Europäische Initiative für Vertrauen in Cloud Computing

20 Dezember, 2018

European Security Certification Framework (EU-SEC)

Cloud Computing birgt neben zahlreichen Vorteilen auch einige Herausforderungen. Dies gilt vor allem für Cloud-Anwender, die Beschaffungsentscheidungen treffen und vorher das von Cloud-Anbietern gebotene Niveau an Informationssicherheit sowie deren Vertrauenswürdigkeit bewerten müssen. Daher unterstützt PwC das von der Europäischen Kommission im Rahmen des HORIZON 2020-Programmes aufgesetzte Projekt „European Security Certification Framework“ (EU-SEC). Dieses Projekt hat zum Ziel, einen innovativen Multi-Party-Compliance-Ansatz zu entwickeln, der den Compliance-Aufwand sowohl für Anbieter als auch Anwender reduziert.

Cloud Computing - Entwickler

Die Herausforderung ist der Vergleich

Beim Auswählen eines Cloud-Anbieters gilt es, Informationen zu verschiedensten Themengebieten zusammenzuführen, zu konsolidieren und zu verarbeiten. Insbesondere gehören auch Informationen dazu, die Auskunft darüber geben, inwiefern der Anbieter sowie der Cloud-Dienst selbst die jeweiligen Anforderungen an die Informationssicherheit erfüllen. Um dies trotz fehlender Audit-Rechte bewerten zu können, ziehen Anwender oft Zertifizierungen wie etwa die ISO/IEC 27001 und Testate wie beispielsweise SOC 2 oder BSI C5 heran, die von unabhängigen und vertrauenswürdigen Dritten (meist Wirtschaftsprüfern) ausgestellt wurden.

Für die Cloud-Anwender besteht die Herausforderung nun darin, die Zertifizierungen und Testate der in der engeren Auswahl befindlichen Cloud-Anbieter belastbar miteinander zu vergleichen. Je nachdem, wie umfangreich die von den jeweiligen Cloud-Anbietern betriebenen Compliance-Programme sind, variieren auch die verfügbaren Zertifizierungen und Testate. Vor einer vergleichbaren Aufgabe stehen auch die Cloud-Anbieter: Da die Zertifizierungen und Testate nicht nur unterschiedliche Schwerpunkte setzen, sondern auch unterschiedliche Prüftiefen und -Verfahren erfordern sowie im internationalen Kontext oft ohne engeren Bezug nebeneinander stehen, lassen sie sich nur schwer miteinander vergleichen. Daher müssen sich sowohl Anwender als auch Anbieter mit allen Prüfschemen vertraut machen, um diese in Beziehung zu einander setzen und abwägen zu können.

Einheitlicher Rahmen für Cloud Compliance

Mit Partnern aus Wirtschaft und Forschung arbeiten Experten von PwC daher am European Security Certification Framework (EU-SEC). Das Projekt hat eine Laufzeit von drei Jahren und wird von der Europäischen Union innerhalb des umfangreichen Programms „Horizon 2020“ gefördert. EU-SEC zielt darauf ab, einen europäischen, einheitlichen Rahmen für Cloud Compliance zu schaffen. Dabei schafft EU-SEC kein weiteres, zusätzliches Prüfschema – vielmehr entsteht ein gesamtheitliches Rahmenwerk, innerhalb dessen vorhandene Prüfschemen einander zugeführt und mit einander verknüpft werden. Ziel dabei ist, die gegenseitige Anerkennung von Prüfschemen zu ermöglichen und die Informationssicherheit in Europa zu fördern.

Die wichtigsten Komponenten von EU-SEC:

  • Datenbank, innerhalb derer sich Anforderungen aus den verschiedensten Prüfschemen zusammenführen und miteinander verknüpfen lassen
  • Konzept für das kontinuierliche, automatisierte Echtzeit-Auditieren von Cloud-Diensten anhand vorher festgelegter Anforderungen
  • Governance-Ansatz, mit dem das gesamte EU-SEC Framework nach Projektabschluss kontinuierlich gemanagt und erweitert wird

„Das Projekt EU-SEC zeigt, dass die Informationssicherheit in der Cloud von gesellschaftlichem Interesse ist. Daher ist es für uns selbstverständlich, zusammen mit internationalen Partnern aus Wirtschaft und Forschung an diesem Projekt zu arbeiten.“

Markus Vehlow, Partner Risk Assurance Solutions bei PwC Deutschland
European Security Certification Framework (EU-SEC) - Cloud Service Provider (CSP)

Im Gespräch mit Markus Vehlow 

Markus Vehlow ist Partner und verantwortlich für Cloud Computing. Er hat langjährige Erfahrung mit der Cloud und unterstützt Anbieter und Nutzer aller Größen rund um das Thema Cloud Compliance. Schwerpunkte seiner Arbeit bilden Audits und Beratungen, insbsondere zu Prüfschemen wie etwa SOC 1/ISAE 3402 und SOC 2, IDW PS 951 oder BSI C5.

