20 Dezember, 2018
Cloud Computing birgt neben zahlreichen Vorteilen auch einige Herausforderungen. Dies gilt vor allem für Cloud-Anwender, die Beschaffungsentscheidungen treffen und vorher das von Cloud-Anbietern gebotene Niveau an Informationssicherheit sowie deren Vertrauenswürdigkeit bewerten müssen. Daher unterstützt PwC das von der Europäischen Kommission im Rahmen des HORIZON 2020-Programmes aufgesetzte Projekt „European Security Certification Framework“ (EU-SEC). Dieses Projekt hat zum Ziel, einen innovativen Multi-Party-Compliance-Ansatz zu entwickeln, der den Compliance-Aufwand sowohl für Anbieter als auch Anwender reduziert.
Beim Auswählen eines Cloud-Anbieters gilt es, Informationen zu verschiedensten Themengebieten zusammenzuführen, zu konsolidieren und zu verarbeiten. Insbesondere gehören auch Informationen dazu, die Auskunft darüber geben, inwiefern der Anbieter sowie der Cloud-Dienst selbst die jeweiligen Anforderungen an die Informationssicherheit erfüllen. Um dies trotz fehlender Audit-Rechte bewerten zu können, ziehen Anwender oft Zertifizierungen wie etwa die ISO/IEC 27001 und Testate wie beispielsweise SOC 2 oder BSI C5 heran, die von unabhängigen und vertrauenswürdigen Dritten (meist Wirtschaftsprüfern) ausgestellt wurden.
Für die Cloud-Anwender besteht die Herausforderung nun darin, die Zertifizierungen und Testate der in der engeren Auswahl befindlichen Cloud-Anbieter belastbar miteinander zu vergleichen. Je nachdem, wie umfangreich die von den jeweiligen Cloud-Anbietern betriebenen Compliance-Programme sind, variieren auch die verfügbaren Zertifizierungen und Testate. Vor einer vergleichbaren Aufgabe stehen auch die Cloud-Anbieter: Da die Zertifizierungen und Testate nicht nur unterschiedliche Schwerpunkte setzen, sondern auch unterschiedliche Prüftiefen und -Verfahren erfordern sowie im internationalen Kontext oft ohne engeren Bezug nebeneinander stehen, lassen sie sich nur schwer miteinander vergleichen. Daher müssen sich sowohl Anwender als auch Anbieter mit allen Prüfschemen vertraut machen, um diese in Beziehung zu einander setzen und abwägen zu können.
Mit Partnern aus Wirtschaft und Forschung arbeiten Experten von PwC daher am European Security Certification Framework (EU-SEC). Das Projekt hat eine Laufzeit von drei Jahren und wird von der Europäischen Union innerhalb des umfangreichen Programms „Horizon 2020“ gefördert. EU-SEC zielt darauf ab, einen europäischen, einheitlichen Rahmen für Cloud Compliance zu schaffen. Dabei schafft EU-SEC kein weiteres, zusätzliches Prüfschema – vielmehr entsteht ein gesamtheitliches Rahmenwerk, innerhalb dessen vorhandene Prüfschemen einander zugeführt und mit einander verknüpft werden. Ziel dabei ist, die gegenseitige Anerkennung von Prüfschemen zu ermöglichen und die Informationssicherheit in Europa zu fördern.
„Das Projekt EU-SEC zeigt, dass die Informationssicherheit in der Cloud von gesellschaftlichem Interesse ist. Daher ist es für uns selbstverständlich, zusammen mit internationalen Partnern aus Wirtschaft und Forschung an diesem Projekt zu arbeiten.“
Markus Vehlow ist Partner und verantwortlich für Cloud Computing. Er hat langjährige Erfahrung mit der Cloud und unterstützt Anbieter und Nutzer aller Größen rund um das Thema Cloud Compliance. Schwerpunkte seiner Arbeit bilden Audits und Beratungen, insbsondere zu Prüfschemen wie etwa SOC 1/ISAE 3402 und SOC 2, IDW PS 951 oder BSI C5.
Warum beteiligt sich PwC an EU-SEC?
Wir möchten die Effizienz in Compliance-bezogenen Projekten erhöhen. Die Projektansätze und Prüfmethoden müssen sich an die technischen Entwicklungen anpassen, damit die Prüfungsergebnisse den kontinuierlich steigenden Ansprüchen an die Effizienz sowie die Aussagekraft von Compliance-Prüfungen gerecht werden. Im Rahmen von EU-SEC entwickeln wir neue Architekturen und Werkzeuge, um genau das zu gewährleisten. Unser Ziel ist, Compliance-Prüfungen noch stärker zu digitalisieren, zu verstetigen und damit Compliance-Aussagen in Echtzeit zu ermöglichen.
Welche Expertise bringt PwC in das Projekt ein?
Wir haben umfangreiche Erfahrung mit den relevanten Prüfschemen und Standards, da wir diese bei Cloud-Dienstleistern anwenden. Daher wissen wir um die Herausforderungen sowohl für Anbieter als auch für Nutzer und können unsere Erfahrung in das Projekt einbringen.
Warum ist das EU-SEC Framework so wichtig?
Es gibt am Markt viele unterschiedliche Zertifikate, Testate, Selbstauskünfte und dergleichen. Daher ist es für Cloud-Anbieter und Cloud Nutzer gleichermaßen eine Herausforderung, den Überblick zu behalten. Im EU-SEC Projekt erarbeiten wir daher unter anderem ein Schema für die gegenseitige Anerkennung von Zertifikaten. Hierzu werden Prinzipien und Prozesse definiert, die wir gemeinsam mit den Projektpartnern validieren.
Wie unterscheidet sich EU-SEC von anderen Zertifizierungs-Initiativen?
EU-SEC ist nicht einfach ein weiterer Standard. EU-SEC verknüpft etablierte Standards miteinander und ergänzt diese um ein Rahmenwerk, welches das gegenseitige Anerkennen der Prüfberichte ermöglichen soll. Zudem entwickeln wir Konzepte für das kontinuierliche Überprüfen der Compliance von Cloud-Diensten.
Dieses Projekt wird aus Mitteln des H2020-Rahmenprogramms der Europäischen Union im Rahmen des Grand-Agreements Nr. 731845 gefördert.
Mit der kontinuierlich steigenden Nutzeranzahl von Cloud erhöhen sich auch die Gefahren und die Risiken in der Cloud Anwendung. Daher sehen Experten die Cloud Security nun als einen der wichtigsten Elemente in Cloud Computing.
Beim Einsatz von Cloud-Diensten kommt es auch auf die Compliance an. Daher hat PwC im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) den Anforderungskatalog Cloud Computing (C5) entwickelt.
PwC ist Teil eines interdisziplinären Teams aus Wissenschaftlern und Unternehmen, das eine Datenschutzzertifizierung von Cloud-Diensten auf Basis der neuen EU-Datenschutz-Grundverordnung (DSGVO) erarbeitet. Der Standard soll europaweit zum Einsatz kommen.