Cloud Assurance

Ohne Cloud geht es heute nicht mehr. Wir speichern unsere Fotos in der Cloud, bezahlen aus der Cloud und in der Businesswelt verschwinden ganze Rechenzentren in der Wolke. Irgendwie beschleicht einen ab und an ein ungutes Gefühl: Was geschieht mit meinen Daten, wer kann sie lesen und nutzen? Auch Firmen fragen sich: Ist die Cloud sicher? Und ist eine Schweizer Cloud sicherer? Es gibt Unsicherheiten bezüglich der Cloud-Nutzung und trotzdem fühlen Softwareentwickler einen sehr starken Druck, ihre Lösungen als Subskriptionsservice aus der Cloud anzubieten. Niemand kauft mehr Softwarepakete und installiert sie auf einem lokalen Server!

Wie bei allen Dienstleistungen ist das auch bei Cloudservices Vertrauenssache! Kunden fragen sich, wie sicher und zuverlässig ein Cloud-Anbieter ist. Und die Anbieter fragen sich, wie sie dies «objektiv» beweisen können.

Die Antwort darauf lautet Cloud Assurance. Als Anbieter unterwerfe ich mich einem externen Prüfverfahren, um zu belegen, dass ich umsichtig, sorgfältig, kontrollierbar handle und technologisch auf dem neusten Stand bin. Für die Kunden ist es ein externes, unabhängiges Gütesiegel für die Fähigkeiten des Providers.

Für die Cloud-Industrie gibt es zwei sogenannte «STAR»-(Security, Trust and Assurance Registry)-Prüfverfahren.

Der De-Facto-Standard: Cloud Security Alliance

Die 2008 gegründete Cloud Security Alliance (CSA, cloudsecurityalliance.org) hat 2011 die Cloud Controls Matrix veröffentlicht. Sie definiert detailliert Controls für 16 Bereiche des Cloud Managements:

CAIQ/CMM-Themenbereiche

• Application & Interface Security
• Audit Assurance & Compliance
• Business Continuity Management & Operational Resilience
• Change Control & Configuration Management
• Data Security & Information Lifecycle Management
• Datacenter Security
• Encryption & Key Management
• Governance and Risk Management
• Human Resources
• Identity & Access Management
• Infrastructure & Virtualization Security
• Interoperability & Portability
• Mobile Security
• Security Incident Management, E-Discovery, & Cloud Forensics
• Supply Chain Management, Transparency, and Accountability
• Threat and Vulnerability Management

Die Controls sind umfangreich und detailliert und geben damit einen umfassenden Überblick über den Zustand eines Cloud Service Providers. Allerdings ist nicht jeder Cloud-Provider gleich und vor allem für kleinere Anbieter ist die Anwendung des CMM (und des begleitenden Consensus Assessments Initiative Questionnaire (CAIQ) für Self-Assessments, beide sind Excel-basierend) schwierig. Trotzdem ist CCM der CSA sehr weitverbreitet und heute der De-Facto-Standard.

Modern und flexibel: StarAudit EuroCloud

Etwas weniger verbreitet, aber moderner und flexibler ist die zweite Vereinigung für Cloud Assurance: StarAudit EuroCloud (staraudit.org). Wie der Name schon andeutet, richtet sich StarAudit spezifisch an europäische Anbieter und hier vor allem an kleinere Organisationen. Die Struktur der Controls ist einfacher gehalten (s. Grafik unten). Die Anwendung wird durch ein Online-Werkzeug für Self-Assessments und Zertifizierungen unterstützt. Die Bewertung beruht auf einem fünfstufigen Fähigkeitsmodell, sodass man Zertifizierungen auf verschiedenen Stufen erreichen kann.

Vorgehensweise zur Auswahl des richtigen Anbieters

Welches Assurance-Programm gewählt wird, hängt letztlich davon ab, in welchem Markt man tätig sein will und welche Präferenzen die Kunden haben.

Die Vorgehensweise für ein Assessment und eine allfällige spätere Zertifizierung unterscheidet sich aber kaum. Aus meiner Erfahrung hat sich ein Vorgehen in 6 Schritten bewährt:

Im 1. Schritt müssen Ziele, Umfang und Zeitrahmen mit dem Auftraggeber (Cloud-Provider oder Cloud-Kunde) vereinbart werden. Danach kann das Assessment durchgeführt werden. Die aufgedeckten Schwächen und Mängel müssen dann im Kontext des Providers bewertet werden. In Schritt vier werden Massnahmen zur Behebung der Mängel bestimmt und danach umgesetzt. Danach ist man bereit für die Überprüfung durch einen externen Prüfer, der dann auch ein offizielles Zertifikat ausstellen kann.

Noch werden die Cloud-Assurance-Programme der beiden Organisationen oft als «Nice-to-have» betrachtet. Mit der laufenden Professionalisierung des Cloud-Business werden diese Zertifikate wohl bald zur zwingenden Voraussetzung für den Marktzugang. Auch kleinere Provider-Organisationen werden sich bald damit befassen müssen.