Europäische Sicherheitsagentur schafft Rahmen für Cloud-Zertifizierungsprogramme

CloudIT-ManagementIT-ProjekteSicherheitSicherheitsmanagement
ENISA Cloud Certification (Bilder: EU)

Die ENISA hat einen Meta-Rahmen sowie ein Online-Tool veröffentlicht. Beides soll Firmen helfen, das Thema Security, bei der Auswahl eines Cloud-Service angemessen zu berücksichtigen. Das CCSM genannte Framework formuliert Mindestanforderungen an Cloud-Dienste. Daran müssen sich nun alle Cloud-Zertifizierer in Europa messen.

Die ENISA (European Union Ageny for Network and Information Security) hat mit dem CCSM (“Cloud Certification Schemes Metaframework”) einen Überbau für Zertifizierungsprogramme für Cloud-Angebote eingeführt. Das Framework fasst Sicherheitsanforderungen zusammen, die für Zertifizierungen im öffentlichen Sektor der EU-Mitgliedsländer erforderlich sind. Die Anforderungen werden von den meisten Zertifizierern bereits geprüft – in Deutschland etwa von der Cloud-Gruppe des Branchenverbands eco. Wesentliches Ziel des CCSM ist jedoch die Dokumentation. Durch sie soll mehr Transparenz für Zertifizierungsprogramme erreicht und Kunden bei der Beschaffung von Cloud-Computing-Services geholfen werden.

ENISA Cloud Certification (Bilder: EU)
Am Cloud Certification Schemes Metaframework sollen sich alle Cloud-Zertifizierer Europas ausrichten (Bilder: ENISA).

Die erste Version des CCSM beginnt bei den Grundlagen für das Cloud Computig: Sie ist vorerst auf Netzwerk- und Informationssicherheitsanforderungen beschränkt. Mit 29 Dokumenten zu NIS-Anforderungen aus 11 Ländern – neben Deutschland und Österreich auch Dänemark, Finnland, Griechenland, Großbritannien, Italien, Niederlande, Schweden, Slowakei und Spanien – deckt es 27 Sicherheitsziele ab, die fünf Cloud-Zertifizierungsprogrammen zugeordnet sind. Die Agentur plant, im nächsten Schritt die NIS-Anforderungen aus weiteren Ländern zu integrieren und den Schutz personenbezogener Daten einzubauen.

Die ENISA arbeitet seit vergangenem Jahr mit der Cloud Select Industry Group on Certification Schemes und der Europäischen Kommission zusammen und hat zwei Werkzeuge entwickelt, die Kunden im Bereich Cloud Security unterstützen sollen. Diese Arbeit ist Teil der europäischen Cloud-Strategie im Rahmen der Digitalen Agenda der EU.

Das erste, CCSL genannte Tool, ist eine Liste bestehender Zertifizierungsprogramme für Informationssicherheit. Das Programm wurde Ende 2014 eingeführt. CCSM ist das zweite Werkzeug und quasi eine Ergänzung. Es formuliert 27 Sicherheitsziele und wird bereits in einer großen Ausschreibung zur Beschaffung von Cloud-Services genutzt (PDF). Darin geht es um 2500 Cloud-VMs und 2500 TByte Cloud-Storage.

ENISA-Direktor Professor Udo Helmbrecht betont, dass die Zertifizierung nicht alle Sicherheitsprobleme lösen, aber immerhin einige der Beschaffungsmaßnahmen vereinfachen kann. Das Tool helfe Unternehmen bei der Verwendung bestehender Zertifizierungsprogramme und biete Anbietern von Cloud-Services ein Format, mit dem sie die Sicherheitsmaßnahmen zum Schutz ihrer Dienste nach außen hin erklären können. Es helfe zudem, ein Matrix-Mapping zu verschiedenen Cloud-Zertifizierungsprogrammen zu erstellen und/oder Beschaffungs-Checklisten sowie Fragebögen als Ausdrucke oder Tabellen zu erstellen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen