Vor einer symbolhaften Wolke prangt ein geschlossenes Sicherheitsschloss über einer Computerplatine.
Cloud & Hosting

Cloud Security Alliance (CSA): Das steckt dahinter

2024 liegt der Umsatz auf dem Cloud-Sicherheits-Markt laut Prognosen bei circa 499,7 Millionen Euro – allein in Europa. Es geht um immer größere Mengen an sensiblen Daten in der Cloud. Die Angriffe von Cyberkriminellen nehmen immer mehr zu, ebenso wie die gesetzlichen Sicherheitsvorgaben. Die Sicherheits- und Compliance-Anforderungen an Unternehmen sind also hoch, die Kosten leider auch. Dabei gibt es kostengünstige Wege, um sicherzustellen, dass Ihre Daten in der Unternehmens-Cloud sicher sind: mit der Expertise der Cloud Security Alliance.

Um Cloud-Computing kommt kaum ein Unternehmen herum. Ob Sie ganze Rechenzentren in die Cloud auslagern oder lediglich auf einzelne Ressourcen oder Managed Services setzen: Bereits 2022 nutzten rund 84 Prozent der deutschen Firmen Anwendungen in der Cloud – Tendenz steigend.

Und wahrscheinlich stellen auch Sie sich die Frage: Wie sicher sind Ihre Daten in der Cloud wirklich? Funktioniert die Cloud-Security-Strategie Ihres Cloud-Anbieters? Damit Sie Antworten auf diese Fragen erhalten, bietet die Cloud Security Alliance (CSA) eine Vielzahl an Services an. Wir stellen die CSA vor und zeigen Ihnen, wie Ihr Unternehmen von den Services profitieren kann.

Inhaltsverzeichnis

Was ist die Cloud Security Alliance?

Die Cloud Security Alliance (CSA) ist eine 2008 gegründete und weltweit agierende Non-Profit-Organisation mit Sitz im US-Bundesstaat Nevada. Das Ziel der CSA ist es, die Sicherheit von Cloud-Technologien, Cloud-Umgebungen und Cloud-Services zu fördern.
Ihre Angebote richten sich an Unternehmen, Cloud-Anbieter und Einzelpersonen. Sie umfassen unter anderem:
  • Best Practices für die Cloud-Sicherheit
  • Informationsmaterial in Form von Whitepapers
  • Die Herausgabe von Richtlinien
  • Die Entwicklung und Bereitstellung von Tools
Darüber hinaus initiiert die Cloud Security Alliance Forschungen, bietet Schulungen und Zertifikate für ihre Mitglieder an. Führende Mitglieder der CSA sind unter anderem die Tech-Giganten Microsoft, Google, Oracle und IBM. Weltweit umfasst das Netzwerk der Cloud Security Alliance etwa 90.000 Mitglieder, 80 Niederlassungen und 400 Organisationen verschiedener Branchen.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

So unterstützt die CSA Unternehmen

Unternehmen haben die Möglichkeit, eine Mitgliedschaft in der Cloud Security Alliance zu beantragen. Anschließend können Sie die Angebote der CSA in Anspruch nehmen, um mögliche Cloud-Sicherheitsprobleme zu lösen.
Die CSA unterstützt Unternehmen in folgenden Punkten:
  • Personalmangel oder fehlende Cloud-Security-Expertise im Unternehmen ausgleichen
  • Kontroll-Rahmenwerke erstellen, um neue Technologien und Gesetze abzudecken
  • Effektives Risikomanagement implementieren, trotz limitierter Ressourcen
  • Digitale Transformation mit einer passgenauen Cloud-Security-Strategie vorantreiben
  • Sicherstellen, dass sich Lieferanten und Geschäftspartner an die Sicherheitsrichtlinien halten
  • Business-Risiken gegenüber Führungskräften und der Unternehmensspitze kommunizieren

So unterstützt die CSA Cloud-Service-Provider

Anbieter von Cloud-Lösungen und -Serviceprodukten können von einer Mitgliedschaft bei der Cloud Security Alliance profitieren. Cloud-Provider können beispielsweise das CSA-Symbol nutzen, um damit ihre Cybersecurity-Kompetenz zu unterstreichen und mehr Sichtbarkeit im internationalen Wettbewerb zu erlangen.
Die CSA hilft Cloud-Service-Providern unter anderem dabei,
  • die eigene Marke am globalen Markt zu positionieren und zu präsentieren,
  • die Herausforderungen für Kunden bezüglich der Cloud zu verstehen,
  • Netzwerke aufzubauen und Bewusstsein für die eigenen Marke zu schaffen,
  • Vertrauen zu potenziellen Kunden aufzubauen und
  • Aufwände im Vertriebskreislauf zu reduzieren.

Mit CSA STAR den passenden Cloud-Anbieter finden

Kernstück der CSA-Services ist die STAR-Plattform. „STAR“ steht für „Security, Trust, Assurance and Risk“ (zu Deutsch: „Sicherheit, Vertrauen, Versicherung und Risiko“). Es handelt sich um eine Datenbank, in die sich Cloud-Anbieter eintragen lassen können. Jeder Eintrag enthält ein oder mehrere Zertifikate über die Datenschutz- und Sicherheitskontrollen des jeweiligen Cloud-Providers.
In der CSA STAR-Datenbank können Sie also herausfinden, welcher Cloud-Anbieter welche Sicherheitsstandards erfüllt – und ob er zu Ihrem Unternehmen passt. Genauso können Sie Ihren bestehenden Cloud-Anbieter in der CSA STAR-Datenbank aufrufen. Hat Ihr Cloud-Provider noch keinen Eintrag in dieser Datenbank, können Sie ihn direkt oder über die CSA-Website darum bitten, das nachzuholen.
  • Grundlage für die Zertifizierung der Cloud-Anbieter sind zwei Dokumente: die sogenannte Cloud Controls Matrix (CCM) und der Consensus Assessments Initiative Questionnaire (CAIQ). Die CCM ist ein Cybersicherheits-Rahmenwerk für Cloud-Computing. Es besteht aus 197 Kontrollzielen unterteilt in 17 Bereiche, um die gesamte Bandbreite von Cloud-Technologien abzudecken. Die Matrix orientiert sich an der CSA Security Guidance for Cloud Computing. Sie stellt derzeit den Standard für Cloud-Security und Compliance dar.
  • Der CAIQ ist ein branchenweit akzeptierter Sicherheitsfragebogen für Cloud-Anbieter. Er enthält Fragen rund um die Sicherheit der angebotenen Services. Mit ihren Antworten können Cloud-Anbieter transparent darstellen, welche Sicherheitsmaßnahmen sie ergreifen – und inwiefern diese den Anforderungen der CCM entsprechen.
Ein Mann im roten Shirt blickt lächelnd auf ein Tablet

Secure Access Gateway mit Zscaler

Unsere Security-as-a-Service-Funktion für umfassenden Schutz. Durch die Kombination der Sicherheitsfunktionen von Zscaler mit unseren sicheren Netzwerkdiensten ersetzen Sie herkömmliche Inbound- und Outbound-Gateways durch moderne, cloudbasierte Services.

  • Zscaler sichert als Web Security Gateway den Internetzugang über jede Verbindung.
  • Zscaler Private Access ermöglicht als Remote-Access-Lösung den Zugriff auf interne Applikationen On-Premises und in der Cloud.
Cloud-Anbieter, die sich in der CSA STAR-Datenbank registrieren, haben die Wahl zwischen drei Leveln der Zertifizierung.

STAR Level 1: Self Assessment

Mit einer kostenlosen Level-1-Registrierung können Cloud-Anbieter den Consensus-Assessments-Initiative-Fragebogen ausfüllen und bei der CSA einreichen. Die ausgefüllten Fragebögen werden geprüft und in das Register aufgenommen. Dort ist die Level-1-Zertifizierung für alle öffentlich zugänglich.

STAR Level 2: Third-Party Audit

Mit Level 2 können Cloud-Anbieter ihre Sicherheitsmaßnahmen durch ein anderes Unternehmen evaluieren lassen. Bei der CSA sind sogenannte Certified STAR Auditors registriert, die genau darauf spezialisiert sind. Solche Sicherheitsaudits sind kostenpflichtig.
Cloud-Provider können Level 2 erst anstreben, wenn sie den Self-Assessment-Fragebogen für Level 1 eingereicht haben und mit dem Level-1-Zertifikat in der CSA STAR-Datenbank gelistet sind. Dann wählen sie einen Certified STAR Auditor aus, der das Sicherheitsaudit durchführt. Schließt der Cloud-Provider das Audit erfolgreich ab, stellt die CSA das entsprechende Level-2-Zertifikat aus. Es ist ebenfalls in der CSA STAR-Datenbank aufrufbar.

STAR Level 3: Continuous Auditing

Mit Level 3 haben Cloud-Anbieter die Möglichkeit, Zertifizierungen auf Basis eines langfristigen Monitorings und kontinuierlicher Prüfungen zu erhalten. So können sie noch mehr Transparenz für ihre Cloud-Sicherheit schaffen. Hierbei durchlaufen Cloud-Provider automatisierte Prüfprozesse, die in Echtzeit kontrollieren, ob alle Sicherheitskontrollen immer zuverlässig greifen.
Noch befindet sich das STAR Level 3 laut CSA im Entstehungsprozess.
Junge Frau am Laptop nutzt Cloud-Services

Whitepaper: Cloud Security

Cloud Security ist eine relativ neue und zentrale Disziplin der IT-Sicherheit – und unerlässlich für die erfolgreiche Nutzung von Cloud-Anwendungen. Sie erhalten in unserem Whitepaper Cloud Security komprimiertes Wissen rund um das Thema Sicherheit in der Datenwolke.

