Hintergrund - Verhältnis zu Trusted Cloud-Label und zu C5-Testat
Verhältnis zu Trusted Cloud-Label und zu C5-Testat
Häufig kommt es hinsichtlich des „Trusted Cloud Datenschutz-Profil für Cloud Dienste“ (TCDP) und dem Trusted Cloud Label zu Verwechslungen und Unklarheiten hinsichtlich der Zielsetzungen und Inhalte beider Programme. Die nachfolgende Darstellung zeigt Gemeinsamkeiten und Unterschiede auf und erleichtert so die Orientierung für Cloud-Nutzer wie Cloud-Anbieter. Seit 2016 bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Testierung nach dem „Cloud Computing Compliance Controls Catalogue“ (C5) an. Dessen Zielsetzung und Verhältnis zu TCDP und Trusted Cloud Label werden ebenfalls erläutert.
Gemeinsame Ursprünge von TCDP und Trusted Cloud
Anhand der Namensgebung des TCDP und des Trusted Cloud Labels zeigt sich bereits der gemeinsame Ursprung: Beide entstanden im Rahmen des Trusted Cloud Programms des Bundeswirtschaftsministeriums. In dessen Verlauf wurde das TCDP im Rahmen eines Pilotprojekts entwickelt, weshalb „Trusted Cloud“ ebenfalls Namensbestandteil ist. Das TCDP ist dennoch komplett eigenständig organisiert, was sich insbesondere auch darin widerspiegelt, dass die Stiftung Datenschutz für die Verwaltung des TCDP allein zuständig ist, während sich das Kompetenznetzwerk Trusted Cloud für das Trusted Cloud Label verantwortlich zeichnet.
Zielsetzung und Inhalt der Zertifizierung nach dem TCDP
Das TCDP-Zertifikat wurde entwickelt um Auskunft darüber geben zu können, dass die datenschutzrechtlichen Anforderungen durch einen Cloud-Dienst erfüllt werden. Hierbei werden im Rahmen des Zertifizierungsprozesses Cloud-Dienste durch eine unabhängige Prüfstelle geprüft. Die Ergebnisse der Prüfung werden sodann durch eine ebenfalls unabhängige Zertifizierungsstelle mit dem Kriterienkatalog des TCDP für die beantragte Schutzanforderungsklasse abgeglichen. Sind die Anforderungen erfüllt, darf der Anbieter für den geprüften Cloud Dienst das TCDP Zertifikat führen und hierdurch gegenüber Dritten die Datenschutzkonformität des Dienstes nachweisen.
Das TCDP adressiert im Rahmen der Prüfanforderungen vorrangig die Voraussetzungen der Auftragsdatenverarbeitung, die im Bundesdatenschutzgesetz (BDSG) festgelegt sind. Geprüft wird zunächst der Inhalt der Verträge zwischen dem Betreiber des Cloud-Dienstes und dem Cloud-Nutzer. Den Schwerpunkt des Zertifizierungsprozesses bildet die Prüfung der technischen und organisatorischen Maßnahmen beim Cloud-Anbieter, die ohne die Zertifizierung von jedem Cloud-Nutzer eigenständig durchgeführt werden müsste. Dabei wird etwa geprüft, ob die IT-Systeme des Cloud-Anbieters ausreichenden Schutz vor unberechtigtem Zugriff bieten und ob die Integrität und Wiederherstellbarkeit von Daten etwa bei Stromausfällen und Naturkatastrophen sichergestellt sind.
Zielsetzung und Inhalt des Trusted Cloud Labels
Das Trusted Cloud Label verfolgt demgegenüber einen ganzheitlichen Ansatz: Es soll nur an solche Cloud-Dienste vergeben werden, die bestimmte Mindestanforderungen in relevanten Bereichen erfüllen und damit als vertrauenswürdig eingestuft werden können. Dabei stehen nicht nur einzelne Bereiche im Fokus, sondern der gesamte Service wird beleuchtet. So werden neben den rechtlich relevanten Themen Vertragsgestaltung und Datenschutz etwa auch die Transparenz des Anbieters, die Servicequalität, die Investitionssicherheit sowie die Integrierbarkeit des Service in bereits vorhandene Infrastruktur untersucht. Hierdurch soll Cloud-Nutzern ermöglicht werden, die Vertrauenswürdigkeit eines Cloud-Dienstes auf den ersten Blick erkennen zu können.
