Anwender legen zunehmend Wert darauf, dass Cloud-Anbieter die Sicherheit ihrer Services nachweisen können. Gerold Hübner, CSO (Chief Security Officer) der zentralen SAP Cloud Platform, erklärt, welchen Aufwand SAP für die größtmögliche Sicherheit betreibt und welche Rolle Zertifikate dabei spielen.
Ohne Zweifel hat das Inkrafttreten der DSGVO dazu geführt, dass Sicherheits- und Datenschutzfragen auf der Agenda der Unternehmens- und IT-Manager noch weiter nach oben gerückt sind. Umso mehr, als dass das DSGVO-Regelwerk den Unternehmen einen gesetzlichen Rahmen vorgibt, wonach Datenschutzbehörden Verstöße auch mit hohen Bußgeldern ahnden können. Und das gilt eben nicht nur innerhalb der eigenen Unternehmensmauern, sondern auch dann, wenn Anwendungen und Daten in die Cloud ausgelagert werden.
Sicherheitsfragen sind heute für viele Unternehmen der wichtigste Hinderungsgrund, wenn es darum geht, Services aus der Cloud zu nutzen. Denn damit geben die IT-Manager nicht nur ihre Daten aus der Hand, sondern auch die Kontrolle über Sicherheitsmechanismen und das Einhalten von Datenschutzstandards. Insofern liegt es nicht nur im ureigenen Interesse der Anwender, dass ihre Daten vom Provider der Public Cloud sicher verarbeitet werden – sie sind auch auf Grund rechtlicher Vorgaben dazu verpflichtet.
„Die DSGVO beeinflusst deutlich die Entscheidungen bei der Auswahl von Cloud-Anbietern“, schreiben die Autoren der Studie “Cloud Security 2019“ von IDG Research. Sie erwarteten sowohl beim Cloud-Dienst als auch beim Cloud-Provider einen hohen Sicherheits- und Datenschutzstandard, wobei Cloud-Zertifikate und Datenschutzzertifizierungen zu den wesentlichen Auswahlkriterien gehörten. Bei fehlendem Zertifikat wünschten sich die Unternehmen eine Auditierung des Datenschutzes beim Provider. „Zertifizierung und Auditierung helfen aber nicht nur im Auswahlprozess, sie schärfen auch den Blick für die Sicherheit der Cloud-Dienste“, so die Autoren der IDG-Studie.
Das bestätigt Gerold Hübner, der als CSO (Chief Security Officer) für die Sicherheit der SAP Cloud Platform verantwortlich ist. „Ohne Zertifizierung kann man Cloud Services heute überhaupt nicht mehr verkaufen“, sagt der Cloud-Sicherheitsexperte. Und zu Recht verlangten Anwender einen Nachweis: „Zertifizierungen sind die objektive Bestätigung durch einen unbeteiligten Dritten, dass alle im Zertifizierungsframework aufgeführten Sicherheitsanforderungen erfüllt werden“, sagt Hübner.
Anforderungen an die Anbieter der Public Cloud
Für Unternehmen geht es dabei oft um mehr als die faktische Sicherheit, denn sie müssen gegenüber ihren Wirtschaftsprüfern und Aufsichtsbehörden nachweisen, dass sie sichere Services benutzen. Besonders Unternehmen in regulierten Branchen wie etwa der Pharma- oder Finanzindustrie sind hier in der Pflicht. „Hier werden Sicherheitszertifikate zum Business-Enabler – sie sind die Voraussetzung dafür, dass Kunden, die Testate von Wirtschaftsprüfern benötigen, nachweisen können, dass sie compliant arbeiten“, erklärt der CSO.
Bei SAP gibt es mit dem „Secure Software Development Lifecycle“ (S2DL) seit Jahren ein verbindliches Vorgehensmodell zur sicheren Anwendungsentwicklung. Es bildet ein wesentliches Fundament für die SAP Cloud Platform: Auf Basis des sicheren und datenschutzkonformen Designs und der Entwicklung der Services, über das Testen und die interne Validierung greifen eine Vielzahl von aufeinander abgestimmter Maßnahmen ineinander, um das höchstmögliche Sicherheitsniveau zu gewährleisten. In der Cloud schließen sich Prozesse wie etwa für den sicheren Betrieb, die Wartung und das Incident Management an. Die Wirksamkeit dieses Vorgehens belegt SAP mit einer Reihe von Standards und Zertifikaten wie etwa SOC 1/2 Zertifizierung, ISO 27001/22301 oder Tisax.
Mit der europaweit gültigen DSGVO ist ein weiteres Rahmenwerk hinzugekommen. Es definiert die gesetzlichen Grundlagen für die Verarbeitung von personenbezogenen Daten und die Pflichten der SAP als Auftragsdatenverarbeiter in der SAP Cloud Platform. Das Ergebnis findet sich im Zertifikat nach der ISO 27018, die einen Datenschutzstandard für Cloud-Dienste definiert und den SAP vom unabhängigen Wirtschaftsprüfungsunternehmen PwC auditieren und bestätigen lässt. Die Konformität nach ISO/IEC 27018 ist eine zentrale Anforderung an alle Anbieter der Public Cloud. Damit wird ein Großteil der Anforderungen der DSGVO an Cloud-Anbieter abgedeckt. Aktuell ist es die einzige internationale Zertifizierung für diesen Bereich.
Höheres Sicherheitsniveau in der Cloud als On-Premise
„Für unsere SAP Cloud Platform verfügen wir über alle Zertifikate, die für Sicherheit und Datenschutz relevant sind”, sagt CSO Hübner. Und er widerspricht der Einschätzung, dass Unternehmen mit der Nutzung von Cloud-Services Einschränkungen bei der Sicherheit in Kauf nehmen müssten: „Das ist mehr ein subjektives Gefühl. In Wahrheit legen sie nur einen Teil der Verantwortung in die Hände des Cloud Providers – was in der Mehrzahl der Fälle sogar zu einer deutlichen Steigerung der Sicherheitsniveaus führt.“
Denn gerade Mittelständler mit ihren meist begrenzten Ressourcen und IT-Budgets könnten sich häufig weder hochqualifizierte Sicherheitsexperten in ausreichender Anzahl noch aufwändige Tests, Audits und Zertifizierungen leisten. „Mitarbeiter mit Know-how im Bereich der Top-End-Security, immer auf dem aktuellen Stand gehalten werden muss, sind nicht nur teuer, sondern zudem auf dem Arbeitsmarkt kaum zu finden“, sagt Hübner. Anders bei international operierenden Plattform-Betreibern wie SAP, die über ausgewiesene Experten verfügen, die sich ausschließlich um Sicherheitsfragen kümmern und alle Bereiche der IT-Security abdecken.
Zertifikate für die Public Cloud
Die Installation von Sicherheitsmechanismen und deren Zertifizierung sind ausgesprochen aufwändig. In einem einzigen Zertifikat sind oft mehr als hundert Security-Controls – das sind etwa technische oder organisatorische Maßnahmen oder Prozess-Mechanismen – enthalten. Hinzu kommen regelmäßige Penetrationstest durch externe Spezialisten sowie die rückblickende Analyse von sicherheitsrelevanten Vorkommnissen. „Wir machen zweimal jährlich eine retrospektive Kontrolle, in der wir alle Ereignisse, die Auswirkungen auf die Sicherheit hatten oder hätten haben können, einer detaillierten Untersuchung unterziehen“, sagt CSO Hübner.
Um daraus aber die richtigen Schlüsse zu ziehen und Maßnahmen abzuleiten, braucht es wiederum eines umfassenden Know-hows von Sicherheitsarchitekturen und -mechanismen: Denn das Gewährleisten von Sicherheit ist ein kontinuierlicher Prozess. „Wir wissen, wie man Sicherheitslücken aufspürt, wie man sie schließt und welche Lehren für die Zukunft man daraus ziehen kann“, sagt der Sicherheits-Experte. Bei SAP gehöre dazu auch ein definierter Secure Software Development Prozess, der wiederum gemäß der entsprechenden ISO-Norm (Security Development Lifecycle, ISO 27034) aufgesetzt ist.
Nach Hübners Einschätzung sind die Zertifikate im Bereich der IT- und Cloud-Security belastbar und halten, was sie versprechen. „Da wird nirgendwo ein Auge zugedrückt.“ Dennoch räumt er ein, dass es eine 100-prozentige Sicherheit nicht geben könne: „Bei der IT-Security geht es immer um Wahrscheinlichkeiten und Risiko-Management“, sagt der Sicherheits-Experte, „und mithin darum, alle technischen und organisatorischen Maßnahmen zu treffen, um die mit dem Betrieb und den Daten im Kontext stehenden Risiken adäquat zu managen.“