  • Veränderte Sicherheitsarchitekturen
  • Neue Verantwortlichkeiten
  • Studien, Insights und Praxisbeispiele
  • Zero Trust & Co. als Sicherheitsmodelle
Jetzt downloaden

CSA-Fortbildungen und -Zertifizierungen

Die CSA bietet neben der STAR-Plattform eine Vielzahl an Schulungen und Zertifizierungen für Unternehmen wie auch Einzelpersonen an.
Folgende Zertifikate können Sie bei der CSA erlangen:
  • Certificate of Cloud Security Knowledge (CCSK)
  • Certificate of Cloud Auditing Knowledge (CCAK)
  • Certificate of Competence in Zero Trust (CCZT)
Schulungen der CSA zielen nicht nur auf die Cloud ab, sondern ebenso auf den Umgang mit der STAR-Plattform. Unter anderem können Sie und Ihre Belegschaft folgende Trainings absolvieren:
  • Zero Trust Trainings (ZTT)
  • Cloud Infrastructure Security Training
  • Advanced Cloud Security Practitioner (ACSP) Training
  • CCSK Train the Trainer
  • STAR Lead Auditor Training
Spezielle Trainingsangebote richten sich darüber hinaus an ganze Unternehmensteams (Train my entire team) und staatliche Einrichtungen (Training for Government Agencies). Das CSA Knowledge Center gibt einen Überblick über die verfügbaren Schulungen.
Für jedes abgeschlossene Training ist ein digitales Abzeichen erhältlich. Diese Abzeichen können Sie Ihrer E-Mail-Signatur hinzufügen oder auf Ihrer Webseite bzw. Ihren Social-Media-Kanälen platzieren. Die Abzeichen der CSA zielen darauf ab, im Wettbewerbsumfeld Glaubwürdigkeit aufzubauen. Außerdem können Sie so Ihr Engagement in puncto Cloud-Sicherheit sowie Ihre Expertise nach außen hin untermauern.
Wenn Sie sich im Bereich Cloud-Sicherheit weiterbilden und auf dem neuesten Stand bleiben möchten, können Sie auch an den regelmäßig stattfindenden Webinaren der CSA teilnehmen.
Übrigens sollten Sie mit Ihrer Belegschaft ohnehin regelmäßige Security-Awareness-Trainings durchführen – nur so garantieren Sie ein hohes Maß an Cybersicherheit in Ihrem Unternehmen.

Das Wichtigste zur Cloud Security Alliance in Kürze

  • Die Cloud Security Alliance (CSA) ist eine 2008 gegründete branchenweit anerkannte Non-Profit-Organisation, die es sich zum Ziel gemacht hat, die Cloud-Sicherheit weltweit zu verbessern.
  • Die CSA bietet Best Practices in Form von Whitepapers, Cloud-Trainings und Zertifikaten an.
  • Das Kernstück der CSA-Services ist die STAR-Plattform, in der Unternehmen ihre Cloud-Lösungen oder potenzielle neue Cloud-Angebote auf Sicherheit und Compliance überprüfen können.
  • Mit den Abzeichen und Symbolen der CSA können Unternehmen ihren hohen Standard im Hinblick auf Cybersicherheit verdeutlichen.
Das könnte Sie auch interessieren:
Security
Weibliche Hand hält schwarzes Fernglas auf gelbem Hintergrund.

Privacy by Design & Privacy by Default erklärt

Viele sind mit den Datenschutzprinzipien Privacy by Design und Privacy by Default vertraut. Aber oft gibt es bei Unternehmen und Nutzer:innen noch Unklarheiten, was sich dahinter verbirgt. Inwieweit sind diese Prinzipien in Ihrem Betrieb umgesetzt und welche Vorteile bringt es? Eine Bestandsaufnahme anhand einer Checkliste kann sich lohnen. Nach der europäischen Datenschutz-Grundverordnung (DSGVO) sind „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „datenschutzfreundliche Voreinstellungen“ (Privacy by Default) für den Schutz der Privatsphäre seit 2018 verpflichtend. Da alle Erläuterungen der DSGVO hierzu technologieneutral bleiben müssen, fehlt gerade kleinen und mittleren Unternehmen oft eine Liste konkreter Maßnahmen, die sie Schritt für Schritt abarbeiten können. Die neue Norm ISO 31700 formuliert hierfür erstmals einen weltweiten Standard. Die am 8. Februar 2023 veröffentlichte zweiteilige Norm (ISO 31700-1 und ISO 31700-2) ist als Empfehlung zu verstehen und soll Unternehmen bei der Umsetzung von Privacy by Design und Privacy by Default unterstützen.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort