:quality(80)/p7i.vogel.de/wcms/39/c3/39c3f548ced059867a99e9c6e6ee8c00/0114169487.jpeg "(Bild: Skórzewiak – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/3e/743ef65cf69ad6feb203b040a2f68f30/0114091858.jpeg "Die KI-Regulierungen auf EU-Ebene sind nur der Anfang – es ist global mit weiteren Regulatorien zu rechnen. (© Serhii Yevdokymov – via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/a9/61/a961071f8eae78156d2674498f2a037e/0114145455.jpeg "Friedrich Merz ist CDU-Bundesvorsitzender. (Bild: CDU/Tobias Koch)")
:quality(80)/p7i.vogel.de/wcms/38/d8/38d89f41ecfe78a5e93ec5b9af5152dc/0114145286.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/b7/a7b73c6b42a65224b9e846522140a68b/0114167495.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/87/3987dd69fa3830a6721025c53e282018/0114142035.jpeg "Chatbots konnten bisher keinen Faktencheck durchführen (© B4LLS , Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/77/80/7780ee5b898d56503a461aed8e77bd9b/0114118396.jpeg "Sirenen wie diese stellen neben Smartphones die wichtigsten Instrumente beim Bevölkerungsschutz dar. Durch regelmäßige bundesweite Warntage sollen die Bürgerinnen und Bürger dafür sensibilisiert werden. (© mirkograul - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/0d/130d624022f86b514e4bf4422207de84/0111671698.jpeg "Ein Studium im eGovernment oder Verwaltungsmangement? Für die meisten Studienanfänger bisher oft keine Alternative. (© Deejpilot – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/fa/91/fa91f3b2fabc5fb83149056d77d03202/0114119452.jpeg "Marc Reinhardt, neuer Präsident der Initiative D21 (© Initiative D21 / Tobias Koch)")
:quality(80)/p7i.vogel.de/wcms/96/71/96714e4d656b3b1bee061b01ddca7413/0114065929.jpeg "(Bild: Konstantin Gastmann)")
:quality(80)/p7i.vogel.de/wcms/bd/2e/bd2e66c6ecc1571607525dce691638a8/0114002104.jpeg "Auf der Smart Country Convention werden die neuesten Trends aus dem Public Sector vorgestellt. (Bild: Bitkom )")
:quality(80)/p7i.vogel.de/wcms/2a/24/2a24eacba10e372e07be565e798c9789/0113799601.jpeg "Im Rahmen des Projekts Work4Germany arbeiten Experten aus der Digitalwirtschaft mit Mitarbeitenden der Bundesministerien zusammen (© Jacob Lund – via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/a5/91/a59182415300a4b5cde339f0bfaf7070/0113788916.jpeg "(©iStock)")
:quality(80)/p7i.vogel.de/wcms/75/1a/751a07c16d5a89a2686b647de2a0d302/0113981690.jpeg "(© iStock.com)")
:quality(80)/p7i.vogel.de/wcms/d8/1f/d81f01a643dfb36e821d07f909e3e7ae/0113801692.jpeg "(©Kunakorn Rassadornyindee via iStock)")
:quality(80)/p7i.vogel.de/wcms/d2/52/d2521f9f66e7abe758e67ae837282e0d/0113801094.jpeg "(© Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/c9/0f/c90fa0c017e5ecc20de70dd713ddf391/0112730736.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/85/c7/85c70044c9dfe47187b3222ff227fcfb/0105054611.jpeg "Verwaltung neu denken – für einen zukunftsfähigen und resilienten Staat (© Cassini/GettyImages)")
:quality(80)/p7i.vogel.de/wcms/f3/aa/f3aa9368e67932407609f1eab5c8aaea/0112327057.jpeg "Die Splunk-Plattform (© Splunk)")
:quality(80)/p7i.vogel.de/wcms/f0/d8/f0d8f2fbdeed8a0e306705f4ae21ddcd/0113906887.jpeg "Benannte Stellen sind für die neutrale Konformitätsbewertung von Produkten zuständig (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/67/7767b76f57a39cc505008db2bc5c9102/0113906704.jpeg "eForms: Neue elektronische Standardformulare für öffentliche Vergabeverfahren (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/cf/d2cf4b3ffd87567b8355fdbe97bd451a/0113851120.jpeg "Vergabetransformationspaket der Bundesregierung: Gesetz zur Vereinfachung öffentlicher Vergabeverfahren (Bild: aga7ta – stock.adobe.com)")
Sicherheitsstandards für die Cloud Wie Europas Gesetzgeber Cloud-Nutzer schützen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/123500/123503/65.png "GISA_Xing-Profilbild.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134400/134462/65.png "procilon_group_logo_400px_q.png ()")
Die Sicherheit der Cloud steht nicht nur bei den Anbietern, sondern auch bei der Politik im Fokus. Da es bis heute keine EU-weit einheitliche Regulierung entsprechender Sicherheitsstandards gibt, setzen die einzelnen Mitgliedsstaaten auf eigene Gesetze und Regularien.
