Interview mit Brigitte Zypries

Das Siegel Trusted Cloud soll Vertrauen schaffen

11.03.2016
Von 
Heinrich Vaske ist Editorial Director a.D. von COMPUTERWOCHE, CIO und CSO.
Mit dem Label "Trusted Cloud" soll Anwendern die Sicherheit und Verlässlichkeit von Cloud-Diensten signalisiert werden. Die parlamentarische Staatssekretärin im Bundeswirtschaftsministerium, Brigitte Zypries, erklärt im Gespräch mit der COMPUTERWOCHE, was es damit auf sich hat.
  • Siegel soll Transparenz, Sicherheit, Qualität und Rechtskonformität belegen
  • Anwender sehen, ob der Cloud-Dienst das deutsche Bundesdatenschutzgesetz einhält
  • Wer das Label will, muss beweisen, dass er seine Prozesse im Griff hat

Wer steckt hinter dem Gütesiegel Trusted Cloud und welche Absicht wird damit verfolgt?

Zypries: Die Nutzung von Cloud Computing ist ein Erfolgsfaktor für die digitale Transformation und damit für die Sicherung der Wettbewerbsfähigkeit der deutschen Wirtschaft. Darüber sind sich heute Wirtschaft und Wissenschaft einig. Cloud Computing bringt aber auch neue Fragestellungen auf, beispielsweise beim Datenschutz. Gerade kleine und mittelständische Unternehmen sind oft noch zurückhaltend, weil sie kein Vertrauen in die neue Technologie haben oder ihnen dieser Markt ­angesichts einer Vielzahl unterschiedlicher Siegel und Zertifikate zu undurchsichtig ist.

Brigitte Zypries, parlamentarische Staatssekretärin im Bundeswirtschaftsministerium, macht sich für das Qualitätssiegel "Trusted Cloud" stark.
Brigitte Zypries, parlamentarische Staatssekretärin im Bundeswirtschaftsministerium, macht sich für das Qualitätssiegel "Trusted Cloud" stark.
Foto: BMWi

Bisher deckt keines der verfügbaren Siegel die ganze Breite der Anforderungen an Cloud Computing ab. Sie zertifizieren eher spezifische ­Aspekte wie Datenschutz oder technische Kriterien. Daher sind sie für die Bedürfnisse des Mittelstands häufig ungeeignet. Wir denken aber, dass gerade diese Unternehmen besonders von Cloud-Lösungen profitieren könnten.

Genau hier setzt unser Label Trusted Cloud an. Es zeichnet vertrauenswürdige Cloud-Services und Dienstleistungen aus, die Mindestanforderungen an Transparenz, Sicherheit, Qualität und Rechtskonformität erfüllen. So entsteht Vertrauen in die auf der Trusted-Cloud-Plattform gelisteten Cloud-Services. Für Transparenz und Anbieterunabhängigkeit steht der Träger des Labels, der gemeinnützige Verein Kompetenznetzwerk Trusted Cloud (KN TC), bestehend aus Vertretern von Verbänden, der Wirtschaft sowie der Wissenschaft. Ich vertrete das Bundeswirtschaftsministerium im Beirat des Vereins. Dort achten wir auf die korrekte Umsetzung der Kriterien für das Label.

Unser Label Trusted Cloud ist aber kein ­Supersiegel, sondern eher vergleichbar mit einer objektiven Plattform, die transparent allgemeine Anforderungen an sichere und rechtskonforme Cloud-Dienste formuliert und Cloud-Services auflistet, die diese erfüllen. Letztlich kann die Umsetzung des Labels nur erfolgreich sein, wenn Experten die Marke weiterführen. Wir können nur eine Starthilfe geben.

Trusted Cloud - was ist das?

Zentrales Anliegen des Labels Trusted Cloud ist es, vertrauenswürdige Cloud-Angebote für die Wirtschaft - nicht zuletzt für kleine und mittlere Unternehmen - erkennbar zu machen. Das Internet-Portal www.trusted-cloud.de soll hierfür als Marktplatz dienen und Anwender mit Anbietern zusammenführen. Beteiligt sind neben dem Bundeswirtschaftsministerium Capgemini für die Ausarbeitung und Umsetzung der Konzepte sowie die Firma Init für die Entwicklung und den Betrieb des Portals. Seit dem 7. März 2016 können in einem ersten Schritt Anbieter von Cloud-Services die Listung ihrer Angebote rund um die Cloud beantragen.

Worauf können sich Unternehmen konkret verlassen, wenn ihr Anbieter der Wahl das Label Trusted Cloud erhalten hat?

Zypries: Cloud-Services, die das Label Trusted Cloud erhalten haben, erfüllen die Mindest­anforderungen, die in dem frei zugänglichen Kriterienkatalog aufgeführt sind. Darauf können sich Unternehmen verlassen. Was geprüft und zugesichert ist, kann von jedem nachvollzogen werden. Dabei stehen zum Beispiel die Transparenz hinsichtlich Vertragsgestaltung, Qualität der Serviceerbringung und Sicherstellung der Datenhoheit des Anwenders im Fokus.

Die Prüfung der Mindestanforderungen wird von einem vereinsexternen Prüfer übernommen und von einem unabhängigen Aufsichtsgremium kontrolliert. Die Anbieter sichern die Korrektheit ihrer Angaben rechtsverbindlich zu. Mit der unabhängigen Prüfung und der ­Zusicherung seitens der Hersteller haben die Anwender ausreichend viele Informationen für die Auswahl eines Cloud-Service.

