Die Publikation stützt sich auf Vorarbeiten der ENISA aus dem Jahr 2009, als die Agentur Anweisungen und Werkzeuge für IT-Teams veröffentlichte, um die Sicherheit von Anbietern zu beurteilen, bevor die Entscheidung für eine Cloud getroffen wird. Mit dem neuen Leitfaden geht die ENISA nun einen Schritt weiter: sie erklärt, wie sich die Sicherheit von Cloud-Diensten über die komplette Dauer eines Projektes sicherstellen lässt. Das neue Handbuch konzentriert sich auf öffentliche Beschaffung, die annähernd 20% des Bruttoinlandsprodukts der EU ausmacht, etwa 2,2 Billionen Euro [Quelle: Eurostat 2009].
Professor Udo Helmbrecht, Geschäftsführender Direktor der ENISA, kommentiert: „Die Bürger Europas vertrauen darauf, dass öffentliche und private Institutionen unsere Daten sicher halten. Da immer mehr Organisationen zum Cloud Computing wechseln, gibt die ENISA nun zum richtigen Zeitpunkt die Richtung vor in einem Gebiet, das für viele Beschaffer völliges Neuland ist.“
Wie eine aktuelle Studie der ENISA zu Service-Level-Agreements (SLAs) zeigt, bekommen IT-Verantwortliche in öffentlichen Institutionen kaum Feedback zu wichtigen Sicherheitsfaktoren, wie zum Beispiel die Serviceverfügbarkeit oder Anfälligkeit der Software. Das Handbuch zur sicheren Beschaffung hilft Nutzern, die Sicherheit regelmäßig zu überprüfen. „Der Leitfaden der ENISA stellt die Nutzung von durchgehendem Sicherheitsmonitoring in den Mittelpunkt, in Ergänzung zum Zertifizierungs- und Akkreditierungsprozess,“ sagt Dr. Giles Hogben, Herausgeber des Berichts.
Zum Leitfaden der ENISA gehört auch eine Checkliste für Beschaffungsteams sowie eine detaillierte Beschreibung jedes Sicherheitsparameters, was zu messen ist und wie. Die relevanten Sicherheitsparameter sind: Serviceverfügbarkeit, Reaktionsfähigkeit auf Zwischenfälle, Serviceflexibilität und Lasttoleranz, Data Lifecycle Management, Management von Nutzungsvereinbarkeit und Verletzbarkeit, Change Management, Datenisolierung sowie Log-Management und Forensik.
Dieser Leitfaden ergänzt eine Reihe von Texten zur Cloud-Sicherheit, die die ENISA bereits veröffentlicht hat, darunter der weit verbreitete Bericht Cloud Computing: Vorteile, Risiken und Empfehlungen für die Informationssicherheit.
