Fehlende Sicherheitstestate: Cloudanbieter im Zwielicht
Inhalt
Die Regularien für Cloudanbieter, die in Deutschland für Kunden im Gesundheitswesen, in NIS2- und Kritis-Infrastrukturen und zunehmend auch für die öffentliche Hand als externe Dienstleister tätig werden möchten, sind in den letzten Jahren verschärft worden. Inzwischen wird in vielen dieser Bereiche der BSI C5-Standard empfohlen oder ist – wie im Falle des Gesundheitswesens und von Bundesbehörden – gesetzlich sogar vorgeschrieben. Die C5-Spezifikation stellt in ihrer soeben aktualisierten Version C5:2026 den Goldstandard dar, wenn es um die Sicherheit von Clouddienstleistern und die Implementierung von Systemen für Informationssicherheit (ISMS) geht(öffnet im neuen Fenster).
Doch die starke Regulierung hat auch Nachteile: Der Standard wurde unter sehr fragwürdigen Umständen von der global agierenden Wirtschaftsprüfungsgesellschaft Pricewaterhousecoopers entworfen, und es sind ausschließlich Wirtschaftsprüfer zur unabhängigen Testierung von Clouddienstleistern nach der C5-Spezifikation zugelassen.
Dadurch gibt es keinen echten Wettbewerb unter den Testierungsinstanzen, was zu exorbitanten Kosten für die Cloudanbieter führt. Da das C5-Testat zudem fortlaufend – in aller Regel nach zwölf Monaten – erneuert werden muss, fallen permanent hohe Folgekosten für die betroffenen Dienstleister an. Naturgemäß werden dadurch Big-Tech-Oligopole im Vergleich zu kleineren heimischen Unternehmen übervorteilt und die in Europa angestrebte digitale Souveränität wird untergraben.
Diese Problematik hält so manchen Anbieter davon ab, sein Angebot für Kunden aus den entsprechend regulierten Branchen zu bewerben, aber es gibt auch Dienstleister, die versuchen, sich ohne das zwingend benötigte C5-Testat Vorteile zu verschaffen.
Ein besonders eindrückliches Beispiel dafür liefert das in Berlin ansässige Unternehmen Luckycloud GmbH(öffnet im neuen Fenster), das sich – ohne selbst irgendeine relevante offizielle Zertifizierung oder Testierung durchlaufen zu haben – offensiv als Dienstleister auch für Kunden aus dem Gesundheitswesen empfiehlt.
Sicher oder nicht?
Das seit gut zehn Jahren am Markt agierende Unternehmen hat für seine Angebote in Fachmedien vielfach positive Bewertungen erhalten. Hervorgehoben wurde dabei häufig das hohe Sicherheitsniveau des Berliner Anbieters, dessen Infrastruktur größtenteils auf quelloffener Software beruht. Zusätzlich erhielt die Luckycloud GmbH einige Marketing-Auszeichnungen wie den Deutschen Fairness-Preis(öffnet im neuen Fenster), die jedoch keinerlei Rückschlüsse auf die technische Qualifikation eines Anbieters zulassen.
Übersehen wurde bei all den positiven Besprechungen des Dienstes, dass Luckycloud bereits im Jahr 2018 aufgrund von defekter Hardware und einem fehlerhaften Update nach eigenem Eingeständnis nicht nur mit einem längeren partiellen Ausfall des Dienstes zu kämpfen hatte, sondern dadurch auch einige Kunden unwiderrufliche Datenverluste erlitten(öffnet im neuen Fenster).
In diesem Kontext wurden gegen den Berliner Anbieter zusätzlich gravierende Vorwürfe von Kommentatoren laut, er gehe gegen negative Bewertungen in einschlägigen Portalen anwaltlich vor. Außerdem wurde weitere schwerwiegende Kritik am Geschäftsgebaren des Clouddienstleisters geäußert, der nach Aussage einer betroffenen Kundin wohl einen Widerruf eines versehentlich verlängerten Vertrages von einer Löschung einer negativen Bewertung bei Google abhängig machen wollte(öffnet im neuen Fenster).
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.