Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung

Relevante Aspekte der Cloud Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.

Relevante Aspekte der Cloud Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.

Das BSI empfiehlt, zumindest die nachfolgenden Punkte bei der Erstellung von SLAs zu berücksichtigen:

  • Ort der Leistungserbringung durch den Cloud-Anbieter

Der Standort, an dem die beauftragten Cloud-Services erbracht werden, muss vertraglich festgehalten werden. Dabei sind beispielsweise nationale Einschränkungen, Einschränkungen auf EU oder auf bestimmte Rechenzentren möglich.

  • An der Erbringung des Services beteiligte Subunternehmer oder andere Dritte

Werden Subunternehmer oder andere Dritte an der Leistungserbringung beteiligt, so ist dies vertraglich festzuhalten und bei Änderungen der Cloud-Anwender zu informieren.

  • Regelungen zur der Infrastruktur des Cloud-Anbieters

Dies umfasst z.B. Vorgaben zur Absicherung der Infrastruktur sowie Maßnahmen zur Ausfallsicherung auf Seiten des Dienstleisters. In diesem Zusammenhang kann gegebenenfalls ein Nachweis in Form einer Zertifizierung erfolgen.

  • Regelungen hinsichtlich des Personals beim Cloud-Anbieter

Werden besondere Anforderungen an z.B. Qualifikationen und Zertifizierungen des Personals auf Seiten des Dienstleisters gestellt, ist dies vertraglich festzulegen.

  • Regelungen zu Kommunikationswegen und Ansprechpartnern

Es müssen klare Verantwortlichkeiten, Eskalationsstufen und Kommunikationswege definiert sein. Wichtig sind an dieser Stelle auch Regelungen zu Ansprechpartnern im Notfall, zum Sicherheitsvorfall-Management und zur Behebung von Fehlern.

  • Regelungen zu Prozessen, Arbeitsabläufen und Zuständigkeiten

Es sollten unter anderem Vorgaben zu regelmäßigen Security-Monitoring-Aktivitäten, zur Behandlung von Incidents, regelmäßigen Abstimmungsrunden, zum Schutz vor Schadprogrammen, zur Dokumentation des Backup- und Recovery-Prozesses, der Bereitstellung verschlüsselter Transportwege und Mitwirkungspflichten des Cloud-Anwenders vertraglich vereinbart werden. Auch kann an dieser Stelle ein Recht zur eigenen Datensicherung eingeräumt werden, soweit dies bei dem angebotenen Dienst möglich ist.

  • Regelungen zur Beendigung des Vertragsverhältnisses

Dabei sind unter anderem Regelungen zur Rückgabe der ausgelagerten Daten zu treffen.

  • Sicherstellung der Datenlöschung beim Cloud-Anbieter

Es ist zu vereinbaren, wie Daten zu Löschen sind und was die vollständige Löschung von Daten beinhaltet.

  • Regelungen zu Zutritts- und Zugriffsberechtigungen

Es ist möglich die Zugriffsberechtigungen vertraglich einzugrenzen. Auch sind Vorgaben zu Sicherheitsmaßnahmen hinsichtlich der Rechenzentren beim Anbieter festzuhalten.

  • Regelungen zur Notfallvorsorge

Das Vorhalten von Notfallplänen beim Cloud-Anbieter sowie die Einsichtnahme durch den Cloud-Anwender sollten vertraglich geregelt werden.

  • Regelungen zu rechtlichen Rahmenbedingungen

Dies umfasst unter anderem die Verpflichtung des Cloud-Anbieters geltende Normen und Gesetze in Abhängigkeit vom Standort einzuhalten.

  • Regelungen zum Änderungsmanagement (Change Management) und zu Testverfahren

Es muss festgelegt werden in wieweit im Rahmen des Änderungsmanagements und der Testverfahren flexible Anpassungsmöglichkeiten gegeben sind.

  • Regelungen zur Durchführung von Kontrollen

Das auslagernde Unternehmen sollte sich vertraglich das Recht zur Durchführung eigener Kontrollen beim Cloud-Anbieter einräumen lassen. Darüber hinaus ist festzulegen, wie die Messung der Einhaltung der Vereinbarungen aus den SLAs erfolgt.

Neben der vertraglichen Vereinbarung relevanter Aspekte in Form von SLAs gibt es auf dem Markt Möglichkeiten für Cloud Anbieter sich zertifizieren zu lassen.

Diese Zertifikate befreien jedoch das auslagernde Unternehmen nicht vor der eigenen Beurteilung und Kontrolle des Datenschutzes beim Cloud Anbieter.

Im Folgenden werden einige gängige und relevante Zertifizierungsmöglichkeiten für Cloud Anbieter erläutert:

Bei ISO/IEC 27001 handelt es sich um einen Standard der International Standardization Organisation, der Anforderungen an ein Information Security Management System (ISMS) liefert.

Es existieren zwei Möglichkeiten für Unternehmen, sich nach ISO/IEC 27001 zertifizieren zu lassen. Es werden die native Zertifizierung und die Zertifizierung nach BSI Grundschutz unterschieden.

