Bieten staatliche Organisationen wie Ministerien Cloud-Zertifizierung an?

Nicht direkt. Das BSI beschreibt Ansätze, um ein Zertifikat für die Sicherheit von Cloud Services zu etablieren. Dieser Ansatz besteht aus folgenden Teilen:

• IT-Grundschutz-Zertifikat (insbesondere relevante IT-Grundschutz-Bausteine zum Cloud Computing),

• Zertifikate zur Produktsicherheit nach Common Criteria für die als kritisch anzusehenden Komponenten sowie

• weitere Nachweise zum Beispiel zur Zuverlässigkeit.

Darüber hinaus gibt es eine Zertifizierungsinitiative vom Bundesministerium für Wirtschaft und Energie (BMWi). Das Pilotvorhaben wird vom Kompetenzzentrum des BMWi-Technologieprogramms Trusted Cloud durchgeführt.

An dem Pilotprojekt sind alle maßgeblichen Akteure beteiligt, darunter mehrere Datenschutzbehörden, Anbieter und Anwender von Cloud-Diensten sowie Unternehmen aus den Bereichen der IT-Prüfung und IT-Rechtsberatung. Das Projekt soll im Frühjahr 2015 abgeschlossen werden. Das darin entwickelte Datenschutz-Zertifizierungsverfahren soll künftig von unabhängigen Zertifizierungsstellen für alle Cloud-Anbieter zur Verfügung stehen.

Wer bietet aktuell praktisch relevante Cloud-Zertifikate an?

Aktuell gibt es eine Vielfalt an Ausstellern von Cloud-Zertifikaten - in der Regel Branchenverbände und Prüforganisationen wie der TÜV - die quasi einen eigenen "Markt" bilden. Weltweit befassen sich rund 150 Organisationen mit Aspekten der StandardisierungStandardisierung im Cloud Computing. Davon ist derzeit nur ein kleiner Teil relevant. Alles zu Standardisierung auf CIO.de

Für den deutschen Cloud-Markt sind vor allem drei Gütesiegel wichtig: SaaSSaaS von EuroCloud, Trust in Cloud von Cloud EcoSystem und Certified Cloud Service vom TÜV Rheinland. Diese "Haussstandards" wollen über den IT-Grundschutz ISO 27001 hinausgehende Cloud-spezifischen Belange abdecken. Die Zertifizierungen zielen darauf ab, die Sicherheit einer Cloud auf Grundlage eigener Anforderungskataloge zu prüfen und mit einem Zertifikat zu bestätigen. Alles zu SaaS auf CIO.de

Wie lässt sich der Markt für Cloud-Zertifikate strukturieren?

Die Qualität und der Nutzen von Zertifikaten stehen und fallen mit den Organisationen, die mit der Prüfung beauftragt sind sowie deren Prüfkriterien. Schwache Anforderungskataloge treffen weder die Bedürfnisse der Kunden, noch helfen Sie, die Qualitätsunterschiede von Cloud-Lösungen für den Nutzer klar zu präsentieren. Im Gegenteil, IT-Entscheider verlassen sich im Zweifelsfall auf diese vermeintlich geprüften Services, doch bekommen nicht die versprochene Qualität.

Grob gesprochen lassen sich die Anbieter von Cloud-Zertifikaten in drei Gruppen aufteilen. Bei der ersten Gruppe besteht die Prüfung im Prinzip aus kaum mehr als einer Konformitätserklärung seitens des Providers. Einige Cloud-Zertifikate bleiben an dieser Stelle der Selbstbewertung stehen. Bei der zweiten Gruppe erfolgt eine externe Prüfunng, indem, die Provider über mehr oder weniger detaillierte Fragebögen Auskunft zu IT und sicherheitsspezifischen Belangen geben müssen. Die dritte Gruppe an Zertifikats-Anbietern verlangt ein detailliertes technisches Audit, bei der auch Experten vor Ort prüfen.