Prüfungen und Zertifizierungen im Bereich der IT-Sicherheit können sehr aufwendig sein und hohe Kosten verursachen, die insbesondere für kleine Cloud-Anbieter nur schwer zu tragen sind. Zum einen unterliegen Cloud-Dienste einer ständigen Veränderung, allein durch die Implementierung neuer Features. Zum anderen bauen verschiedene Cloud-Dienste von IaaS bis SaaS stark aufeinander auf. Nur in den seltensten Fällen liegen alle Ebenen eines Cloud-Dienstes in der Hand eines Betreibers.
Modularer Aufbau von Cloud-Diensten
Durch geeignete – individuell zu betrachtende und zertifizierbare – Module können im Zertifizierungsprozess Aufwände und Kosten in erheblichem Maß eingespart werden. Das sorgt gleichzeitig für eine effiziente Erstzertifizierung und eine einfache Nachprüfung bei Veränderungen des Angebots.
Die Modularität von Cloud-Diensten in der Zertifizierung
Das Konzept der modularen Zertifizierung wird im TCDP-Konzept der modularen Zertifizierung von Cloud-Diensten beschrieben.
Nutzen Diensteanbieter Unterauftragnehmer – etwa für das Hosting – müssen diese ebenfalls in die Prüfung und Zertifizierung einbezogen werden. Die gesetzliche Pflicht des Cloud-Nutzers zur sorgfältigen Prüfung und Auswahl des Cloud-Dienstes bezieht sich auf den gesamten Dienst und endet nicht an der Schnittstelle des Cloud-Dienstes zum darunterliegenden Baustein.
Auf eine erneute Prüfung des darunterliegenden Dienstes kann aber verzichtet werden, wenn dieser Dienst bereits selbst nach TCDP zertifiziert wurde. Dann ist die datenschutzrechtliche Zulässigkeit des Dienstes bereits hinreichend belegt. Zu prüfen bleibt hingegen das Zusammenwirken der einzelnen Module. Dieses Vorgehen ist in der Praxis bei Zertifizierungen nicht unüblich, wenngleich meist nicht konzeptionell ausdrücklich beschrieben.
Modulare Zertifizierung als Vorteil für kleine und mittlere Unternehmen
Die modulare Zertifizierung vermeidet mehrfache Zertifizierungen von Cloud-Diensten und deren Bestandteilen und reduziert die Zertifizierungskosten stark. Verfügt der Betreiber des Rechenzentrums über ein hinreichendes Zertifikat, kann jeder Nutzer des Rechenzentrums für seinen Cloud-Dienst auf das Zertifikat verweisen. Damit kommt die modulare Zertifizierung insbesondere kleinen Unternehmern zugute, die durch die Nutzung eines zertifizierten Hosting-Dienstes die Chance erhalten, für ihren Dienst zu vergleichsweise geringen Kosten ein Zertifikat zu erwerben.
Modularität durch Berücksichtigung bestehender Zertifikate
Der gleiche Gedanke liegt der Anerkennung anderer Zertifikate als TCDP-Zertifikaten zugrunde. Bestehende Zertifikate nach ISO 2700er-Reihe oder BSI-Grundschutz ersparen in gleicher Weise mehrfache Prüfungen des gleichen Sachverhalts und sparen damit Aufwand und Kosten.
Wesentliche Änderung von Diensten: Erforderlichkeit neuer Zertifizierung
Werden Dienste durch die Implementierung neuer Features verändert, stellt sich die Frage, ob ein Zertifikat noch gültig ist oder ob jeweils eine erneute Zertifizierung erforderlich ist. Eine erneute Prüfung und Zertifizierung ist jedenfalls dann erforderlich, wenn sich das Sicherheitsprofil ändert.