Das bedeutet: Auch die Compliance der Unternehmen muss sich hier auf die bestehenden Unterschiede einstellen. In Deutschland stehen fünf „C“ für die entsprechenden Anforderungen: Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) spezifiziert die Mindestanforderungen an sicheres Cloud Computing und richtet sich gleichermaßen an Cloud-Anbieter und deren Kunden.
Einige Unternehmen konnten sich die C5-Zertifizierung bereits sichern – unter ihnen auch OVHcloud, einer der führenden Anbieter in diesem Bereich. Dabei steht die Zertifizierung nicht nur für die Bestätigung, dass der jeweilige Provider gut aufgestellt ist. Sie ist auch und vor allem eine Orientierungshilfe für Unternehmen und Organisationen, wenn es um die Wahl eines geeigneten Cloud-Anbieters geht – hochrelevant nicht zuletzt bei öffentlichen Ausschreibungen.
C5: Orientierungshilfe für Anwender
Das C5-Regelwerk des BSI besteht vor allem aus einer Auflistung von Sicherheitskontrollmechanismen, die von der Bundesbehörde entwickelt wurden. Erstmals 2016 veröffentlicht und 2019 überarbeitet, hat sich der Forderungskatalog inzwischen durchgesetzt und erfreut sich einer hohen Akzeptanz – mehr als ein Dutzend Testate wurden bislang ausgestellt und sichern somit die verlässliche Einhaltung sicherheitsrelevanter Standards.
Entwickelt und implementiert wurde C5 als Alternative bzw. Nachfolger einer Vielzahl verschiedener Regelwerke, die zuvor die Sicherheit der Cloud gewährleisten sollten. Dazu gehörten die ISO-Regelungen 27001, 27002 und 27017 sowie die Cloud Control Matrix (CCM) der Cloud Security Alliance (CSA).
Mit C5 liegt nun seit fünf Jahren ein einheitliches Kompendium der maßgeblichen Sicherheitsanforderungen vor – eines, das immer stärker an Relevanz gewinnt. Angesichts der Perspektive, dass 2020 mit über 80 Prozent die überwältigende Mehrheit der Unternehmen die Cloud nutzte und die Hälfte davon jährlich im Schnitt mehr als eine Million Euro für entsprechende Services ausgibt, gehört die Frage nach maximaler Sicherheit und Datenschutz zu den dringendsten.
C5 gibt die Antworten. Jene, die C5-zertifiziert sind, können sich hier guten Gewissens als sichere und datendiskrete Unternehmen präsentieren. Kunden bietet C5 die Möglichkeit eines eigenen, qualifizierten Risikomanagements bei der Auswahl von Cloud-Anbietern.
Europäischer Flickenteppich
Gerade für international aktive Unternehmen stellen sich jedoch die im Detail unterschiedlichen Regelungen in den einzelnen Ländern durchaus als Problem dar. Eine C5-Zertifizierung in Deutschland gilt für Kunden im Ausland nur schwer als Auswahlargument. Wie sieht es etwa in Italien oder Frankreich aus? Oder gar in einem Nicht-EU-Land wie Großbritannien?
