Staraudit - Ganz­heitliche Cloud-Service-Zertifizierung
Quelle: Glenfis

Staraudit - Ganz­heitliche Cloud-Service-Zertifizierung

Staraudit ist ein etwas anderes Zertifizierungsschema. Ähnlich einer Hotel-Bewertung mit Sternen werden Qualitäten eines Cloud Services ganzheitlich bewertet, denn: Nicht jedes Bedürfnis rechtfertigt einen Fünf-Sterne-Service. Das ist in der Cloud nicht anders.

Artikel erschienen in Swiss IT Magazine 2022/10

     

Die meisten ISO-Zertifizierungen betrachten in erster Linie das Managementsystem ­eines Unternehmens respektive Providers und die Frage, ob die eigenen Risiken bewirtschaftet werden. ISO-Zertifizierungen bewerten aber nicht die angebotenen Services und sagen daher wenig darüber aus, wie gut und sicher der vom Kunden bezogene Service tatsächlich ist. Anders ist diesbezüglich der Ansatz von Staraudit: Staraudit prüft zwar ebenfalls das Vorhandensein eines wirkungsvollen Managementsystems, hat aber den Cloud Service selbst im Fokus und bewertet diesen und das umgebende Service-Ökosystem. Staraudit hat ein zentrales Wertversprechen: Das Zertifizierungsschema dient zur Stärkung des Vertrauens von Kunden und Nutzern in die Cloud-Dienste, indem die konkreten Bewertungsergebnisse jedes einzelnen Control-Statements transparent, nachvollziehbar und leicht verständlich gemacht werden. Staraudit hat aber auch noch einen zweiten Mehrwert: Es ermöglicht den Wissenstransfer an Fachleute aus den Bereichen IT, Recht und Beschaffung, indem Schulungen für Personen zur Verfügung gestellt werden.

Staraudit – das Gütesiegel für Cloud Services

Die Anforderungen an sichere Cloud Services sind äusserst komplex. Die meisten Unternehmen vermögen die verschiedenen Problembereiche rund um den Einsatz von Cloud Computing nicht zu durchschauen. Auch viele IT-Experten stossen schnell an ihre Grenzen, wenn es um das Verständnis der Zusammenhänge hinsichtlich Datensicherheit, Datenschutz, Compliance und rechtlichen Anforderungen an Cloud Services geht, denn diese werden oft in sehr komplexen Konstellationen unabhängig vom Standort des Benutzers oder Anbieters erbracht. Dort gelten womöglich andere Datenschutz- oder Steuerungsregelungen, welche nun einzuhalten sind. Um die Datensouveränität sicherstellen zu können, fehlt vielfach das notwendige Vertrauen in den externen Provider, die oft wenig transparent bezüglich ihrer Fähigkeiten und Sorgfaltspflichten sind. Zudem zögern noch viele Unternehmen, ihre Daten-Assets einem nicht wirklich kontrollierbaren Cloud-Provider zu überlassen, weil die inhärenten Risiken hinsichtlich Cyberkriminalität viel zu gross sind. Erschwerend kommt hinzu, dass Cloud-Anwendungsfälle, also der Einsatz eines Cloud Services für einen ganz bestimmten Zweck in einem Unternehmen, oftmals einzigartig sind. Ein vermeintlich ähnlicher Einsatzfall, zu einem anderen Zeitpunkt, bei einem anderen Unternehmen, für andere Nutzer und mit anderen Daten, unterscheidet sich bei genauerer Betrachtung nicht selten völlig. Cloud Services können also nur für das jeweilige Unternehmen und den jeweiligen Anwendungsfall korrekt bewertet werden.

Genau hier setzt Staraudit an. Das Star­audit-Zertifizierungsschema bewertet Cloud Services anhand eines klar definierten und transparenten Kriterienkatalogs. Das Ergebnis dieses Audit-Prozesses zeigt den Reifegrad und die Compliance des spezifischen Cloud Services. Der Zertifizierungsprozess basiert auf ­einem Best-Practice-Modell und beantwortet die fundamentalen Fragen, die Entscheidungsträger häufig bei der Suche nach einem Cloud-Anbieter haben. Im Gegensatz zu reinen Sicherheits- oder Datenschutz-Audits deckt die Staraudit-­Zertifizierung das gesamte Funktionsspektrum von Cloud Services ab und validiert deren Compliance in klar verständlicher Form gegen die definierten Erfordernisse.


Ein besonderes Merkmal an Staraudit besteht darin, dass nicht nur Kontrollfragen (Controlls) formuliert sind, sondern dass zu jeder Frage bereits fix vordefinierte Antworten vorliegen. Dies erleichtert die Beurteilung der Rückmeldung, die man von Cloud-Anbietern bekommt, ganz erheblich. Es gibt dann nämlich keine Missinterpretationen der Erwartungen und der Rückmeldungen.