Es handelt sich um ein sehr etabliertes Zertifikat, das sich generell auf Anforderungen an ein ISMS bezieht. Es ist zwar nicht speziell auf Cloud-Anbieter bezogen, ein Zertifikat nach ISO/IEC 27001 ist aber in jedem Fall empfehlenswert.

  • CSA STAR

Bei der Cloud Security Alliance (CSA) handelt es sich um einen gemeinnützigen Zusammenschluss von internationalen Unternehmen. Das von diesen Unternehmen entwickelte CSA STAR (Security Trust & Assurance Registry) Programm unterteilt sich in 3 Level, beginnend mit einem Self-Assessment. Im Level 2 findet unter anderem die STAR Zertifizierung basierend auf ISO/IEC 27001 statt. Level 3, das kontinuierliche Überwachung behandeln soll befindet sich derzeit noch in Entwicklung.

  • EuroCloud Star Audit

Bei der EuroCloud Star Audit handelt es sich um ein Zertifizierungsprogramm des EuroCloud Europe a.s.b.l. für Unternehmen, die eine Infrastruktur (IaaS), Platform (PaaS) oder Software (SaaS) als Cloud Service betreiben. Sie umfasst Prüfungen im Bereich Compliance, Sicherheit und Datenschutz, Prüfungen zu Infrastruktur und Prozessen sowie Servicetyp-spezifischen Prüfungen.

In Deutschland werden durch den EuroCloud Deutschland_eco e. V. Zertifizierungen für SaaS angeboten.

  • SSAE 16 und ISAE 3402 sowie PS 951

SSAE 16 und ISAE 3402 stellen Prüfungsstandards über Interne Kontrollsysteme von Dienstleistungsunternehmen dar. SSAE 16 des American Institute of Certified Public Accountants (AICPA) löste 2011 den bestehenden Standard SAS 70 ab. Bei ISAE 3402 des International Auditing and Assurance Standards Board (IAASB) handelt es sich gegenüber dem US-Standard um einen internationalen Standard für die Berichtserstattung über die implementierten Kontrollen (IKS) in einem Dienstleistungsunternehmen. Der SSAE 16 spiegelt dabei die Bestimmungen des ISAE 3402 wieder.

Die Anwendbarkeit der beiden Standards richtet sich, aufgrund ihrer Ähnlichkeit, in den meisten Fällen nach geografischen Kriterien und der Frage, welche Kunden der Dienstleister mit diesem bericht versorgen möchte. Für Dienstleistungsunternehmen, deren Kunden einen (Haupt-)Sitz und -Tätigkeit in den USA haben, wird in der Regel der SSAE 16 Anwendung finden, in anderen Unternehmen der ISAE 3402. Ein Dienstleistungsunternehmen kann sich jedoch auch dazu entscheiden, sich sowohl nach ISAE 3402, als auch nach SSAE 16 prüfen zu lassen. Aufgrund der Ähnlichkeit ist der Mehraufwand sehr gering, aber der Prüfer muss die entsprehenden Qualifikationen (für SSAE 16 Zulassung in USA) mitbringen.

Bei beiden Berichten kommen zwei Formen in Betracht. Es wird nach Typ 1 und Typ 2-Bericht unterschieden. Während der Typ 1-Bericht die Kontrollen zu einem bestimmten Zeitpunkt abdeckt, findet bei einem TYP 2-Bericht eine Prüfung der Ausgestaltung des Kontrollsystems und die Prüfung der Anwendung und der Wirksamkeit für eine Zeitperiode zwischen sechs und zwölf Monaten statt. Aus diesem Grund ist ein TYP 2-Bericht für eine Berücksichtigung durch einen Abschlussprüfer vorzuziehen. Der Bericht vom Typ 1 liefert keine Aussage zur Wirksamkeit des IKS in einem geprüften Zeitraum.

Neben SSAE 16 und ISAE 3402 gibt es länderspezifische Standards, die mit diesen vergleichbar sind. In Deutschland gibt es dafür den IDW Prüfungsstandard 951 ("PS 951 Prüfung des Internen Kontrollsystems bei Dienstleistungsunternehmen“), der den Rahmen des ISAE 3402 umfasst, jedoch in das Regelwerk des IDW integriert wurde.

 

Da Zertifikate auf Seiten des Cloud Anbieters zwar nützlich, aber häufig für den spezifischen EInzelfall nicht ausreichend sind, sollten zudem Audits im Zusammenhang mit der Nutzung von Cloud Services durchgeführt werden.

Das BSI empfiehlt die Auditierung in verschiedenen Phasen der Cloud-Nutzung zu thematisieren:

  • Bei der Auswahl des Anbieters hinsichtlich der generellen Einräumung eines Audit-Rechts
  • Bei der Vertragsgestaltung mit dem Anbieter
  • Bei der Festlegung von Maßnahmen zur regelmäßigen Durchführung solcher Audits während der Cloud-Nutzung

Die Umsetzung der vereinbarten Sicherheitsmaßnahmen sollten dabei regelmäßig überprüft werden (vgl. auch die Ausführungen des BSI).