Der Nachweis, dass der Dienst die Anforderungen des Trusted Cloud Labels erfüllt, erfolgt dabei vorrangig im Wege der Selbstprüfung. Anhand eines öffentlich zugänglichen Kriterienkatalogs können Cloud-Anbieter gegenüber dem Kompetenznetzwerk Trusted Cloud nachweisen, dass sie die Mindestanforderungen für einen vertrauenswürdigen Cloud Service erfüllen. Hierzu werden entsprechende Angaben und Dokumente eingereicht, anhand derer erkennbar wird, dass die Anforderungen eingehalten werden. Durch das Kompetenznetzwerk Trusted Cloud findet dann eine Prüfung der übermittelten Informationen daraufhin statt, ob diese plausibel und konsistent sind. In bestimmten Teilbereichen, etwa Datenschutz und Datensicherheit, kann der Nachweis der Konformität auch anhand von bereits erworbenen, geeigneten Zertifikaten geführt werden. Im Bereich des Datenschutzes kommt dabei etwa auch der Nachweis durch das TCDP-Zertifikat, bei der Datensicherheit durch das C5-Testat in Betracht.
Zielsetzung und Inhalt der C5-Testierung des BSI
Analog zum Fokus des TCDP auf Erfüllung der datenschutzrechtlichen Anforderungen adressiert die C5-Testierung des BSI primär Belange der Datensicherheit. Der entsprechende Kriterienkatalog wurde vom BSI anhand branchenintern akzeptierter Standards erarbeitet und auf der Webseite des BSI veröffentlicht. Er enthält primär Anforderungen an die Datensicherheit des Cloud-Dienstes, aber auch sog. Umfeldparameter, die Transparenz hinsichtlich des Cloud-Anbieters und dessen Dienst garantieren sollen. Die Anforderungen wurden vom BSI größtenteils aus bereits anerkannten Standards zur Datensicherheit entwickelt um erstmals einen einheitlichen Kriterienkatalog zu schaffen.
Durchgeführt wird die Prüfung durch ein unabhängiges Prüfteam aus Wirtschaftsprüfern, dessen Mitglieder genau spezifizierte Kompetenzen nachweisen müssen. Bei Erfüllung sämtlicher Anforderungen wird anschließend ein Testat erteilt, das die Konformität des Dienstes mit dem C5 bestätigt.
Gemeinsamkeiten und Unterschiede im Überblick
Während alle hier behandelten Programme die Prüfung und Zertifizierung von Cloud-Diensten betreffen, werden mit ihnen ganz unterschiedliche Ziele verfolgt. Entsprechend unterscheiden sich auch die Kriterienkataloge und das Prüfverfahren teilweise deutlich voneinander. Im Folgenden werden die wichtigsten Unterschiede vergleichend dargestellt.
- Zielsetzung
Mit der TCDP-Zertifizierung wird die Rechtskonformität des Dienstes auf dem Gebiet des Datenschutzes von unabhängiger Seite festgestellt. Dies bietet dem Cloud-Nutzer die Sicherheit, dass sämtliche Datenschutzanforderungen erfüllt sind und er bei der Verarbeitung personenbezogener Daten mit Hilfe des Cloud-Dienstes seinen Pflichten als datenschutzrechtlich verantwortliche Stelle nachkommt.
Ähnlich verhält es sich beim C5-Testat. Dieses weist die Konformität des Dienstes mit anerkannten Standards im Bereich der Datensicherheit nach. Obwohl es sich bei diesen Standards nicht unmittelbar um rechtlich bindende Anforderungen handelt, kann deren Einhaltung auch rechtliche Relevanz entfalten, etwa wenn es bei Störungen oder Datenverlust um Ansprüche des geschädigten Nutzers geht und hierfür relevant wird, ob die Datenverarbeitungsanlagen des Anbieters dem anerkannten Stand der Technik entsprochen haben.
Ziel des Trusted Cloud Labels ist es dagegen, Nutzern die Möglichkeit zu geben, einen schnellen Gesamtüberblick über einen Cloud-Dienst zu erhalten. Dadurch, dass der Dienst gewisse Mindeststandards auf einer Vielzahl von Gebieten erfüllen muss, werden Vertrauenswürdigkeit und Transparenz von Dienst und Anbieter kenntlich gemacht. Dem Nutzer wird damit eine schnelle und einfache Orientierung innerhalb des unübersichtlichen Cloud-Marktes ermöglicht, ohne dass dieser sich vertieft mit einzelnen Themenbereichen auseinandersetzen muss.
