News

19.12.2011

Strittige Werbung über Cloud-Sicherheit

In einer aktuellen Mitteilung führt Microsoft an, sein Büro-Webdienst Office 365 stehe als einziger in Einklang mit den maßgeblichen EU- und US-Standards für Datenschutz und -Sicherheit. Mitbewerber Google sieht das anders. Darüber hinaus stellt sich die Frage, wie gut sich die Datenschutzbedürfnisse eines Unternehmens überhaupt mit den bestehenden Normen abgleichen lassen.

Im April hatte sich der Windows-Konzern noch damit begnügt, den Mitbewerber Google der Irreführung seiner Kunden zu bezichtigen, weil er die Zertifizierung einer Dienste nach US-Standards etwas zu vollmundig vermarktete, während man dieselbe Bescheinigung hinsichtlich des US-amerikanischen FISMA (Federal Information Security Management Act, PDF-Datei) in Redmond noch gar nicht im Kasten hatte.

Im Juni musste ein Microsoft-Sprecher einräumen, dass US-Behördern ungeachtet aller zertifizierten Norm-Konformitäten vorbei an europäischen Kontrollinstanzen sogar auf Daten in europäischen Microsoft-Rechenzentren zugreifen könnten – ähnlich wie bei Google. Nach erwartungsgemäßen Verunsicherungen dies- und jenseits des Atlantik ist Microsoft Anfang Dezember in die Offensive gegangen und kündigte an, die Vertragsbedingungen seiner Services an die in Deutschland erarbeitete Orientierungshilfe – Cloud Computing anzupassen.

Das daraus abgeleitete, eingangs erwähnte Werbeargument erntet freilich beim Konkurrenten Google keine Zustimmung: Auf Anfrage von heise online erklärte das Unternehmen, die von Microsoft angeführten Zertifikate seien gar nicht im Hinblick auf Cloud-Infrastruktur konzipiert worden und vermittelten nur einen Teil der Wahrheit. Google habe zwar selbst einige wichtige Zertifikate erlangt, derweil aber seine eigene Sicherheitstechnik speziell fürs Cloud-Computing entwickelt. Zum Anderen entsprächen viele Anforderungen der europäischen Sicherheits-Norm ISO 27001 dem von Google befolgten FISMA.

Zur genannten Orientierungshilfe hörten wir nichts von Google. In einem Punkt ist man sich offenbar aber mit Microsoft einig: Für die Auditierung eines Rechenzentrums baut man vorzugsweise gemäß diesem Papier auf die stellvertretende Prüfung von Rechenzentren durch akkreditierte Auditoren. Bislang räumen viele Service-Verträge jedem Kunden eines Rechenzentrums ein individuelles Prüfungsrecht ein.

Quelle: Heisse 19.12.2011 15:30