Warum beteiligt sich PwC an EU-SEC?

Wir möchten die Effizienz in Compliance-bezogenen Projekten erhöhen. Die Projektansätze und Prüfmethoden müssen sich an die technischen Entwicklungen anpassen, damit die Prüfungsergebnisse den kontinuierlich steigenden Ansprüchen an die Effizienz sowie die Aussagekraft von Compliance-Prüfungen gerecht werden. Im Rahmen von EU-SEC entwickeln wir neue Architekturen und Werkzeuge, um genau das zu gewährleisten. Unser Ziel ist, Compliance-Prüfungen noch stärker zu digitalisieren, zu verstetigen und damit Compliance-Aussagen in Echtzeit zu ermöglichen.

Welche Expertise bringt PwC in das Projekt ein?

Wir haben umfangreiche Erfahrung mit den relevanten Prüfschemen und Standards, da wir diese bei Cloud-Dienstleistern anwenden. Daher wissen wir um die Herausforderungen sowohl für Anbieter als auch für Nutzer und können unsere Erfahrung in das Projekt einbringen.

Warum ist das EU-SEC Framework so wichtig?

Es gibt am Markt viele unterschiedliche Zertifikate, Testate, Selbstauskünfte und dergleichen. Daher ist es für Cloud-Anbieter und Cloud Nutzer gleichermaßen eine Herausforderung, den Überblick zu behalten. Im EU-SEC Projekt erarbeiten wir daher unter anderem ein Schema für die gegenseitige Anerkennung von Zertifikaten. Hierzu werden Prinzipien und Prozesse definiert, die wir gemeinsam mit den Projektpartnern validieren.

Wie unterscheidet sich EU-SEC von anderen Zertifizierungs-Initiativen?

EU-SEC ist nicht einfach ein weiterer Standard. EU-SEC verknüpft etablierte Standards miteinander und ergänzt diese um ein Rahmenwerk, welches das gegenseitige Anerkennen der Prüfberichte ermöglichen soll. Zudem entwickeln wir Konzepte für das kontinuierliche Überprüfen der Compliance von Cloud-Diensten.

Dieses Projekt wird aus Mitteln des H2020-Rahmenprogramms der Europäischen Union im Rahmen des Grand-Agreements Nr. 731845 gefördert.

Weitere Top-Themen zu Cloud Computing

Die fünf wichtigsten Cloud-Security-Aspekte

Die fünf wichtigsten Cloud-Security-Aspekte

Mit der kontinuierlich steigenden Nutzeranzahl von Cloud erhöhen sich auch die Gefahren und die Risiken in der Cloud Anwendung. Daher sehen Experten die Cloud Security nun als einen der wichtigsten Elemente in Cloud Computing.


Jetzt mehr erfahren

BSI C5 – Der Anforderungskatalog des BSI für mehr Transparenz in der Cloud

BSI C5 – Der Anforderungskatalog des BSI für mehr Transparenz in der Cloud

Beim Einsatz von Cloud-Diensten kommt es auch auf die Compliance an. Daher hat PwC im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) den Anforderungskatalog Cloud Computing (C5) entwickelt.


Jetzt mehr erfahren

Projekt „AUDITOR“ entwickelt europaweite Zertifizierung von Cloud-Diensten

Projekt „AUDITOR“ entwickelt europaweite Zertifizierung von Cloud-Diensten

PwC ist Teil eines interdisziplinären Teams aus Wissenschaftlern und Unternehmen, das eine Datenschutzzertifizierung von Cloud-Diensten auf Basis der neuen EU-Datenschutz-Grundverordnung (DSGVO) erarbeitet. Der Standard soll europaweit zum Einsatz kommen.


Jetzt mehr erfahren

Contact us

Markus Vehlow

Markus Vehlow

Partner, Risk Assurance Solutions, PwC Germany

Tel.: +49 69 9585-2293

Follow us