Von Transparenz bis Vertrauen in die Cloud

Die EU-Agentur für Netz-und Informationssicherheit ENISA berät, wie Incident Reporting im Bereich des Cloud Computing umgesetzt werden kann

ENISA betont die Bedeutung des Incident Reportings im Bereich von Cloud Computing, vor allem in kritischen Sektoren. Dies sei eine Möglichkeit, Sicherheitsmaßnahmen besser zu verstehen und Vertrauen zu fördern. ENISA präsentiert eine geeignete Herangehensweise, die eine „Win-Win“-Situation für Kunden und Anbieter darstellt.

Zwischenfälle im Bereich Cloud-Security erregen oft die Aufmerksamkeit der Medien, da sie eine große Anzahl von Nutzern betreffen; Beispielsweise erlitt ein großer Storage-Service-Provider vor kurzem einen Ausfall von zwei Tagen. Doch aufgrund fehlender konsequenter Berichterstattungsregelungen zu Cloud-Sicherheitsvorfällen, ist es schwer, die Ursachen und Auswirkungen solcher Ereignisse zu verstehen. Um die Stabilität und Sicherheit von Cloud Computing-Services besser zu verstehen, ist es wichtig, das Thema mit Wirtschaft und Regierung zu diskutieren und eine gemeinsame Lösung bei  pragmatischen Incident Reporting Systemen zu finden, die nützliche Informationen für Kunden und Behörden bieten.

Der Geschäftsführende Direktor von ENISA, Professor Udo Helmbrecht, merkte an: „Incident Reporting ist für ein besseres Verständnis der Sicherheit und Stabilität entscheidender europäischer Informationsinfrastrukturen ausschlaggebend. Cloud Computing wird jetzt zum Rückgrat unserer digitalen Gesellschaft. So ist es wichtig, dass Cloud-Anbieter die Transparenz und das Vertrauen durch die Annahme effizienter Incident-Reporting-Systeme verbessern.“

Der Bericht befasst sich mit vier verschiedenen Cloud-Computing-Szenarien und untersucht, wie Incident Reporting-Systeme unter Einbeziehung der Cloud-Anbieter, Cloud-Kunden, Betreiber kritischer Infrastrukturen und Behörden aufgebaut werden könnten:

  1. A. Cloud-Service, der von Betreibern kritischer Informations-Infrastruktur verwendet wird;
  2. B. Cloud-Service, der von Kunden in unterschiedlichen kritischen Bereichen verwendet wird;
  3. C. Cloud-Service für die Regierung und die öffentliche Verwaltung (a gov-cloud);
  4. D. Cloud-Service, verwendet von KMU und Bürgern.

Durch Umfragen und Interviews mit Experten identifizierten wir eine Reihe von Schwerpunktthemen:

  • In den meisten EU-Mitgliedstaaten gibt es keine nationale Behörde, um die Kritikalität von Cloud-Dienstleistungen zu beurteilen.
  • Cloud-Dienste basieren oft auf anderen Cloud-Dienstleistungen. Dies erhöht die Komplexität und erschwert das Incident Reporting.
  • Cloud-Kunden setzen oft keine Incident Reporting Regelungen in ihren Cloud-Service-Verträgen fest.

Der Bericht enthält eine Reihe von Empfehlungen, basierend auf dem Feedback von Cloud-Experten aus Wirtschaft und Regierung:

  • Freiwillige Berichterstattungssysteme sind kaum vorhanden und Rechtsvorschriften könnten für die Betreiber in kritischen Bereichen erforderlich sein, um über sicherheitsrelevante Zwischenfälle zu berichten.  
  • Regierungsbehörden sollten Pflichten im Bereich des Incident Reporting bei Auftragsvergaben thematisieren.
  • Betreiber kritischer Sektoren sollten Incident Reporting in ihren Verträgen thematisieren.
  • Incident-Reporting-Systeme können eine „Win-Win“ Situation für Anbieter und Kunden bieten, indem sie die Transparenz erhöhen und so Vertrauen schaffen.
  • Anbieter sollten den Weg weisen und effiziente und effektive, freiwillige Berichterstattungssysteme einrichten.

Zum vollständigen Report