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/5b/015bec51bc6e92d4d717ea951036523f/0110416793.jpeg "Mit dem Digitalpakt stellt die Bundesregierung seit 2019 insgesamt 6,5 Millionen Euro Fördergelder für die Digitalisierung in den allgemeinbildenden Schulen bereit (Bild: Stockwerk-Fotodesign – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/cd/77cd250ce7af2f3282a8769b909e99b2/0110433407.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/5a/c75a353e25b87e8e2a06135f515f1a11/0110379166.jpeg "Die Kommunen erhalten mehr Unterstützung von der Landesregierung (© Jirsak, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/0c/f4/0cf4f547697d2e2a624af24c85bf80ea/0110340115.jpeg "Mitarbeiterbeteiligung fördert die Projektakzeptanz (© Philip Steury - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/a1/9fa10b36f1163491de23dd972244ba13/0110334107.jpeg "Der neue Mainzer Rechner kann pro Sekunde rund 2,8 Billiarden Rechenoperationen ausführen – eine Billion hat 15 Nullen (© AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/0a/030a5d6d68a07f27d002a852bf1928c0/0110375178.jpeg "Die didacta 2023 fand vom 7.-11. März in Stuttgart statt (©Landesmesse Stuttgart GmbH)")
:quality(80)/p7i.vogel.de/wcms/80/6b/806ba8bc1383da483b0bfcd09e9d2388/0110077364.jpeg "Die Gewinner der Plätze eins bis drei erwartet ein stolzes Preisgeld (© Inna Dodor Getty Images via Canva)")
:quality(80)/p7i.vogel.de/wcms/74/28/742809333bb073f39b9e1944ab9b5c69/0110074652.jpeg "Ziel des Digitaltags ist es, die digitale Teilhabe in Deutschland zu fördern; der Preis soll Projekte und Initiativen, die das unterstützen, würdigen (© kate_sept2004 – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/8f/18/8f18a71e1931275c50375f34bd62e9ea/0110005602.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/6b/18/6b18f350ffe57f39c8f22261e1512180/0109462389.jpeg "(©Kodak Alaris)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/af/0faf6811142391ce336005dc0c8af6b7/0110111565.jpeg "Cross-Site-Scripting: Kriminelle nutzen Sicherheitslücken (© aga7ta – stock.adobe.com)")
Sicherheitsstandards für die Cloud Wie Europas Gesetzgeber Cloud-Nutzer schützen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135000/135096/65.jpg "logo_nospamproxy300x300.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/102000/102099/65.jpg "profilbild_publicplan_quadrat_640x640_72dpi_thumb.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
Die Sicherheit der Cloud steht nicht nur bei den Anbietern, sondern auch bei der Politik im Fokus. Da es bis heute keine EU-weit einheitliche Regulierung entsprechender Sicherheitsstandards gibt, setzen die einzelnen Mitgliedsstaaten auf eigene Gesetze und Regularien.
Das bedeutet: Auch die Compliance der Unternehmen muss sich hier auf die bestehenden Unterschiede einstellen. In Deutschland stehen fünf „C“ für die entsprechenden Anforderungen: Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) spezifiziert die Mindestanforderungen an sicheres Cloud Computing und richtet sich gleichermaßen an Cloud-Anbieter und deren Kunden.
Einige Unternehmen konnten sich die C5-Zertifizierung bereits sichern – unter ihnen auch OVHcloud, einer der führenden Anbieter in diesem Bereich. Dabei steht die Zertifizierung nicht nur für die Bestätigung, dass der jeweilige Provider gut aufgestellt ist. Sie ist auch und vor allem eine Orientierungshilfe für Unternehmen und Organisationen, wenn es um die Wahl eines geeigneten Cloud-Anbieters geht – hochrelevant nicht zuletzt bei öffentlichen Ausschreibungen.
C5: Orientierungshilfe für Anwender
Das C5-Regelwerk des BSI besteht vor allem aus einer Auflistung von Sicherheitskontrollmechanismen, die von der Bundesbehörde entwickelt wurden. Erstmals 2016 veröffentlicht und 2019 überarbeitet, hat sich der Forderungskatalog inzwischen durchgesetzt und erfreut sich einer hohen Akzeptanz – mehr als ein Dutzend Testate wurden bislang ausgestellt und sichern somit die verlässliche Einhaltung sicherheitsrelevanter Standards.
Entwickelt und implementiert wurde C5 als Alternative bzw. Nachfolger einer Vielzahl verschiedener Regelwerke, die zuvor die Sicherheit der Cloud gewährleisten sollten. Dazu gehörten die ISO-Regelungen 27001, 27002 und 27017 sowie die Cloud Control Matrix (CCM) der Cloud Security Alliance (CSA).
Mit C5 liegt nun seit fünf Jahren ein einheitliches Kompendium der maßgeblichen Sicherheitsanforderungen vor – eines, das immer stärker an Relevanz gewinnt. Angesichts der Perspektive, dass 2020 mit über 80 Prozent die überwältigende Mehrheit der Unternehmen die Cloud nutzte und die Hälfte davon jährlich im Schnitt mehr als eine Million Euro für entsprechende Services ausgibt, gehört die Frage nach maximaler Sicherheit und Datenschutz zu den dringendsten.
C5 gibt die Antworten. Jene, die C5-zertifiziert sind, können sich hier guten Gewissens als sichere und datendiskrete Unternehmen präsentieren. Kunden bietet C5 die Möglichkeit eines eigenen, qualifizierten Risikomanagements bei der Auswahl von Cloud-Anbietern.
Europäischer Flickenteppich
Gerade für international aktive Unternehmen stellen sich jedoch die im Detail unterschiedlichen Regelungen in den einzelnen Ländern durchaus als Problem dar. Eine C5-Zertifizierung in Deutschland gilt für Kunden im Ausland nur schwer als Auswahlargument. Wie sieht es etwa in Italien oder Frankreich aus? Oder gar in einem Nicht-EU-Land wie Großbritannien?
Frankreich: SecNumCloud für Behörden, Provider und Systemintegratoren
In Frankreich gilt die SecNumCloud-Regelung der Agence nationale de la sécurité des systèmes d’information (ANSSI). Wer diesen Regeln entspricht, demonstriert damit seine Regelkonformität im Hinblick auf IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) sowie SaaS (Software-as-a-Service). Die SecNumCloud-Zertifizierung steht für Sicherheit durch Resilienz und die Fähigkeit, auch anspruchsvolle Cyberangriffe abwehren zu können, sowie für Vertrauen durch langfristige Datenschutz-Compliance. Die Regelung richtet sich an öffentliche Körperschaften, essenzielle Versorger sowie Anbieter digitaler Dienste – und natürlich an die entsprechenden Software-/SaaS-Anbieter und Systemintegratoren.
Italien: AGID-Compliance als Resilienznachweis
In Italien fokussieren die Bestimmungen der Agenzia per l’Italia Digitale (AGID), der nationalen IT-Aufsichtsbehörde, im Kern vor allem auf zwei Arten von Anforderungen: unternehmensspezifische und anderweitig spezifizierte. Die unternehmens- bzw. organisationsspezifischen Bedingungen umfassen die nachgewiesene Fähigkeit, kritische Situationen souverän zu bewältigen, ein leistungsfähiges Qualitätsmanagement, einen 24/7-Kundenservice sowie die Adaption definierter Prozesse – unter anderem in den Bereichen Change-, Konfigurations- und Incident-Management – und eine maximale Transparenz bei Vertragsabschlüssen.
Die anderweitig spezifizierten Anforderungen der italienischen Regulierung beinhalten Sicherheits- und Datenschutzregeln, Bedingungen für Performance und Skalierbarkeit, eine Service-Qualitätsgarantie über den gesamten Lebenszyklus hinweg sowie Interoperabilität und Portabilität.
Großbritannien: G-Cloud vor allem für öffentliche Einrichtungen
In Großbritannien schließlich gibt es die Regierungsinitiative G-Cloud, bei der das „G“ für „Government“ steht. Diese richtet sich vor allem an Behörden und regierungsamtliche Institutionen. Sie gilt für vier Kernbereiche: „Data in Transit Protection“, „Asset Protection and Resilience“, „Separation between Consumers“ sowie „Governance Framework“. Durch diese Kernbereiche deckt das Regelwerk die wesentlichen Sicherheitsaspekte bei einer Adaption von Cloud-Lösungen durch öffentliche Einrichtungen ab – mit dem Ziel, ebendiese landesweit zu fördern und das Cloud Computing zum Behördenstandard zu machen. Die Regelungen waren 2014 überarbeitet und angepasst worden – zusammen mit einer vereinfachten Klassifizierung in drei anstelle der vorher bestehenden sechs Kategorien: „Official“, „Secret“ sowie „Top Secret“.
Jedes dieser Regelwerke beinhaltet eigene Charakteristika, Schwerpunkte und Detaillösungen, sodass in der gesamteuropäischen Draufsicht eher ein Flickenteppich als ein grenzübergreifender Minimalstandard existiert. Für Anbieter bedeutet das: Was in einem Land ausschlaggebend ist, muss es nicht zwangsläufig auch in einem anderen sein – sodass es in vielen Fällen komplexer Anpassungsmaßnahmen bedarf, um die entsprechenden Zertifizierungen in den unterschiedlichen Märkten zu erhalten.
Von großem Vorteil ist es dabei natürlich, wenn ein Unternehmen bereits selbst hohe Anforderungen an sein Cloud-Angebot stellt. Solange es keinen europäischen Standard gibt, auf den international tätige Kunden setzen können, müssen diese bei der Anbieterwahl darauf achten, dass die genutzten Cloud-Lösungen über Zertifizierungen in allen relevanten Märkten verfügen. Nur so ist sichergestellt, dass Compliance und Sicherheit überall gewährleistet sind.
* Der Autor Falk Weinreich ist General Manager Central Europe bei OVHcloud.
(ID:47886800)
:quality(80)/images.vogel.de/vogelonline/bdb/1942000/1942012/original.jpg "Euritas verfolgt das Ziel, den Wissenstransfer zwischen den angebundenen IT-Dienstleistern zu fördern (idambeer – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935800/1935833/original.jpg "„Niemand kann diese Herausforderung im Alleingang lösen“, meint Markus Hertlein (Monopoly919 - stock.adobe.com)")