Cloud-Studie: Zertifizierung als wichtiges Auswahlkriterium

Cloud-Studie: Zertifizierung als wichtiges Auswahlkriterium

Die Wolke ist aus dem IT-Alltag nicht mehr wegzudenken. Eine aktuelle Studie von IDG Research in Zusammenarbeit mit TÜV SÜD beleuchtet das Thema Cloud-Security – und betont, dass Unternehmen bei der Auswahl von entsprechenden Service-Providern sehr genau auf Zertifizierungen achten.

Die Cloud bietet Unternehmen zahlreiche Vorteile und ist nicht zuletzt die Basis für neue, innovative Geschäftsmodelle. Kein Wunder also, dass kaum jemand um die Nutzung entsprechender Services herumkommt. Ein Thema, das die Cloud seit jeher begleitet: Sicherheit. Auch wenn Provider große Summen in den Schutz ihrer Infrastruktur stecken – in einer aktuellen Studie von IDG Research in Zusammenarbeit mit TÜV SÜD gab jedes dritte Unternehmen an, bereits durch einen Angriff auf die Cloud wirtschaftlichen Schaden erlitten zu haben. Nicht zuletzt deshalb spielen bei der Auswahl von Service-Providern Cyber-Security-Zertifizierungen eine große Rolle. Laut Studie sind Zertifizierungen für 83,3 Prozent der befragten IT-Entscheider wichtig. Jeder Dritte erwartet demnach eine Zertifizierung nach ISO/IEC 27701 – die international anerkannte Norm enthält die Anforderungen für das Einführen, Betreiben und die kontinuierliche Verbesserung eines Privacy Information Managementsystems (PIMS). Jeder vierte Befragte fordert von seinem Cloud-Service-Provider ein nach der führenden Informationssicherheits-Norm ISO/IEC 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS). Fast 25 Prozent legen Wert auf ein wirksames IT-Service-Management nach ISO/IEC 20000-1. Auf ein Testat gemäß C5-Kriterienkatalog für Cloud Computing (Cloud Computing Compliance Criteria Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) achten hingegen nur zwölf Prozent. Eine EU-DSGVO-Datenschutz-Zertifizierung würden sich 28 Prozent der Befragten vom Provider wünschen, sobald eine solche verfügbar ist. Das ist bisher nicht der Fall.

Die generell wichtigsten Auswahlkriterien für Unternehmen sind für Cloud-Dienste eine leichte Administration (91 Prozent), gesicherte Kommunikation (89 Prozent) und Sicherheitsfunktionen des Anbieters (88 Prozent).

Betriebsunterbrechungen durch Cloud-Angriffe

In der Studie gab jedes dritte Unternehmen an, in den vergangenen zwölf Monaten bereits von Betriebsunterbrechungen aufgrund einer Attacke auf Cloud-Dienste betroffen gewesen zu sein. Das gilt insbesondere für Unternehmen mit jährlichen IT-Aufwendungen von mehr als zehn Millionen Euro (51 Prozent). Bei Art und Weise des Schadens berichteten 43 Prozent von einer Unterbrechung der Arbeits- und Produktionsprozesse – im gesamten Unternehmen oder in einzelnen Abteilungen. 34 Prozent erlitten einen kompletten Stillstand, 31 Prozent beklagten den Verlust geschäftskritischer Daten, 25 Prozent verzeichneten Umsatzeinbußen und 21 Prozent verloren Kunden. Bei mehr als zehn Prozent hatte ein solcher Vorfall regulatorische Kosten wie die Zahlung von Buß- oder Strafgeldern zur Folge.

Auch wenn es im Rahmen der Cloud immer wieder zu Sicherheitsvorfällen kommt, ist sie bei den meisten Unternehmen klar gesetzt. Denn zu groß sind ihre Vorteile. Wichtig: Wer die Chancen der Cloud nutzen will, muss sich auch mit ihren möglichen Sicherheitsrisiken auseinandersetzen. Und mit einer entsprechenden Zertifizierung demonstrieren Cloud-Anbieter, dass sie dem Thema IT-Sicherheit eine hohe Bedeutung beimessen.

Die Cloud-Security-Studie von IDG Research Services in Zusammenarbeit mit TÜV SÜD und weiteren Partnern wurde im Zeitraum 1. bis 15. März durchgeführt mit 383 Online-Befragungen unter IT-Verantwortlichen von Unternehmen in der DACH-Region, strategischen (IT-)Entscheidern im C-Level-Bereich und IT-Security-Spezialisten.

Vollständige Studie sowie weitere Informationen zu Cyber-Security-Zertifizierungen

Ansprechpartner: Alexander Häußler, Product Compliance Manager ISO / IEC 27001 bei TÜV SÜD Management Service