- Kriterienkataloge
Die Kriterienkataloge von TCDP, Trusted Cloud Label und C5 enthalten unterschiedliche Anforderungen, weisen aber teilweise auch Gemeinsamkeiten auf.
So stellen die Anforderungskataloge von TCDP und C5 hierbei jeweils sehr detailliert auf Datenschutz bzw. Datensicherheit ab. Die Anforderungen überschneiden sich teilweise sehr stark, da auch Maßnahmen zur Datensicherheit Teil der datenschutzrechtlich erforderlichen Maßnahmen sind. Während das TCDP den Themenbereich der Datensicherheit aber nur insoweit adressiert, wie dies zur Datenschutzkonformität erforderlich ist, gehen die Anforderungen des C5 darüber hinaus, indem sie sich an aktuellen Industriestandards für Datensicherheit orientieren. Demgegenüber enthält der C5 aber wiederum keine spezifisch datenschutzrechtlichen Anforderungen.
Das Trusted Cloud Label definiert die entsprechenden Anforderungen dagegen im Hinblick darauf, welche Anforderungen aus der Sicht mittelständischer Unternehmen an einen vertrauenswürdigen Cloud-Dienst zu stellen sind. Dabei ist eine deutlich größere Zahl unterschiedlicher Anforderungen aus verschiedenen Bereichen von der Prüfung umfasst als bei TCDP oder C5. Enthalten sind zusätzlich vor allem Faktoren, die aus betriebswirtschaftlicher Sicht relevant sein können, etwa Investitionssicherheit und die Qualität des Service. Im Vergleich zu TCDP und C5 werden diese Anforderungen jedoch nur in einer relativ geringen Tiefe abgefragt oder können durch Zertifikate und Testate nachgewiesen werden, so dass dem Cloud-Anbieter ein Selbsttest ermöglicht wird.
- Prüfmechanismen
TCDP erfordert eine Prüfung und Bewertung der datenschutzrechtlichen Anforderungen durch unabhängige und zertifizierte Prüf- und Zertifizierungsstellen. Die Prüfstelle erhebt dabei die zur Zertifizierung notwendigen Informationen selbst beim Anbieter oder anhand von dessen Dokumentation. Diese Informationen werden dann von der Zertifizierungsstelle ausgewertet.
Auch das C5-Testat wird durch unabhängige Wirtschaftsprüfer vergeben, die über genau definierte Qualifikationen auf dem Bereich der IT-Prüfung verfügen müssen. Da es sich um ein Testat handelt, ist hier keine Trennung von Prüf- und Zertifizierungsstelle vorgesehen. Die Prüfung wird anhand international anerkannter Standards anhand von Unterlagen des Cloud-Anbieters durchgeführt und im Falle der Konformität mit dem Anforderungskatalog das Testat erteilt.
Das Trusted Cloud Label beruht demgegenüber vorrangig auf einer Selbstprüfung des Cloud-Anbieters. Dieser macht anhand des Kriterienkatalog Angaben, anhand derer er darlegt, dass und in welcher Weise er die Mindestanforderungen für die Erteilung des Trusted Cloud Labels erfüllt. Hierbei können gegebenenfalls einzelne Anforderungen, etwa hinsichtlich Datenschutz und Datensicherheit, durch externe Zertifizierungen nachgewiesen werden. Für die Erteilung werden die Angaben dann durch das Kompetenznetzwerk Trusted Cloud auf Plausibilität und Konsistenz geprüft.
Kombination der Programme zur effizienten Abdeckung aller Kriterien
Um die Erfüllung sämtlicher Anforderungen an Datenschutz, Datensicherheit und Transparenz nachzuweisen, kann die Kombination aller drei Programme sinnvoll sein. Gerade TCDP-Zertifikat und C5-Testat weisen inhaltlich starke Überschneidungen auf, da viele Anforderungen aus dem Bereich der Datensicherheit gleichzeitig Teil der im Rahmen der datenschutzrechtlichen Anforderungen umzusetzenden technischen und organisatorischen Maßnahmen sind. Dadurch kann eine gleichzeitige Zertifizierung bzw. Testierung nach TCDP und C5 mit relativ moderatem Mehraufwand durchgeführt werden. Das hierdurch jeweils erlangte Zertifikat bzw. Testat erleichtert seinerseits die Beibringung von Nachweisen im Rahmen einer Selbstauskunft für das Trusted Cloud Label.
Weitere Informationen zu C5 beim Bundesamt für die Sicherheit in der Informationstechnik