DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Cloud-Zer­ti­fi­zierung: Tech­nische Stan­dards und har­mo­ni­sierte Regel­werke fehlen

Cloud_Zertifizierung

Am 17. und 18. April fand an der Ruhr Uni­ver­sität in Bochum das a-i3/BSI Sym­posium 2013 statt. Ein The­men­schwer­punkt betraf die Zer­ti­fi­zierung von Cloud-Com­puting-Diensten.

 

 

Nach der Ein­führung durch Herrn Prof. Dr. Borges, Lehr­stuhl für Bür­ger­liches Recht, Wirt­schafts­recht, insb. IT-Recht und Vor­sit­zender der Arbeits­gruppe “Iden­ti­täts­schutz im Internet”, wurden in fünf Refe­raten die ver­schie­denen Aspekte beleuchtet und über Erfah­rungen berichtet.

Während Herr Bernd Kowalski vom BSI einen Ansatz beschrieb, wie durch ein modu­lares System, basierend auf bestehenden (oder noch zu schaf­fenden) Regeln und Stan­dards, eine ver­bind­liche Zer­ti­fi­zierung erreicht werden kann, prä­sen­tierten Euro­Cloud Deutschland und TÜV Rheinland ihre im Markt ange­bo­tenen Lösungen.

Herr Dr. Thilo Wei­chert, Lan­des­be­auf­tragter für den Daten­schutz Schleswig Hol­steins, ver­deut­lichte, dass eine sinn­volle Wirk­samkeit von Zer­ti­fi­katen und ein Aus­schluss von Gefäl­lig­keits­zer­ti­fi­katen nur durch gere­gelte Unab­hän­gigkeit der Gut­achter und Offen­legung der Prüf­kri­terien erreicht werden kann.

Allen Betei­ligten war klar, dass wir uns hin­sichtlich der Zer­ti­fi­zierung von Cloud-Diensten noch in der Ori­en­tie­rungs­phase befinden und viel tech­nische, regu­la­to­rische und juris­tische Arbeit und Zeit in die Har­mo­ni­sierung von Regel­werken und die Schaffung von (tech­ni­schen) Stan­dards gesteckt werden muss.

In der Kon­se­quenz bedeutet dies, dass ein mit einem aktu­ellen Cloud-Zer­ti­fikat aus­ge­zeich­neter Cloud-Dienst nicht zwingend die für den Anwender rele­vanten Normen und Vor­schriften einhält. Die für den Geschäfts­prozess des Cloud-Kunden erfor­der­lichen Rah­men­be­din­gungen und Bran­chen­spe­zifika müssen gege­be­nen­falls indi­vi­duell anhand des Kri­te­ri­en­ka­talogs des Zer­ti­fikats oder im Vertrag geprüft werden. Ob und wann es Zer­ti­fikate oder Güte­siegel geben wird, die Anwendern im Cloud-Umfeld per se und  rechts­ver­bindlich von einer solchen Über­prüfung befreien, ist leider noch offen.

Bild:  © Andreas Hermsdorf / pixelio.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Jeffrey Ahmad, DATEV eG

Dipl.-Ing. Phy­si­ka­lische Technik (FH)
Dipl. Wirt­schafts­in­ge­nieur (FH)

Seit 1996 bei der DATEV eG tätig. Mitt­ler­weile beschäftigt er sich im Bereich der stra­te­gi­schen Unter­neh­mens­ent­wicklung um neue, eher tech­nik­lastige IT-Trends wie Cloud Com­puting, Col­la­bo­ration oder Social Business.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.