Netzpolitik
17.01.2014

EU: Cloud-Computing-Vorfälle werden unzureichend gemeldet

Die EU-Agentur für Netz-und Informationssicherheit ENISA berät, wie mit IT-Vorfällen im Bereich Cloud Computing umgegangen werden soll.

Wie die ENISA angibt, sei eines der größten Sicherheitsproblematiken bei Cloud Computing, dass Sicherheitsvorfälle kaum oder unzureichend gemeldet werden. So wurden vier verschiedene Cloud-Computing-Szenarien untersucht und unter Einbeziehung der Cloud-Anbieter, Kunden, Betreiber kritischer Infrastrukturen sowie Behörden beraten, wie effektive Incident-Reporting-Systeme aussehen könnten.

Dabei wurde festgestellt, dass es in den meisten EU-Mitgliedsstaaten keine nationale Behörde gibt, um die Kritikalität von Cloud-Dienstleistungen zu beurteilen. Erschwerend komme hinzu, dass Cloud-Dienste oft auf anderen Cloud-Dienstleistungen basieren, was die Komplexität erhöhe. Cloud-Kunden setzen außerdem oft keine Incident-Reporting-Regelungen in ihren Cloud-Service-Verträgen fest.

Die ENISA gibt einige Empfehlungen ab, wie man die Situation in Zukunft verbessern könnte. So werden Rechtsvorschriften gefordert, im Rahmen derer man über sicherheitsrelevante Zwischenfälle berichten muss. Besonders Regierungsbehörden und Betreiber kritischer Sektoren sollten Pflichten im Bereich des Incident Reportings darüber hinaus bei Auftragsvergaben thematisieren. Cloud-Anbieter sollten laut der EU-Agentur außerdem den Weg weisen und effiziente und effektive, freiwillige Berichterstattungssysteme einrichten.

Der vollständige Report kann online abgerufen werden.