Europäische Initiative für Vertrauen in Cloud Computing

Die Herausforderung ist der Vergleich

Beim Auswählen eines Cloud-Anbieters gilt es, Informationen zu verschiedensten Themengebieten zusammenzuführen, zu konsolidieren und zu verarbeiten. Insbesondere gehören auch Informationen dazu, die Auskunft darüber geben, inwiefern der Anbieter sowie der Cloud-Dienst selbst die jeweiligen Anforderungen an die Informationssicherheit erfüllen. Um dies trotz fehlender Audit-Rechte bewerten zu können, ziehen Anwender oft Zertifizierungen wie etwa die ISO/IEC 27001 und Testate wie beispielsweise SOC 2 oder BSI C5 heran, die von unabhängigen und vertrauenswürdigen Dritten (meist Wirtschaftsprüfern) ausgestellt wurden.

Für die Cloud-Anwender besteht die Herausforderung nun darin, die Zertifizierungen und Testate der in der engeren Auswahl befindlichen Cloud-Anbieter belastbar miteinander zu vergleichen. Je nachdem, wie umfangreich die von den jeweiligen Cloud-Anbietern betriebenen Compliance-Programme sind, variieren auch die verfügbaren Zertifizierungen und Testate. Vor einer vergleichbaren Aufgabe stehen auch die Cloud-Anbieter: Da die Zertifizierungen und Testate nicht nur unterschiedliche Schwerpunkte setzen, sondern auch unterschiedliche Prüftiefen und -Verfahren erfordern sowie im internationalen Kontext oft ohne engeren Bezug nebeneinander stehen, lassen sie sich nur schwer miteinander vergleichen. Daher müssen sich sowohl Anwender als auch Anbieter mit allen Prüfschemen vertraut machen, um diese in Beziehung zu einander setzen und abwägen zu können.

Einheitlicher Rahmen für Cloud Compliance

Mit Partnern aus Wirtschaft und Forschung arbeiten Experten von PwC daher am European Security Certification Framework (EU-SEC). Das Projekt hat eine Laufzeit von drei Jahren und wird von der Europäischen Union innerhalb des umfangreichen Programms „Horizon 2020“ gefördert. EU-SEC zielt darauf ab, einen europäischen, einheitlichen Rahmen für Cloud Compliance zu schaffen. Dabei schafft EU-SEC kein weiteres, zusätzliches Prüfschema – vielmehr entsteht ein gesamtheitliches Rahmenwerk, innerhalb dessen vorhandene Prüfschemen einander zugeführt und mit einander verknüpft werden. Ziel dabei ist, die gegenseitige Anerkennung von Prüfschemen zu ermöglichen und die Informationssicherheit in Europa zu fördern.

Die wichtigsten Komponenten von EU-SEC:

• Datenbank, innerhalb derer sich Anforderungen aus den verschiedensten Prüfschemen zusammenführen und miteinander verknüpfen lassen
• Konzept für das kontinuierliche, automatisierte Echtzeit-Auditieren von Cloud-Diensten anhand vorher festgelegter Anforderungen
• Governance-Ansatz, mit dem das gesamte EU-SEC Framework nach Projektabschluss kontinuierlich gemanagt und erweitert wird

Im Gespräch mit Markus Vehlow 

Markus Vehlow ist Partner und verantwortlich für Cloud Computing. Er hat langjährige Erfahrung mit der Cloud und unterstützt Anbieter und Nutzer aller Größen rund um das Thema Cloud Compliance. Schwerpunkte seiner Arbeit bilden Audits und Beratungen, insbsondere zu Prüfschemen wie etwa SOC 1/ISAE 3402 und SOC 2, IDW PS 951 oder BSI C5.

Warum beteiligt sich PwC an EU-SEC?

Wir möchten die Effizienz in Compliance-bezogenen Projekten erhöhen. Die Projektansätze und Prüfmethoden müssen sich an die technischen Entwicklungen anpassen, damit die Prüfungsergebnisse den kontinuierlich steigenden Ansprüchen an die Effizienz sowie die Aussagekraft von Compliance-Prüfungen gerecht werden. Im Rahmen von EU-SEC entwickeln wir neue Architekturen und Werkzeuge, um genau das zu gewährleisten. Unser Ziel ist, Compliance-Prüfungen noch stärker zu digitalisieren, zu verstetigen und damit Compliance-Aussagen in Echtzeit zu ermöglichen.

Welche Expertise bringt PwC in das Projekt ein?

Wir haben umfangreiche Erfahrung mit den relevanten Prüfschemen und Standards, da wir diese bei Cloud-Dienstleistern anwenden. Daher wissen wir um die Herausforderungen sowohl für Anbieter als auch für Nutzer und können unsere Erfahrung in das Projekt einbringen.

Warum ist das EU-SEC Framework so wichtig?

Es gibt am Markt viele unterschiedliche Zertifikate, Testate, Selbstauskünfte und dergleichen. Daher ist es für Cloud-Anbieter und Cloud Nutzer gleichermaßen eine Herausforderung, den Überblick zu behalten. Im EU-SEC Projekt erarbeiten wir daher unter anderem ein Schema für die gegenseitige Anerkennung von Zertifikaten. Hierzu werden Prinzipien und Prozesse definiert, die wir gemeinsam mit den Projektpartnern validieren.

Wie unterscheidet sich EU-SEC von anderen Zertifizierungs-Initiativen?

EU-SEC ist nicht einfach ein weiterer Standard. EU-SEC verknüpft etablierte Standards miteinander und ergänzt diese um ein Rahmenwerk, welches das gegenseitige Anerkennen der Prüfberichte ermöglichen soll. Zudem entwickeln wir Konzepte für das kontinuierliche Überprüfen der Compliance von Cloud-Diensten.

Dieses Projekt wird aus Mitteln des H2020-Rahmenprogramms der Europäischen Union im Rahmen des Grand-Agreements Nr. 731845 gefördert.