![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/02\/OneDrive.jpg\")
<\/p>\n<\/p>\n
Wie gut ist der Ruf der deutschen Cloud-Branche eigentlich? Einem deutschen Anbieter sind wohl Krypto-Schl\u00fcssel abhanden gekommen und nun sind Daten futsch. Zudem gibt es da noch das Projekt der europ\u00e4ische Cloud Gaia X. zudem hat das BSI seinen C5-Kriterienkatalog f\u00fcr die Cloud-Pr\u00fcfung aktualisiert. Heute mal ein kleiner Beitrag mit einigen Informationen zur Cloud.<\/p>\n
Der Stoff d\u00fcmpelt hier schon einige Tage auf meinem Rechner. Nach einem Leserhinweis von Lothar V. der Art 'h\u00f6rt sich irgendwie gruselig an' von Ende Januar war das Thema auf der Agenda. Und da gab es noch eine Pressemitteilung zu Gaia X.<\/p>\n
Aktuell wird die Cloud ja von drei US-Riesen Amazon, Google und Microsoft beherrscht. Die Chinesen versuchen da auch gerade einzusteigen. Aber im Rahmen des Themas DSGVO\/GDPR und auch im Hinblick auf Spionage sowie Vertraulichkeit der Daten gibt es (berechtigt) viele Bauchschmerzen in deutschen Firmen. Wie es mit der Sicherheitskultur der US-Anbieter \u2013 auch im Bezug auf Kunden – ausschaut, hatte ich zum Wochenende im Blog-Beitrag Sicherheit: Amazon, Google, Microsoft und CVE-2019-19781<\/a> aufgespie\u00dft.<\/p>\n Daher gibt es ja Pl\u00e4ne f\u00fcr eine europ\u00e4ische Cloud, die unter dem Projektnamen Gaia X zusammengefasst. Im Oktober letzten Jahren sollte das Projekt on Wirtschaftsminister Altmaier verk\u00fcndet werden \u2013 sein Sturz von der B\u00fchne hat das, glaube ich, verhindert. Der Deutschlandfunk titelte in diesem Artikel zum Thema<\/a>: <\/p>\n Die europ\u00e4ische Cloud Gaia X soll Server unterschiedlicher Unternehmen und Organisationen vernetzen. Einen gro\u00dfen Vorteil sehen die Akteure in der Unabh\u00e4ngigkeit von ausl\u00e4ndischen Cloud-Anbietern. Die Umsetzung ist f\u00fcr 2020 geplant, doch technische Details sind noch unklar.<\/p>\n<\/blockquote>\n Der Beitrag geht auf Gaia X und die damit verbundenen Ziele ein. Die Branche reagierte zur\u00fcckhaltend, hier wird ein Scheitern<\/a> prognostiziert. Das von Bundeswirtschaftsminister Peter Altmaier angek\u00fcndigte Projekt Gaia-X musste viel Kritik einstecken: Zu viele Details der Umsetzung waren einfach zu unklar. Einzig bei der Zielestellung waren sich die meisten europ\u00e4ischen Marktbeobachter jedoch einig: Eine europ\u00e4ische Cloud als Gegengewicht zu den US-Amerikanischen Platzhirschen w\u00fcrde tats\u00e4chlich viel Sinn ergeben. Und so beginnt Microsoft bereits damit, das Projekt zu umklammern, wie heise in diesem Artikel anrei\u00dft<\/a>.<\/p>\n Markus Busch von Leaseweb hat sich in einem kurzen Text mit dem Ansatz befasst und meint in einem Kommentar, dass Gaia-X das unabh\u00e4ngige Cloud-Netzwerk sein kann, das Europa braucht<\/em>. Hier seine Gedanken zum Thema.<\/p>\n Die Cloud hat sich l\u00e4ngst zu einer wichtigen Kraft bei der Bereitstellung von IT-Infrastruktur etabliert. Doch die Dominanz der US-amerikanischen Hyperscaler hat viele europ\u00e4ische Unternehmen aber auch Regierungen in eine zunehmend schwierige Lage gebracht. Es geht um die Unabh\u00e4ngigkeit der in Europa ans\u00e4ssigen Organisationen von den Marktf\u00fchrern in den USA sowie den Vorschriften und Praktiken, unter denen diese Unternehmen auch europ\u00e4ische Daten verarbeiten. <\/p>\n Deutschland und Frankreich haben sich nun durch einen neuen Vorsto\u00df vorgenommen, europ\u00e4ische Daten besser zu sch\u00fctzen. Auch die Niederlande stehen als wichtiger Cloud-Standort bereit und in den kommenden Monaten sollen noch weitere L\u00e4nder mit an Bord kommen, um ein neues souver\u00e4nes \u00d6kosystem zu schaffen: Gaia-X. <\/p>\n<\/blockquote>\n Das Projekt Gaia-X ist eine Initiative, die sichere und souver\u00e4ne europ\u00e4ische Dateninfrastruktur bereitstellen soll. Gaia-X soll durch lokale Gesetze reguliert werden und komplett unabh\u00e4ngig von der Rechtsprechung fremder Regionen sein. Und viel wichtiger: Sie soll von europ\u00e4ischen Dienstleistern umgesetzt werden.<\/p>\n Die neue Plattform, so der Plan, soll so einen Gro\u00dfteil der Risiken der Daten\u00fcberwachung beseitigen, die mit den Cloud-Angeboten der derzeitigen Marktf\u00fchrer aus den USA verbunden sind. Diese k\u00f6nnen dann keine Daten mehr an die US-Institutionen \u00fcbermitteln, egal wo sich diese Daten befinden. Es \u00fcberrascht nicht, dass Unternehmen wie Amazon und Microsoft Gaia-X kritisch gegen\u00fcberstehen. Das Wall Street Journal berichtete \u00fcber Stimmen, die bef\u00fcrchten, dass die neue Plattform Datendienste nicht mehr \u00fcber L\u00e4ndergrenzen hinweg leisten k\u00f6nnte. Es ist unwahrscheinlich, dass die US-Anbieter Gaia-X mit offenen Armen empfangen werden.<\/p>\n Der Zeitplan daf\u00fcr ist straff: Von der Dateninfrastruktur, den Data-Warehouses, dem Datenpooling bis hin zur Entwicklung der Dateninteroperabilit\u00e4t soll Gaia-X noch in diesem Jahr realisiert werden. Dies klingt zwar ambitioniert, ist aber durchaus realisierbar. Denn tats\u00e4chlich gibt es l\u00e4ngst lokale, europ\u00e4ische Anbieter, die bereits umsetzen, was Gaia-X verspricht. Es geht also unter anderem darum, die unterschiedlichen Angebote dieser Anbieter technologisch und vermarktungstechnisch unter einem Dach zu vereinen.<\/p>\n Egal, wie die Umsetzung letzten Endes gestaltet werden wird, Leaseweb Deutschland unterst\u00fctzt die Gaia-X-Initiative tatkr\u00e4ftig, um die Schaffung eines europaweiten Cloud-Netzes sicherzustellen. Auch zahlreiche lokale Unternehmen, f\u00fcr die das Risiko der Daten\u00fcberwachung schon lange ein ernstes Problem war, wollen die neue Plattform aktiv unterst\u00fctzen. Generell erwarten wir, dass das Projekt erfolgreich sein und sich das Ergebnis der Initiative positiv auf die Digitalisierung des europ\u00e4ischen Marktes auswirken kann.\"<\/p>\n Die Ausf\u00fchrungen in den letzten Abs\u00e4tzen klingen gut. Allerdings m\u00fcssen manche Anbieter wohl noch einige Hausaufgaben machen. Blog-Leser Lothar wies mich auf diesen VRN-Artikel<\/a> vom 20. Januar 2020 hin (danke daf\u00fcr). <\/p>\n Die Botschaft: Bez\u00fcglich der Absicherung der Daten (gegen Fremdzugriffe), haben deutsche Cloud-Anbieter in der Regel aufgrund ihrer hohen Standards die Nase vorn. Allerdings gab es wohl k\u00fcrzlich eine heftige Panne. bei einer Routinepr\u00fcfung fiel auf, dass einem deutschen Anbieter Kryptografie-Schl\u00fcssel abhanden gekommen sind. Ein solcher Umstand hat zur Folge, dass der Cloud-Anbieter und auch dessen Kunden keinen Zugriff mehr auf bestimmte Dateien haben. Nur Kunden, die beim Anbieter eine kostenpflichtige Backup-Option gebucht hatten, verf\u00fcgen dort noch \u00fcber den Zugriff auf ihre Daten \u2013 eigentlich ein Unding. <\/p>\n Am 21. Januar 2020 hat das BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) den Cloud Computing Compliance Criteria Catalogue (C5) in einer neuen Endversion C5:2020 vorgestellt. Die Aktualisierungen umfassen sowohl die formalen Regelungen als auch insbesondere die Kriterien, die an den aktuellen Stand der Technik angepasst wurden.<\/p>\n \u201eMit der Aktualisierung best\u00e4tigt das BSI, dass sich C5 bei der Pr\u00fcfung von Cloud Diensten bew\u00e4hrt hat\", erl\u00e4utert EuroCloud Direktor Andreas Weiss. \u201eInzwischen ist der C5 auch international etabliert und wird weltweit zum Nachweis von Sicherheit von Cloud-Diensten verwendet.\" Drei Jahre lang haben Cloud-Anbieter, Kunden und Pr\u00fcfer Erfahrung sammeln k\u00f6nnen. Um diese Erfolgsgeschichte fortzusetzen, wurde der C5 in diesem Jahr einer Revision unterzogen, da Cloud-Techniken schnellen Innovationen unterworfen sind. <\/p>\n Den Kriterienkatalog hatte das BSI 2016 ver\u00f6ffentlicht, um eine Basislinie f\u00fcr die Informationssicherheit von Cloud-Diensten zu definieren. Inzwischen wird der C5 besonders von Hyperscalern wie AWS, Microsoft oder Google zum Nachweis von Sicherheit von Cloud-Diensten verwendet. In die \u00dcberarbeitung flossen die Erfahrungen von Cloud-Nutzern, -Anbietern und -Pr\u00fcfern ein. Kernpunkte der \u00dcberarbeitung sind unter anderem die neue Dom\u00e4ne Produktsicherheit, womit die Regelungen des EU Cyber Security Acts adressiert werden, und die Ber\u00fccksichtigung von DevOps. Besonders zu erw\u00e4hnen sind auch die technischen und organisatorischen Anforderungen der DSGVO und die zunehmend notwendige erweiterte Risikobetrachtung beim Einsatz von Cloud Diensten. <\/p>\n Es ist weiterhin vorgesehen, dass die Testierung nach C5 gem\u00e4\u00df C5:2020 qualifizierten Wirtschaftspr\u00fcfungsgesellschaften vorbehalten ist. \u201eAufgrund der Kostenstruktur ist eine breite Anwendbarkeit zurzeit nicht erkennbar. Ob das Verfahren nun auch f\u00fcr mittelst\u00e4ndische Cloud-Anbieter anwendbar wird, bleibt abzuwarten\", gibt Andreas Weiss zu bedenken. Einschr\u00e4nkend wirkt zudem die Tatsache, dass das Verfahren nach ISAE 3000 derzeit nicht akkreditiert ist und beispielsweise Zertifizierungen gem\u00e4\u00df DSGVO damit nicht m\u00f6glich sind. Dennoch ist der Pr\u00fcfkatalog eine wichtige Referenz f\u00fcr aktuelle Projekte, beispielsweise das derzeit in Arbeit befindliche DSGVO Zertifizierungsverfahren AUDITOR. <\/p>\n Diese Kompetenz wird nun auch in die Pr\u00fcfverfahren f\u00fcr die Cloud Dienste im GAIA-X \u00d6kosystem Ber\u00fccksichtigung finden. Das Kompetenznetzwerk Trusted Cloud hat hier die Aufgabe, angemessene Pr\u00fcf- und Anerkennungsverfahren f\u00fcr das Onboarding von Anbietern und Diensten f\u00fcr GAIA-X zu koordinieren.<\/p>\n Ach, noch was: Auch Microsoft hat 10 Empfehlungen f\u00fcr den Cloud-Datenschutz ver\u00f6ffentlicht<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Wie gut ist der Ruf der deutschen Cloud-Branche eigentlich? Einem deutschen Anbieter sind wohl Krypto-Schl\u00fcssel abhanden gekommen und nun sind Daten futsch. Zudem gibt es da noch das Projekt der europ\u00e4ische Cloud Gaia X. zudem hat das BSI seinen C5-Kriterienkatalog … Weiterlesen \n
Gaia X gibt es im Kern bereits <\/h2>\n
\n
Die Datenhoheit steht im Mittelpunkt<\/h3>\n
Gaia-X ist im Kern bereits vorhanden<\/h3>\n
Gaia-X bietet Chance f\u00fcr Europa<\/h3>\n
Die verlorenen Crypto-Schl\u00fcssel<\/h2>\n
EuroCloud: BSI C5 Anforderungs-Katalog Cloud Computing<\/h2>\n
Basislinie f\u00fcr die Informationssicherheit von Cloud Diensten<\/h3>\n<\/p>\n
Zertifizierungen gem\u00e4\u00df DSGVO aktuell noch nicht m\u00f6glich<\/h3>\n<\/p>\n