Am 5. November trafen sich die Mitglieder des Cloud-Reallabors auf dem GovTech Campus in Berlin, um sich über das erste Projektjahr auszutauschen. Die vorläufigen Ergebnisse wurden in einem internen Kurzbericht zusammengefasst, der dem Behörden Spiegel vorliegt.
„Die digitale Infrastruktur in Deutschland darf nicht von Wahlen in anderen Ländern oder anderen Ereignissen beeinflusst werden“ – das Eingangszitat von Harald Joos, Cloud-Beauftragter der Deutschen Rentenversicherung Bund und Projektleiter des Cloud-Reallabors, könnte aktueller kaum sein. Am Tag, an dem sich Donald Trump aller Voraussicht nach zum zweiten Mal die US-Präsidentschaft gesichert hat, stehen auch die Sicherheit und Unabhängigkeit von Deutschlands Cloud-Strukturen verstärkt im Fokus.
Wechselfähigkeit zwischen Anbietern
Im Rahmen des Projekts „Cloud-Reallabor – Sichere Verarbeitung in der Cloud“, so der vollständige Titel, versuchen öffentliche und private Stakeholder, Cloud-Potenziale zu erschließen. Unter anderem sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) mit an Bord. Auch Cloud-Anbieter aus Deutschland, Europa und den USA sowie Organisationen aus den vier Sozialversicherungszweigen sind vertreten. Neben der Vernetzung der Projektmitglieder und der Etablierung von Proofs of Concept (PoC) war im ersten Jahr das Thema Wechselfähigkeit zwischen Cloud-Anbietern von zentraler Bedeutung. Das Cloud-Reallabor wolle Nachweise erbingen, dass diese Wechsel technisch möglich sind und die Risiken eines Vendor-Lock-Ins (Abhängigkeit von einem Anbieter) reduziert werden können, heißt es in dem Bericht.
Standard C5-Testat
In Deutschland habe sich der „Cloud Computing Compliance Criteria Catalogue“ (C5) zu einem Standard für Cloud-Sicherheit entwickelt. Dieser Kriterienkatalog definiere Anforderungen an die Informationssicherheit in der Cloud und werde in vielen Ausschreibungen als Mindestanforderung an die Anbieter gestellt. Dadurch werde der Katalog zu einem „wesentlichen Bestandteil“ bei der Auswahl von Cloud-Angeboten im öffentlichen und privaten Sektor.
Das C5-Testat werde häufig als Zertifizierung missverstanden, welche die Erfüllung eines Standards bescheinige, wohingegen ein Testat bestätige, wie ein Anbieter Anforderungen umgesetzt habe. Anhand der C5-Kriterien könnten Anbieter sehen, für welche Sicherheitsaspekte sie mitverantwortlich sind. Zusätzlich zum Testat müsse stets eine indivduelle Prüfung der spezifischen Cloud-Kundenanforderungen erfolgen, so die Projektmitglieder.
Das finale Dokument soll noch im November diesen Jahres auf der Projektwebsite www.reallabor.cloud veröffentlicht werden.
