Wie sicher sind Cloud-Dienste? Welchen Anforderungen müssen sie im öffentlichen Sektor genügen? Eine neue Studie zeigt, dass nicht allein auf den Datenschutz zu achten ist.
Cloud-Sicherheitsstandards – Herausforderungen bei Datenschutz und Informationssicherheit.
Andreas Burkert
Cloud-Anbieter kommen als Problemlöser daher. Ihre IT-Wolken helfen, Ressourcen zu sparen. Andererseits erfordern sie eine neuartige IT-Steuerung und erhöhen die Anforderungen an die Sicherheit. Eine der größten Herausforderungen, um Cloud Computing im öffentlichen Sektor voranzutreiben, ist die sichere und datenschutzrechtlich konforme Verarbeitung von personenbezogenen Datenn.
Die neue Kurzstudie des Nationalen E-Government-Kompetenzzentrums (NEGZ) "Sicherheitsanforderungen und –nachweise bei Cloud-Diensten – Grundlagen für öffentliche Auftraggeber" aus September 2019 gibt einen Überblick über die gängigsten Cloud-Sicherheitsstandards und damit Entscheidungsgrundlagen für oder gegen bestimmt. Zertifikate bieten zwar Orientierung, sind jedoch schwer zu beurteilende Lösungen.
Dazu stellen die Autorinnen Stefanie Köhl und Heidrun Müller die Vorteile und Herausforderungen der Arbeit in der Cloud gegenüber. Anschließend ordnen sie Cloud-Ansatz, Datenschutz und Informationssicherheit ein und zeigen unter anderem Standards für die Sicherheit auf.
Kriterien auflisten
Kriterienkataloge können dazu dienen, die Anforderungen an IT-Sicherheit und Datenschutz zu definieren, da sie sehr dezidiert und genau die Mindestanforderungen des Bundesamtes für Sicherheit und Informationstechnik operationalisieren, so die Studie. Wichtig sei, dass die wesentlichen Aspekte genau formuliert sind und einen Nachweis der Erfüllung seitens des Cloud-Anbieters ermöglichen. Sollten mehrere Kriterienkataloge herangezogen werden, sind die einzelnen Kriterien abzugrenzen beziehungsweise zu matchen.
Prüfberichte lesen
Cloud-Angebote sollten verglichen und vor allem überprüft werden, ob und wie die definierten Anforderungen insbesondere in puncto Sicherheit erfüllt werden. "In aller Regel kann man sich als Anwender auf Zertifikate verlassen", heißt es in der Studie. "Dennoch wird Kommunen und öffentlichen Verwaltungen dringend geraten, auch den Prüfbericht zu lesen oder zumindest sich über den genauen Gegenstand und Umfang der Zertifizierung umfassend zu informieren".
IT-Kompetenz aufbauen
Um den Aufbau einer Auftraggeberkompetenz zu unterstützen, sollten die zahlreichen Anforderungen konsolidiert und anwendergerecht operationalisiert werden. Auf diesem Weg werden öffentliche Verwaltungen besser als bisher in die Lage versetzt, die Prüfung der Sicherheitsanforderungen möglichst selbstständig vorzunehmen, so die NEGZ-Studie.