„Salesforce nimmt Sicherheit, Datenschutz und Compliance sehr ernst.“
Salesforce erhält von TÜV Rheinland das „Certified Cloud Service“-Zertifikat. Unsere Blogredaktion hat mit Hendrik A. Reese von TÜV Rheinland darüber gesprochen
Als erster global agierender Cloud Provider hat sich Salesforce der Zertifizierung „Certified Cloud Service“ durch TÜV Rheinland und damit einer eingehenden Prüfung unterzogen. Die diesem Zertifikat zugrundeliegenden Anforderungen gelten zurzeit als die international umfassendsten, wenn es um Sicherheit, Qualität und Compliance in der Cloud geht. Hendrik A. Reese, Experte für Cloud Computing bei TÜV Rheinland, hat den Anforderungskatalog maßgeblich mitentwickelt. Unsere Blogredaktion hat den Experten gefragt, was genau hinter der Zertifizierung steckt und wie Unternehmen, die Cloud-Services nutzen oder den Einsatz von Cloud-Services derzeit planen, davon profitieren.
Hendrik A. Reese, TÜV Rheinland, im Interview
Frage: Was hat TÜV Rheinland bei Salesforce geprüft?
Hendrik Reese: Wir haben die Services, die auf der Force.com Plattform basieren, mit dem Schwerpunkt auf Umsetzung von Sicherheitsmaßnahmen und Prozessen für den Datenschutz geprüft. Dazu zählen die grundlegende Force.com-Plattform sowie die darauf aufbauenden Services wie Sales Cloud als bekannteste Salesforce Lösung, aber auch Service Cloud, Chatter, Analytics Cloud und Communities. Bei der Prüfung haben wir uns auf die Sicherheitsziele konzentriert, die sich aus § 9 des Bundesdatenschutzgesetzes beziehungsweise Artikel 17 der EU-Datenschutzrichtlinie ergeben. Unsere Leitfragen lauteten:
- Welche Maßnahmen hat Salesforce allgemein implementiert, um den Datenschutz zu gewährleisten?
- Welches Compliance-Management hat Salesforce in seiner Organisation etabliert, um seine Verpflichtungen dem Kunden gegenüber konsistent einzuhalten?
- Welche Maßnahmen trifft Salesforce in der Architektur und Implementierung der geprüften Services, um die entsprechende Sicherheit in punkto Datenschutz für seine Kunden zu gewährleisten?
Vor-Ort-Analyse im Salesforce Headquarter in San Francisco
Diese drei Aspekte haben wir gemäß unserem Anforderungskatalog für das Prüfsiegel „Certified Cloud Service“ geprüft. Bei der Untersuchung wurden verschiedene Verfahren angewendet. Zum einen haben wir bereits vorhandene Zertifizierungen und Berichte, zum Beispiel aus dem Umfeld der ISO 27001 oder auch SOC Reports, berücksichtigt, um herauszufinden, inwieweit Salesforce unsere Zertifizierungsanforderungen schon erfüllt. Hier waren viele Voraussetzungen gegeben.
Zum anderen haben wir im Salesforce Headquarter in San Francisco Interviews mit den Ansprechpartnern aus dem Compliance Team des Unternehmens geführt. In diesem Rahmen haben wir die Architektur und die Sicherheitsmaßnahmen unter die Lupe genommen und dann stichprobenartig die Sicherheit bis hinein in die Systemebene – etwa die Konfigurationen auf den Applikations-Servern – überprüft und getestet.
Einzigartiger Stresstest: Salesforce Cloud auf Herz und Nieren geprüft
Darüber hinaus haben wir mit Hilfe versierter und erfahrener Security Analysts eine externe Sicherheitsanalyse vorgenommen, um die Wirksamkeit der von Salesforce ergriffenen Maßnahmen zu überprüfen. Wir wollten herausfinden: Lassen sich die Services von Salesforce, die ja über das Internet erbracht werden, kompromittieren? Dieser „Stresstest“ ist ein absolutes Qualitätsmerkmal des Prüfverfahrens „Certified Cloud Service“. Kein anderes Zertifikat für Cloud-Services erfordert das in dieser Form. Bei Salesforce haben wir festgestellt: Die technische Qualität ist sehr gut implementiert. Dieser Eindruck verfestigte sich während des kompletten Audits bei allen Prüfern – von den Experten für Datenschutz und Prozesse bis hin zu unseren Security Analysts. Salesforce nimmt Sicherheit, Datenschutz und Compliance sehr ernst.
