Der CAIQ wurde von der Cloud Security Alliance (CSA) entwickelt, um Branchendokumente zu erstellen, die Sicherheitskontrollen beschreiben, die in verschiedenen Cloud-Services gegeben sein sollten, darunter IaaS- (Infrastructure-as-a-Service), PaaS- (Platform-as-a-Service) und SaaS-Produkte (Software-as-a-Service).

Wann wurde der CAIQ entwickelt? 

Die CSA wurde 2008 als Behörde gegründet, die Standards, Best Practices und Zertifizierungen definiert, um Cloud-Umgebungen auf der ganzen Welt zu schützen. Als weltweit führendes Organ im Bereich der Best Practices für die Cloud arbeitet die CSA daran, grundlegendes Wissen und wichtige Ressourcen bereitzustellen, von denen Cloud-Kunden, -Anbieter, Unternehmen, Regierungen und andere Gruppen profitieren sollen, die Cloud-Computing-Services nutzen, bereitstellen oder damit arbeiten.

Während die Welt im neuen Jahrhundert immer stärker von der Cloud abhängig wurde, erkannte die CSA, dass diese neue Technologie massive Sicherheitsprobleme mit sich bringen könnte, wenn sie ohne jegliche Regulierung implementiert würde. Deshalb erstellte die Behörde eine Dokumentation allgemein akzeptierter Branchenstandards und Sicherheitskontrollen für cloudbasierte Services (IaaS, PaaS und SaaS). Der CAIQ bietet Unternehmen grundlegende Einblicke in die Strategien, Technologien und Richtlinien, die von Cloud-Anbietern eingesetzt werden, um vertrauliche Daten zu schützen und Risiken zu managen.

Der CAIQ ist im Grunde eine Umfrage. Die aktuelle Version 3.1 umfasst 295 Ja-Nein-Fragen für Cloud-Anbieter. Diese Fragen sollen Cloud-Nutzern und -Auditoren Einblicke bieten, wie gut der jeweilige Anbieter die festgelegten Vorschriften und Best Practices einhält. Eine weitere Version namens „CAIQ-Lite“ ermöglicht eine einfachere und weniger gründliche Bewertung mit ungefähr 70 Fragen. Dieser Fragebogen wurde für Cybersicherheitsexperten und Cloud-Beschaffungsmodelle entwickelt.

Einfach ausgedrückt, können Teams, die für das Lieferantenrisiko zuständig sind, Kosten reduzieren und gleichzeitig die Effizienz steigern. Der CAIQ unterstützt Cloud-Neueinsteiger beim Schutz vor unnötigen Cyberrisiken und bietet auch Cloud-Anbietern einen wichtigen Service: Sie können hiermit ihre eigene Sicherheit bewerten und standardisierte Begriffe und Konzepte verwenden, um ihre Angebote gegenüber Kunden effektiv zu präsentieren.

Die Arbeit mit externen Cloud-Anbietern birgt immer ein gewisses Risiko. Wenn Cloud-Benutzer wichtige Daten an Gruppen außerhalb ihrer kontrollierten Umgebung weitergeben, geben sie damit auch die Kontrolle über angemessene Sicherheit aus der Hand. Und selbst der vertrauenswürdigste Cloud-Anbieter kann in bestimmten Bereichen versagen. Deshalb müssen Unternehmen wissen, wo Fehler am wahrscheinlichsten auftreten können und welche Schwächen die Cloud-Lösungen des jeweiligen Anbieters beinhalten.

Der CAIQ bewertet die Sicherheit von Cloud-Anbietern und zielt darauf ab, diese Sicherheit mit universellen und allgemein akzeptierten Branchenstandards zu dokumentieren. So können Unternehmen Anbieter und ihren Sicherheitsstatus untersuchen und bewerten, bevor sie mit ihnen zusammenarbeiten.

Wie bereits erwähnt, beinhaltet der vollständige CAIQ 295 Fragen, die Cloud-Nutzer oder -Auditoren einem Anbieter hinsichtlich der Einhaltung der Cloud Controls Matrix (CCM) stellen können. Nutzer können den Fragebogen an ihre Anforderungen, Interessengebiete oder spezifischen Anwendungsfälle anpassen, indem sie Fragen überarbeiten oder entfernen.

Was ist die Cloud Controls Matrix (CCM)? 

Die CCM ist ein Kontroll-Framework für Cybersicherheit, das im Bereich des Cloud-Computing verwendet wird. Es umfasst 133 Ziele in 16 Bereichen, die wie folgt lauten:

• Sicherheit von Anwendungen und Schnittstellen 
• Auditsicherheit und Compliance 
• Business Continuity Management und betriebliche Resilienz 
• Change-Kontrolle und Konfigurationsverwaltung 
• Verwaltung von Datensicherheit und Informationslebenszyklus 
• Sicherheit im Rechenzentrum 
• Verschlüsselungs- und Schlüsselverwaltung 
• Governance und Risikomanagement 
• Sicherheit im Personalwesen 
• Identitäts- und Zugriffsverwaltung 
• Infrastruktur und Virtualisierung 
• Interoperabilität und Portabilität  
• Mobile Sicherheit 
• Security Incident Management, E‑Discovery und Cloud-Forensik 
• Supply Chain Management, Transparenz und Verantwortlichkeit 
• Bedrohungs- und Schwachstellenmanagement

Wie wird die CCM verwendet?

Die CCM kann als Instrument verwendet werden, um Cloud-Implementierungen systematisch zu bewerten. Sie verrät, welche Partei in der Cloud-Lieferkette welche Sicherheitskontrollen implementieren sollte. Das Kontroll-Framework richtet sich nach Security Guidance v4 und gilt derzeit als De‑facto-Standard zur Cloud-Sicherheitsbewertung und für Compliance. Die CCM bietet Anbietern folgende Möglichkeiten:

• Gestärkte Informationssicherheits-Kontrollumgebungen:
  Die CCM bietet Service Providern und Kunden wichtige Informationen, die sich je nach Art des Cloud-Modells und der Umgebung unterscheiden.
• Geringere Auditkomplexität:
  Die Kontrollen sind den branchenüblichen Sicherheitsvorschriften, Kontroll-Frameworks und Standards zugeordnet. So werden mit Erfüllung der CCM‑Kontrollen auch die entsprechenden Standards und Vorschriften erfüllt.
• Normalisierte Sicherheitserwartungen:
  Einheitliche Taxonomie, Sicherheit und Terminologie für die Cloud.
  

Security, Trust, Assurance, and Risk (STAR) ist ein Verzeichnis, das der Öffentlichkeit zur Verfügung steht und das Datenschutzkontrollen sowie Sicherheitsprogramme im Bereich Cloud-Computing dokumentiert. Diese Dokumentation soll die Prüfung, Harmonisierung und Transparenz der Standards in CAIQ und CCM fördern.

Unternehmen können Kunden und Interessenten ihre Compliance, Sicherheit sowie die Einhaltung von Vorschriften, Standards und Frameworks nachweisen. Letztlich wird so die Komplexität reduziert, und es müssen nicht mehrere Fragebögen ausgefüllt werden.