Hinweise zur Suche mit Platzhaltern: "+" Plus: Sucht gleichzeitig mehrere Begriffe innerhalb eines Beitrags "*" Sternchen: Es wird nach Begriffen gesucht, die den Wortanfang, bzw. dem Wortende entsprechen. " "" " Anführungszeichen: Sucht genau nach den eingegebenen Begriff(en) zwischen den Anführungszeichen

Allgemeine Fragen zu Trusted Cloud

Accordion Element
Headline
Wer steht hinter Trusted Cloud?
Text

Das Bundesministerium für Wirtschaft und Energie hat die Schirmherrschaft für Trusted Cloud übernommen. Verantwortlich für den Aufbau und die Weiterentwicklung der Trusted Cloud-Plattform, des Labels für Cloud Services und das Directory für Dienstleister ist der Verein Kompetenznetzwerk Trusted Cloud. Die konzeptionelle Entwicklung und Umsetzung der Trusted Cloud-Plattform, -Organisation und des Labels wurde durch Capgemini, ergänzt durch ]init[ für die Entwicklung und den Betrieb des Trusted Cloud-Internetauftritts, realisiert.

Headline
Gibt es die Informationen zu Trusted Cloud auch in Englisch?
Text

Der Trusted Cloud-Kriterienkatalog Version 1.1 für Cloud Services steht sowohl englischer als auch französischer Übersetzung zur Verfügung. Am 31. Mai 2018 wurde der Trusted Cloud-Kriterienkatalog Version 2.0 für Cloud Services mit Anpassungen an die EU-DSGVO veröffentlicht. Die Version 2.0 steht Ihnen in der englischen Übersetzung zur Verfügung. Die Übersetzungen des Kriterienkatalogs finden Sie hier. Es steht zudem eine englischsprachige und eine französischsprachige Kurzversion des Online-Portals zur Verfügung. Darüber hinaus bietet eine englischsprachige Präsentation zu Trusted Cloud, die im Rahmen der CeBIT 2016 vorgestellt wurde, einen ersten Überblick in englischer Sprache. Die Präsentation finden Sie hier.

Headline
Was kostet eine Mitgliedschaft in dem Verein Kompetenznetzwerk Trusted Cloud?
Text

Zur Mitgliedschaft im Kompetenznetzwerk Trusted Cloud e. V. finden Sie die Basisinformationen im Flyer zum Verein. Für weitere Informationen steht Ihnen der Verein unter geschaeftsstelle@trusted-cloud.de zur Verfügung.

Headline
Mit welchen Maßnahmen steigert Trusted Cloud seinen Bekanntheitsgrad?
Text

Trusted Cloud betreibt aktive Presse- und Öffentlichkeitsarbeit. So sind bisher unter anderem in der FAZ, iX dem Magazin für professionelle Informationstechnik, der Computerwoche, dem Behörden Spiegel und dem +3 Magazin der Süddeutschen Zeitung Artikel erschienen. Darüber hinaus war Trusted Cloud auf der CeBIT in den Jahren 2016 und 2017 am Stand des Bundesministeriums für Wirtschaft und Energie vertreten und ist auf zahlreichen Veranstaltungen, wie zum Beispiel dem nationalen IT Gipfel, (siehe hierzu Terminankündigungen unter Aktuelles) präsent. Ebenso wurde im Zusammenhang mit der CeBIT 2016 eine Marketingkampagne u. a. in Twitter, Xing und LinkedIn sowie mittels Google AdWords durchgeführt. Darüber hinaus hat Trusted Cloud gemeinsam mit gelisteten Cloud Service-Anbietern und Cloud-Dienstleistern  im Dezember 2017 eine Sonderbeilage in der IT-Mittelstand und eine Subnet-Site bei IT-Zoom veröffentlicht. Weitere Kommunikationsmaßnahmen sind in Planung.

Headline
Wie unterscheidet sich das Trusted Cloud Label von C5 und TCDP?
Text

Kategorie

Trusted Cloud

Cloud Computing Compliance Controls Catalogue (C5)

Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP)

Initiator

Bundesministerium für Wirtschaft und Energie (BMWi)

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Bundesministerium für Wirtschaft und Energie (BMWi)

Herausgeber

Kompetenznetzwerk Trusted Cloud e. V. (KNTC)

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Stiftung Datenschutz

Link zu weiteren Informationen

Trusted Cloud

BSI

TCDP

Zielsetzung

Schaffung von Transparenz und Vertrauen in Cloud-Technologien mit einem Fokus auf die Anforderungen des deutschen Mittelstandes:

  • durch das Label Trusted Cloud für geprüfte Cloud-Anwendungen,
  • durch den Transfer von anwenderorientiert, aufbereitetem Wissen rund um Cloud Computing.

Festlegung einer Basislinie für Cloud Security, um die Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten zu gewährleisten.

Schaffung von Transparenz zu den Rahmenbedingungen (Umfeldparameter) und beim Audit.

Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes  (BDSG) an die Auftragsdatenverwaltung entspricht. Anbieter und Nutzer von Cloud-Diensten profitieren gleichermaßen von der Prüfung und Zertifizierung durch akkreditierte, fachkundige Stellen.

Zielgruppe

Schwerpunkt sind kleine und mittlere Unternehmen. Dabei werden sowohl Cloud-Anbieter als auch Cloud-Nutzer adressiert. Jedoch ist Trusted Cloud nicht auf diese Zielgruppe beschränkt.

In erster Linie richtet sich C5 an mittelgroße und große Cloud-Anbieter und deren Kunden sowie an Wirtschaftsprüfer und Auditoren.

Große Anbieter von Cloud-Lösungen. Darüber hinaus richtet sich TCDP an Anbieter von Prüfungen und Zertifizierungen, die sich nach TCDP akkreditieren lassen und dann Dienste nach den Regeln der Verfahrensordnung prüfen und zertifizieren können.

Prüfungsgegenstand

Übergreifende Kriterien:

Der Trusted Cloud Kriterienkatalog befasst sich mit übergreifenden Anforderungen an einen Cloud-Service, die die gesamte Dienstleistungsbereitstellung abdecken (Vertragsabschluss bis Vertragsbeendigung). Er gliedert sich in zehn Kriteriengruppen, die u. a. die Prüfung von Angaben über die Vertragsgestaltung, die Servicebereitstellung, Zertifikate, Sicherheit, Compliance und die Interoperabilität zum Inhalt haben. Vor allem Anforderungen des Mittelstandes, wie der Vertragsschluss nach deutschem Vertragsrecht und die Lokation des Rechenzentrums in Deutschland bzw. der EU, sind dabei wichtige Mindestanforderungen. Weiterhin sind wichtige Sicherheitsstandards wie ISO/IEC 27001 eingeflossen.

Primär IT-Sicherheit:

C5 ist in 17 thematische Bereiche (z. B. Organisation der Informationssicherheit, physische Sicherheit) unterteilt. Es orientiert sich an anerkannten Sicherheitsstandards wie ISO/IEC 27001, der Cloud Controls Matrix, der Cloud Security Alliance sowie BSI-Veröffentlichungen.

Zusätzlich geben die sogenannten Umfeldparameter Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen und enthalten eine Systembeschreibung.

Primär IT-Datenschutz:

Im Rahmen der TCDP Zertifizierung werden sogenannte Schutzklassen geprüft. Diese orientieren sich an § 9 Bundesdatenschutzgesetz (BDSG), wonach eine verantwortliche Stelle einen angemessenen Schutz für die konkrete, von ihm vorgenommene Datenverarbeitung gewährleisten muss.

Das TCDP differenziert Schutzanforderungen aus Sicht des Nutzers. Die Prüfung erfolgt auf Grundlage von 37 definierten Kriterien. Dabei wird das Vorliegen der Voraussetzungen in Hinsicht auf die beantragte Schutzklasse und das Wiederherstellbarkeitsniveau bewertet.

Die Schutzklassen spiegeln die zu erreichenden Schutzzwecke wider. Zertifikate nach TCDP werden deshalb ausdrücklich für eine spezielle Schutzklasse erteilt. Dies stellt eine wesentliche Besonderheit des TCDP gegenüber anderen Normen dar.

Audit-Verfahren

Ein unabhängiger Auditor prüft die Einhaltung von 163 Kriterien auf Basis einer Selbstauskunft des Anbieters. Das Votum des Auditors muss durch den unabhängigen Beirat mit fünf Vertretern aus Wirtschaft, Wissenschaft und Verwaltung bestätigt werden.

Ein Wirtschaftsprüfer erteilt nach international (ISAE 3000) oder national (IDW PS 951) anerkannten Verfahren ein Testat für die betrachteten Cloud-Dienste. Dieses Testat (s. u. für Details) adressiert die Angemessenheit des Designs der umgesetzten Maßnahmen und zusätzlich deren Wirksamkeit innerhalb des Prüfzeitraums.

Von TCDP anerkannte, unabhängige Prüf- sowie Zertifizierungsstellen erstellen einen Prüfbericht, der an die Zertifizierungsstelle übergeben wird. Nach Übergabe des Prüfberichts bewertet die Zertifizierungsstelle die Ergebnisse der Prüfung. Dabei wird das Vorliegen der Voraussetzungen in Hinsicht auf die beantragte Schutzklasse und das Wiederherstellbarkeitsniveau bewertet. Sind die erforderlichen Voraussetzungen erfüllt, erteilt die Zertifizierungsstelle das Zertifikat.

Vor-Ort-Audits

Vertraglich geregelt

Erforderlich

Erforderlich

Zertifikat/Testat

Das Zertifikat bestätigt, dass der betreffende Cloud Service die Mindestanforderungen des Kriterienkatalogs erfüllt.

Weiterhin veröffentlicht Trusted Cloud auf seiner Website eine entlang der Trusted Cloud-Kriterien detaillierte Übersicht über den jeweiligen Service.

 

Das von einem Wirtschaftsprüfer ausgestellte Testat zeigt, dass der Cloud-Anbieter alle Anforderungen des C5 einhält und die Aussagen zur Transparenz korrekt sind. Zum Testat gehört ein Audit-Bericht nach ISAE 3000 oder SOC 2 (Typ II). Dieser wird dem Cloud-Kunden zur Verfügung gestellt, damit er die Ergebnisse nachvollziehen kann und ihn als Input für das eigene Risikomanagement nutzt.

Das Zertifikat weist nach, dass ein Dienst die gesetzlichen Anforderungen an die Einhaltung des Bundesdatenschutzgesetzes (BDSG) bezüglich der Auftragsdatenverwaltung erfüllt.

Sonstiges

Trusted Cloud bietet auch Anbietern von Beratungsdienstleistungen im Cloud-Umfeld, die Möglichkeit auf der Trusted Cloud Website gelistet zu werden.

 

TCDP bietet zertifizierten Diensten die Möglichkeit auf der TCDP-Website gelistet zu werden.