Entbindet das Siegel Anwenderunternehmen von der rechtlichen Verpflichtung, zu überprüfen, ob der Cloud-Provider ihrer Wahl sich an geltendes Datenschutzrecht hält?

Zypries: Nein. Wir erleichtern die Prüfung aber sehr. Wir wissen, dass beim Einsatz von Cloud Computing der Datenschutz für Anwender besonders wichtig ist, und haben darauf ein besonderes Augenmerk gelegt. Unsere entsprechenden Kriterien konzentrieren sich daher bewusst auf die Darstellung, ob die gesetzlich vorgeschriebenen Anforderungen des Bundesdatenschutzgesetzes (BDSG) von einem Cloud-Service eingehalten werden. Der Anwender sieht auf einen Blick, ob der Cloud-Service BDSG-konform ist.

Das ist ein enormer Mehrwert vor allem für Kleinbetriebe, die häufig nicht die notwendigen Ressourcen zur Einstellung von IT-Experten zur Verfügung haben. Das Trusted-Cloud-Portal soll auch den Zugang zur Datenschutzzertifizierung bei Auftragsdatenverarbeitung ermöglichen. Im Sommer wird der Pilot startbereit sein und rechtskonforme Datenverarbeitung damit wesentlich erleichtern. Diese Zertifizierung soll mit Blick auf die Anforderungen der EU-Datenschutz-Grundverordnung ausgebaut werden.

Erhalten auch ausländische Cloud-Provider, die in Europa Data Centers unterhalten, das Trusted-Cloud-Siegel?

Zypries: Im Sinne des freien Wettbewerbs beschränkt sich das Label nicht auf Cloud-Angebote aus Deutschland oder dem Europäischen Wirtschaftsraum (EWR). Wohl aber orientiert sich der Kriterienkatalog an einem Vertrag nach deutschem Recht und sieht als Gerichtsstand Deutschland vor. Das sind wesentliche Anforderungen für ausländische Anbieter. Das Label ist von Anfang an mit europäischen Partnern entwickelt worden und daher so angelegt, dass es auch auf EU-Ebene in Zukunft ausgerollt werden kann. Wir sind mit der EU-Kommission dazu im Gespräch.

Außerdem wollen wir die Transparenz von Cloud-Services auch dadurch erhöhen, dass der Nutzer bei uns nachlesen kann, in welchem Land seine Daten gespeichert und verarbeitet beziehungsweise administriert werden. Die Frage, ob die Rechenzentren in Deutschland, im Europäischen Wirtschaftsraum oder im außereuropäischen Ausland stehen, wird mit dem Kriterienkatalog beantwortet. Damit geben wir dem Anwender eine Entscheidungsgrundlage an die Hand, auf deren Basis er sich entlang seiner eigenen Bedürfnisse für oder gegen einen geeigneten Cloud-Anbieter entscheiden kann.

Gibt das Trusted-Cloud-Label auch Sicherheit bezüglich der Qualität und Vollständigkeit von Cloud-Angeboten?

Zypries: Qualität und Vollständigkeit der Angebote sind uns bei Trusted Cloud ebenfalls sehr wichtig. Deswegen müssen die Cloud-Anbieter zur Erlangung des Labels auch die zur Service­erbringung notwendigen operativen Prozesse transparent darstellen. Da geht es beispielsweise um den Nachweis eines effizienten ­Service-Managements und Angaben zur zugesicherten Serviceverfügbarkeit ebenso wie um Angaben über Support und Training.

Brauchen Anbieter, die das Siegel führen wollen, einen Nachweis ihrer wirtschaftlichen Stabilität?

Zypries: Das ist ein Stichwort im Bereich der Anbietertransparenz. Dazu erfasst der Kriterienkatalog Angaben zur Leistungsfähigkeit und Erfahrung des Anbieters bei der Bereitstellung von Cloud-Lösungen. Anhaltspunkte sind auch Kriterien wie die Zahl der Mitarbei­ter im Unternehmen, insbesondere im Bereich Cloud-Services, Angaben zum Unternehmensumsatz sowie die Zahl der angebotenen Cloud-Services. Diese Angaben lassen eine fundierte Einschätzung der wirtschaftlichen Stabilität des Anbieters zu.

Spielen Mindeststandards für IT-Sicherheit eine Rolle, um das Siegel zu erhalten?

Zypries: Das Label Trusted Cloud erleichtert auch hier dem Anwender den Überblick über die vorhandenen Services. Wir stellen bereits erhaltene anerkannte Zertifizierungen des Service dar, ebenso wie die zum Einsatz kommende technische Infrastruktur. Dadurch wird das vorausgesetzte Fachwissen der Anwender auf ein notwendiges Minimum reduziert.

Gibt das Trusted-Cloud-Label Garantien hinsichtlich unerwünschter Lock-in Effekte?

Zypries: Auch hier geht es um einen Aspekt, der bei Trusted Cloud großgeschrieben wird. Das ist die Sicherstellung der Datenhoheit des Anwenders über den gesamten Lebenszyklus der Cloud-Service-Nutzung hinweg. Und die hört eben nicht mit der Einführung der Cloud-Lösung auf, sondern geht darüber hinaus bis zum Ende der Nutzung bei einem Anbieter. Um auch hier Sicherheit und Transparenz zu schaffen, erfragt der Kriterienkatalog Regelungen zur Beendigungsunterstützung und Rücküberführung von Daten, die vertraglich definiert sein müssen. Zudem wird eine Darstellung der Verfahren zum Zugriff auf Kundendaten und zur Datenrücküberführung eingefordert und damit transparent für die Anwender. (hv)