Frage: Wo kann man den Prüfkatalog des „Certified Cloud Service“ nachschlagen?
Hendrik Reese: Wer mehr wissen möchte: Über das Prüfsiegel und die ID-Nummer können Nutzer auf Certipedia (www.certipedia.de) genau nachvollziehen, was wir im Einzelnen geprüft haben. TÜV Rheinland legt sehr viel Wert auf die Qualität der Prüfung, aber auch darauf, dass die Prüfaussage transparent ist.
Kunden können sicher sein: Salesforce erfüllt deutsche Datenschutzrichtlinien
Frage: Was bedeutet das Siegel „Certified Cloud Service“ für Salesforce-Kunden?
Hendrik Reese: Es gibt inzwischen eine ganze Reihe von Anbietern für Cloud Services und auch eine ganze Reihe von Prüfsiegeln. Als führender Standard mit Blick auf Qualität und Sicherheit ist der „Certified Cloud Service“ für Cloud-nutzende Unternehmen und insbesondere für deren Datenschutzbeauftragte eine hilfreiche Orientierung, wenn es darum geht, Cloud-Services auszuwählen, die das Thema Datenschutz besonders ernst nehmen. Die Kunden können darauf vertrauen, dass eine unabhängige Prüforganisation Salesforce darauf geprüft hat, ob die gesetzlichen Vorgaben in Bezug auf den Datenschutz, die in Deutschland gelten, eingehalten werden. Wie eine Zertifizierung die Prüfung aus Datenschutzsicht für Cloud nutzende Unternehmen erleichtern kann, erläutert auch die Website des Bundesamts für Sicherheit in der Informationstechnik.
Certified Cloud Service: Mehr als eine Dokumentenprüfung
Frage: Welche Bedenken werden durch das Prüfsiegel ausgeräumt?
Hendrik Reese: Wir leben in einer Welt, in der IT und IT-Landschaften immer komplexer werden. Ein Beispiel dafür sind die Multisourcing-Modelle, in denen Cloud-Nutzer leben. Andererseits nehmen gezielte Angriffe auf Unternehmen, auf Organisationen oder Cloud-Provider zu. Das ist kein Grund, den Kopf in den Sand zu stecken. Es geht vielmehr darum, die richtigen Mechanismen zu finden, um den Gefahren und Komplexitäten der heutigen Zeit zu begegnen. TÜV Rheinland prüft die Widerstandsfähigkeit von Cloud Services gegen Cyber-Attacken sehr tief und umfangreich. Unsere Auditoren beschränken sich nicht auf die Dokumentenprüfung, uns interessiert auch die technische Umsetzung der Sicherheit und die Prozesse, die dahinter stehen – bis hin zum Notfallmanagement. Deshalb können wir guten Gewissens und selbstbewusst sagen: Cloud-Provider, die von uns das Siegel „Certified Cloud Service“ erhalten haben, bei denen sind Daten gut aufgehoben.
Frage: Wird es bald einen einheitlichen Cloud-Standard in Deutschland respektive Europa geben?
Hendrik Reese: Aktuell gibt es mehrere Siegel unterschiedlichster Qualität am Markt, sowohl national wie international. Es dürfte schwierig sein, hier eine Standardisierung zu erreichen. Der Standard von TÜV Rheinland zählt zu denen, die die European Union Agency for Network and Information Security ENISA als eine der wenigen überhaupt listet. Wir werden an unserem Prüfniveau jedenfalls keine Abstriche akzeptieren, denn wir sind der Meinung, dass unsere Anforderungen genau richtig sind.
Blogredaktion: Herr Reese, wir danken Ihnen für dieses Gespräch!