Frankreich: SecNumCloud für Behörden, Provider und Systemintegratoren
In Frankreich gilt die SecNumCloud-Regelung der Agence nationale de la sécurité des systèmes d’information (ANSSI). Wer diesen Regeln entspricht, demonstriert damit seine Regelkonformität im Hinblick auf IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) sowie SaaS (Software-as-a-Service). Die SecNumCloud-Zertifizierung steht für Sicherheit durch Resilienz und die Fähigkeit, auch anspruchsvolle Cyberangriffe abwehren zu können, sowie für Vertrauen durch langfristige Datenschutz-Compliance. Die Regelung richtet sich an öffentliche Körperschaften, essenzielle Versorger sowie Anbieter digitaler Dienste – und natürlich an die entsprechenden Software-/SaaS-Anbieter und Systemintegratoren.
Italien: AGID-Compliance als Resilienznachweis
In Italien fokussieren die Bestimmungen der Agenzia per l’Italia Digitale (AGID), der nationalen IT-Aufsichtsbehörde, im Kern vor allem auf zwei Arten von Anforderungen: unternehmensspezifische und anderweitig spezifizierte. Die unternehmens- bzw. organisationsspezifischen Bedingungen umfassen die nachgewiesene Fähigkeit, kritische Situationen souverän zu bewältigen, ein leistungsfähiges Qualitätsmanagement, einen 24/7-Kundenservice sowie die Adaption definierter Prozesse – unter anderem in den Bereichen Change-, Konfigurations- und Incident-Management – und eine maximale Transparenz bei Vertragsabschlüssen.
Die anderweitig spezifizierten Anforderungen der italienischen Regulierung beinhalten Sicherheits- und Datenschutzregeln, Bedingungen für Performance und Skalierbarkeit, eine Service-Qualitätsgarantie über den gesamten Lebenszyklus hinweg sowie Interoperabilität und Portabilität.
Großbritannien: G-Cloud vor allem für öffentliche Einrichtungen
In Großbritannien schließlich gibt es die Regierungsinitiative G-Cloud, bei der das „G“ für „Government“ steht. Diese richtet sich vor allem an Behörden und regierungsamtliche Institutionen. Sie gilt für vier Kernbereiche: „Data in Transit Protection“, „Asset Protection and Resilience“, „Separation between Consumers“ sowie „Governance Framework“. Durch diese Kernbereiche deckt das Regelwerk die wesentlichen Sicherheitsaspekte bei einer Adaption von Cloud-Lösungen durch öffentliche Einrichtungen ab – mit dem Ziel, ebendiese landesweit zu fördern und das Cloud Computing zum Behördenstandard zu machen. Die Regelungen waren 2014 überarbeitet und angepasst worden – zusammen mit einer vereinfachten Klassifizierung in drei anstelle der vorher bestehenden sechs Kategorien: „Official“, „Secret“ sowie „Top Secret“.
Jedes dieser Regelwerke beinhaltet eigene Charakteristika, Schwerpunkte und Detaillösungen, sodass in der gesamteuropäischen Draufsicht eher ein Flickenteppich als ein grenzübergreifender Minimalstandard existiert. Für Anbieter bedeutet das: Was in einem Land ausschlaggebend ist, muss es nicht zwangsläufig auch in einem anderen sein – sodass es in vielen Fällen komplexer Anpassungsmaßnahmen bedarf, um die entsprechenden Zertifizierungen in den unterschiedlichen Märkten zu erhalten.
Von großem Vorteil ist es dabei natürlich, wenn ein Unternehmen bereits selbst hohe Anforderungen an sein Cloud-Angebot stellt. Solange es keinen europäischen Standard gibt, auf den international tätige Kunden setzen können, müssen diese bei der Anbieterwahl darauf achten, dass die genutzten Cloud-Lösungen über Zertifizierungen in allen relevanten Märkten verfügen. Nur so ist sichergestellt, dass Compliance und Sicherheit überall gewährleistet sind.
* Der Autor Falk Weinreich ist General Manager Central Europe bei OVHcloud.
(ID:47886800)
:quality(80)/p7i.vogel.de/wcms/4c/e5/4ce5871f17143702335fa8d3bc6d9bff/0109204396.jpeg "Um wettbewerbsfähig zu bleiben, muss die EU eine eigene Cloud-Strategie entwickeln und Maßnahmen zur Umsetzung treffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c6/7f/c67f750394a628c0d063d7ee8d2a0ee6/0108000621.jpeg "Cyber-Security-Experten fordern: Europäische IT-Sicherheitspolitik soll gänzlich auch von europäischen Anbietern bestimmt werden. (Bild: gemeinfrei JoBischPeuchet)")