Auf diese Weise kann man als Cloud-Kunde den Staraudit-Fragenkatalog auch sehr gut für eine Vorqualifikation von Anbietern einsetzen. Diese Vorgehensweise ersetzt keine vollumfängliche Prüfung, aber sie ist sehr gut geeignet, um jene Anbieter zu identifizieren, die einen ausreichenden Reifegrad haben, um für einen bestimmten Anwendungsfall eines Unternehmens in Betracht gezogen zu werden.

Was bewertet Staraudit?

Das Funktionsspektrum von Staraudit umfasst sieben Themenbereiche, welche in Staraudit als Areas bezeichnet werden:

Area 1 – Das Profil des Cloud Service Providers: Hier fokussiert sich die Bewertung ausschliesslich auf allgemeine Hintergrundinformationen über das zuständige Unternehmen, die Dienstleistung selbst und relevante Basisinformationen zur Identifizierung der Rechtsperson, das geltende Recht und einige Indikatoren für den Reifegrad des zuständigen Anbieters und aller relevanter Subauftragnehmer.


Area 2 – Vertrag & Einhaltungspflichten: Diese Kriterien beziehen sich auf die wichtigsten Aspekte eines Cloud-Dienstleistungsvertrages im Hinblick auf die allgemeine Transparenz der Vereinbarungen, faire und sichere Vertragsbedingungen, die angemessene Anwendung des Datenschutzes, die angemessene Definition und vertragliche Einbeziehung von Service Level Agreements, die Bedingungen für den Austritt und mögliche Unfähigkeit der Dienstleistungserbringung.

Area 3 – Informationssicherheit: Diese Area ist einerseits darauf spezialisiert, dem Kunden eine angemessene Risikobewertung zu ermöglichen, indem ein spezifischer Cloud-Dienst verwendet wird, und andererseits darauf, Beweise für eine laut entsprechender Informationssicherheitsrichtlinie angemessenen Trennung von Rollen und Pflichten zu sammeln. Es muss darauf hingewiesen werden, dass die Sicherheitsanforderungen in direktem Zusammenhang mit der Art der Daten, der Relevanz des Geschäftsbetriebs und potenzieller Einwirkungen aufgrund von Serviceunterbrechung und unbefugter Weitergabe von Daten stehen.

Area 4 – Betrieb und Infrastruktur des Datacenters: Die Bewertung der verwendeten Rechenzentrumsbereiche ist in vielerlei Hinsicht höchst relevant. Zuallererst ist es erforderlich, ein professionelles Datacenter Management und Equipment nachzuweisen. Aufgrund der Tatsache, dass ein Kunde nicht in der Lage ist, mögliche Probleme in Bezug auf Umwelt- und Umfeldsicherheit, die Redundanz von Lieferungen, geeignete Richtlinien und Verfahren zum Schutz von Kundendaten und die Kernresilienz zu sehen, ehe die Dienstleistung versagt, ist eine derartige Bewertung die wichtigste Grundlage für Cloud-Dienste überhaupt.

Area 5 – Operationelle Prozesse: Die Bereitstellung von Cloud-Diensten zeichnet sich durch ein Multi-Provider-­Sourcing mit hoher Flexibilität der Zusammenarbeit aus. Das Hauptaugenmerk dieser Area richtet sich daher auf einen angemessenen Kundendienst, eine angemessene Dienstleistungsorganisation und Service-Management-Prozesse, da diese am meisten von Kundenfragen betroffen sind. In der Tat müssen sich alle Parteien, die an der Dienstleistungserbringung beteiligt sind, um einen angemessenen Servicebetrieb kümmern, letztlich jedoch ist der verantwortliche Hauptvertragspartner aufgefordert, auf die Qualität jedes Subunternehmens zu achten.

Area 6 – Der zu zertifizierende Cloud Service IaaS, PaaS oder SaaS:
- Infrastructure as a Service: Die Steuerungsthemen werden in den Aspekten Referenzarchitektur, Systemmanagement, Sicherheit und Lizenzenmanagement festgelegt. Die Sicherheitsbewertung bezieht sich auf eine geeignete Isolationsmessung, um die Kundenumgebung und Daten vor unbefugtem Zugriff zu schützen. Das damit verbundene Risiko ergibt sich aus der Tatsache, dass mehrere Klienten gemeinsam genutzte Technologien für gebuchte Bereitstellungen verwenden und als bösartige Benutzer hinter den typischen Umfeldsicherheitsmassnahmen agieren können.

- Plattform as a Service: Der Umfang besteht darin, die Grundlagen der Dienstleistungsgestaltung hinsichtlich funktionaler und technischer Kriterien zu klären. Die Steuerungsthemen werden in den Aspekten Referenzarchitektur, Sicherheit und Management festgelegt. Ein klarer Fokus liegt auf Überlegungen und Bewertungen von Massnahmen zur Vermeidung von jenen Begleiterscheinungen im Back-end, die durch falsche Verwendung von benutzerdefiniertem Code verursacht werden und andere vordergründige Dienstleistungen übriger Parteien beeinflussen können.


- Software as a Service: Die Bereitstellung von Anwendungen im SaaS-Modell ist die Häufigste, mit einer grossen Bandbreite von Angeboten auf dem Markt. Dieses Anbietermodell weist die grösste Trennung zwischen Benutzer und Anbieter auf, da die Steuerung des Zugriffs auf Daten und die Back-end-Infrastruktur vollständig vom Cloud-Dienstanbieter verwaltet wird. Um diese Einschränkung zu berücksichtigen, fokussiert sich die Bewertung auf Interoperabilität und Portierbarkeit und Benutzer-Support. Die Interoperabilität ist ein Schlüsselbereich, um ein gewisses Mass an Anbieterbindung zu vermeiden und das Prinzip des Kunden als Datencontroller zu wahren. Dieser Ansatz impliziert eine klare Trennung von Dienstleistungsfunktionalität und Datenzugriff.

Area 7 – Datenschutz: Hier wird geprüft, ob die Datenschutz-Anforderungen gemäss DSGVO hinreichend ­sichergestellt werden:
- Wie vertraut ist der Datenschutzbeauftragte des Cloud Service Providers mit den relevanten rechtlichen, technischen und geschäftlichen Anforderungen?
- Welchen Einfluss hat der Datenschutzbeauftragte auf relevante ­Datenschutzfragen des Cloud Service Providers?
- Wie geht die Datenschutzorganisation des Cloud Service Providers mit widersprüchlichen oder unterschiedlichen Niveaus von lokalen oder branchenspezifischen Datenschutzanforderungen in einem globalen Datenschutzprogramm um?
- Wie reagiert der Cloud Service Provider auf Anfragen von Strafverfolgungsbehörden nach Offenlegung personenbezogener Daten des Cloud Service Clients?
- Inwiefern unterstützt der Cloud Service Provider den Service Client bei der Beantwortung von Anfragen von Betroffenen im Zusammenhang mit dem Recht auf Datenübertragbarkeit?

Staraudit besitzt eine modulare Struktur und bietet drei Bewertungsstufen. Ähnlich wie bei der bekannten Klassifikation von Hotels werden dem zu bewertenden Cloud Service Sterne von *** bis ***** zugewiesen. Somit kann Star­audit nicht nur auf grosse Unternehmen, sondern auch auf KMU-Cloud-Anbieter angewendet werden. Bei Fünf-Sterne-Zertifizierungen werden beispielsweise Zertifizierungen im Bereich ISO 27001 und ISO 20000 ebenfalls vorausgesetzt.

Diese Kriterien werden nicht nur für den Zertifizierungsprozess genutzt. Vielmehr können Anbieter von Cloud Services diese Kriterien für ein Self Assessment nutzen. Oder Unternehmen können diese Kriterien nutzen und gar mit eigenen Anforderungen anreichern, um damit im Rahmen eines Evaluationsprozesses strukturiert den richtigen Cloud Service Provider auszuwählen.

Wer steht hinter Staraudit?

Staraudit wird von Eurocloud Europa zur Verfügung gestellt. Der Kriterienkatalog und das Tool Set sind frei und kostenlos verfügbar. Eurocloud Europa ist eine unabhängige ­europäische Non-Profit-Organisation. Die Staraudit-Zertifizierungen werden durch ein internationales Netzwerk von akkreditierten Partnern und Fachleuten durchgeführt. Staraudit unterstützt das Wachstum von Cloud-basierten Services und Innovationen mittlerweile weltweit und ist nicht auf Europa begrenzt.

Vorteile durch die Verwendung von Staraudit

Staraudit ist ein voll entwickeltes, spe­ziell auf die Bewertung von Cloud Service zugeschnittenes Zertifizierungsschema. Das Qualitätsschema von Staraudit dient jedoch nicht nur der Zertifizierung. Vielmehr werden die Kriterien im Rahmen eines Evaluierungsprozesses genutzt, um alle Anforderungen und alle Teilnehmer in der Lieferkette von Cloud-Diensten zu identifizieren.

Staraudit ist über ein Online Assessment Tool (www.staraudit.org) nutzbar und leicht zu handhaben. Es kann für die interne Planung, aber auch zur Selbstbewertung und zu Audit-Zwecken verwendet werden. Wie eingangs erwähnt: Staraudit ist ein etwas anderes Gütesiegel, das den Cloud Service ganzheitlich im Fokus hat.

Der Autor

Martin Andenmatten ist Präsident von Eurocloud Swiss (ECS) und Geschäftsführer des Unternehmens Glenfis. Als Präsident der ECS-Fachgruppe bei Swico organisiert er zweimal jährlich einen Infoaustausch zu aktuellen Fragestellungen rund um die Cloud. Die nächste Veranstaltung findet am 24. November zum Thema «Cloud-Sicherheit – Mehr als nur Vertrauen» statt.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER