Die Wahl des Cloud-Anbieters ist eine strategische Sicherheitsentscheidung. Zertifizierungen, Datenspeicherort, Transparenz und Exit-Strategien sind zentrale Bewertungskriterien. Dieser Artikel gibt ein strukturiertes Bewertungsframework.
Welche Sicherheitszertifizierungen sollte ein Cloud-Anbieter haben
Mindestanforderungen an Zertifizierungen: ISO 27001 (Basis, sollte Standard sein), ISO 27017 (Cloud-spezifisch), ISO 27018 (personenbezogene Daten), SOC 2 Type II (operationale Kontrollen über Zeit). Deutschland-spezifisch: BSI C5-Testat (für regulierte Branchen und KRITIS empfohlen). EUCS (EU Cloud Security Scheme): in Entwicklung, wird künftig wichtig.
Wie prüft man den Datenspeicherort und die Datenhoheit
Datenspeicherort-Prüfung: wo werden Daten physisch gespeichert (Rechenzentrum-Standort)? Welche Subunternehmer verarbeiten Daten? Kann Anbieter auf Daten zugreifen (z.B. für US-Behörden nach CLOUD Act)? Für DSGVO-Compliance: EU/EWR-Speicherort oder angemessene Garantien (Standardvertragsklauseln). AVV (Auftragsverarbeitungsvertrag) zwingend abschließen.
Was sind wichtige vertragliche Sicherheitsanforderungen
Vertragliche Mindestanforderungen: SLA mit Verfügbarkeitsgarantien und Kompensation, Sicherheits-Incident-Notification (wann und wie informiert Anbieter?), Auditrechte (darf man eigene Audits durchführen oder muss man Zertifikate akzeptieren?), Datenlöschpflicht bei Vertragsende, Exit-Klauseln (Datenexport-Format, Übergangsfristen), Unterlizenzierungsverbot ohne Zustimmung.
Wie bewertet man das Konzentrationsrisiko bei Cloud-Anbietern
Konzentrationsrisiko: wenn kritische Systeme alle beim selben Anbieter laufen — Ausfall oder Kündigung trifft gesamte Infrastruktur. DORA schreibt explizit Konzentrationsrisiko-Bewertung vor. Bewertungskriterien: wie viele kritische Systeme beim Anbieter, welche Alternativen gibt es, wie lange dauert Migration, ist Datenportabilität sichergestellt (kein Vendor Lock-in)?
Wie führt man ein Cloud-Anbieter-Assessment durch
Cloud-Assessment-Prozess: Anforderungskatalog erstellen (Sicherheit, Compliance, technisch), Zertifikate und Berichte anfordern (ISO-Zertifikat, C5-Testat, SOC-2-Report), Fragebogen senden (CAIQ — Cloud Security Alliance Questionnaire), Vertrag rechtlich prüfen lassen, Referenzgespräche mit bestehenden Kunden, Proof of Concept für technische Eignung. Ergebnis dokumentieren.
✓ Checkliste: Wie bewertet man Cloud-Anbieter aus Sicherheitssicht?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Wie bewertet man Cloud-Anbieter aus Sicherheitssicht? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Mindestanforderungen an Zertifizierungen: ISO 27001 (Basis, sollte Standard sein), ISO 27017 (Cloud-spezifisch), ISO 27018 (personenbezogene Daten), SOC 2 Type II (operationale Kontrollen über Zeit). Deutschland-spezifisch: BSI C5-Testat (für regulierte Branchen und KRITIS empfohlen). EUCS (EU Cloud Security Scheme): in Entwicklung, wird künftig wichtig.
Datenspeicherort-Prüfung: wo werden Daten physisch gespeichert (Rechenzentrum-Standort)? Welche Subunternehmer verarbeiten Daten? Kann Anbieter auf Daten zugreifen (z.B. für US-Behörden nach CLOUD Act)? Für DSGVO-Compliance: EU/EWR-Speicherort oder angemessene Garantien (Standardvertragsklauseln). AVV (Auftragsverarbeitungsvertrag) zwingend abschließen.
Vertragliche Mindestanforderungen: SLA mit Verfügbarkeitsgarantien und Kompensation, Sicherheits-Incident-Notification (wann und wie informiert Anbieter?), Auditrechte (darf man eigene Audits durchführen oder muss man Zertifikate akzeptieren?), Datenlöschpflicht bei Vertragsende, Exit-Klauseln (Datenexport-Format, Übergangsfristen), Unterlizenzierungsverbot ohne Zustimmung.
Konzentrationsrisiko: wenn kritische Systeme alle beim selben Anbieter laufen — Ausfall oder Kündigung trifft gesamte Infrastruktur. DORA schreibt explizit Konzentrationsrisiko-Bewertung vor. Bewertungskriterien: wie viele kritische Systeme beim Anbieter, welche Alternativen gibt es, wie lange dauert Migration, ist Datenportabilität sichergestellt (kein Vendor Lock-in)?
Cloud-Assessment-Prozess: Anforderungskatalog erstellen (Sicherheit, Compliance, technisch), Zertifikate und Berichte anfordern (ISO-Zertifikat, C5-Testat, SOC-2-Report), Fragebogen senden (CAIQ — Cloud Security Alliance Questionnaire), Vertrag rechtlich prüfen lassen, Referenzgespräche mit bestehenden Kunden, Proof of Concept für technische Eignung. Ergebnis dokumentieren.