In fünf Schritten zum Ö-Cloud-Gütesiegel
Anbieter von Cloud-Diensten erhalten in Österreich das Ö-Cloud-Gütesiegel, wenn sie den Selbstevaluierungsprozess der Ö-Cloud-Initiative erfolgreich absolvieren. Der Weg zum Gütesiegel ist klar strukturiert und für alle Beteiligten transparent. Das Ergebnis jeder Selbstevaluierung, die mit einem Ö-Cloud-Gütesiegel ausgezeichnet wurde, ist ab diesem Zeitpunkt vollständig veröffentlicht.

1. Erstinformation
Anbieter erhalten alle wichtigen Informationen über die Ö-Cloud-Initiative auf der Website Ö-Cloud-Initiative (digitalaustria.gv.at).
Ö-Cloud-Unterlagen downloaden
Laden Sie sich bitte die aktuellen Unterlagen zum StarAudit-Katalog herunter. Das geht über dieses Downloadinterface (Menupunkt “Download”)
Sie tragen dort nur Ihre E-Mail-Adresse ein, zu der Sie die Unterlagen geschickt bekommen möchten. Nutzen Sie dafür diesen Code: 9888-9888-9888. Auch diese Unterlagen sind alle kostenfrei.
Sie erhalten dann eine E-Mail aus dem Brainloop Secure Dataroom, die eine Reihe von Links enthält, mit denen Sie die folgenden Dokumente (mit Wasserzeichen) erhalten:
- EuroCloud StarAudit-Katalog – Vollversion Deutsch
- EuroCloud StarAudit-Katalog – Vollversion Englisch
- EuroCloud StarAudit Control Mapping FULL
- Anleitung zur Nutzung des StarAudit Tools
Ö-Cloud-Kontrollen prüfen
Um zu erkennen, welche Kontrollen für das Ö-Cloud-Gütesiegel relevant sind, verwenden Sie bitte das Dokument StarAudit Control Mapping FULL. Anhand dieser beiden Informationen (Vollkatalog und Control Mapping) können Sie entscheiden, ob Sie für ein Ö-Cloud-Gütesiegel einreichen wollen.
2. Registrierung
Unter dem Menüpunkt 2 „Anmeldung“ füllen Cloud-Service-Anbieter bitte das Online-Anmeldeformular aus, dann erhalten sie detaillierte Informationen über die weiteren Schritte.
3. Selbstevaluierung
Anschließend ist die nach internationalen Standards (StarAudit) erstellte Selbstevaluierung (Self-Assessment) online durchzuführen. Der Kontrollkatalog umfasst rund 135 Kriterien, die sich auf Providertransparenz, Sicherheit, Rechenzentrumsbetrieb, operative Prozesse, Anwendungen wie IaaS, PaaS, SaaS, Vertragsbedingungen und auf die Einhaltung der DSGVO beziehen.
Mit dem Self-Assessment Tool bekanntmachen
Registrieren Sie im StarAudit Assessment Tool einen neuen Nutzer und machen Sie sich mit dem Tool vertraut. Die Nutzung ist sehr einfach. Eine Anleitung haben Sie über den Dokumenten-Download aus dem Secure Dataroom bereits erhalten.
Das ist völlig kostenfrei für so viele User, wie Sie möchten. Zum Tool gelangen Sie im Menü unter Punkt 3 „Evaluierung“.
Wichtiger Hinweis:
Im Feld “Name of the cloud service” muss eine eindeutige und klar spezifizierte Benennung eines einzelnen Cloud-Services angegeben werden, nicht mehrere Services. Es können jedoch mehrere Einreichungen für mehrere Cloud-Services gemacht werden.
Im Feld „Short service description” muss eine klar verständliche Beschreibung des Services eingetragen werden; keine Beschreibung mehrerer Services, kein Marketing-Text und keine Beschreibung des Unternehmens.
Das Ö-Cloud-Gütesiegel ist ein Qualitätssiegel, das sich auf einen ganz spezifischen Cloud-Service eines Cloud-Providers bezieht (so wie jedes Cloud-Zertifikat). Daher muss in Einreichunterlagen ein einzelner Cloud-Service benannt sein. Für jeden einzelnen Service ist entsprechend der jeweiligen Leistungserbringung der Assessment Report auszufüllen. Die Angaben in den Controlls (Area 1-7) müssen sich explizit auf den angegebenen Service beziehen. Es muss auf eine spezifische Website verwiesen werden, die sich ausdrücklich auf den eingereichten Cloud-Service bezieht (nicht die Standard-Unternehmens-Website).
Mit der Gütesiegelurkunde (ausgestellt von EuroCloud Austria mit freundlicher Unterstützung des BMDW) sowie dem vollständig online publizierten Assessment Report (alle Antworten des Einreichers auf sämtliche Kontrollfragen) entsteht dann eine explizite Verbindlichkeit (für z. B. den Einkauf des Cloud-Kunden), dass der ausgezeichnete Cloud-Service nach genau jenen Maßgaben geliefert wird, wie dies vom Cloud-Provider im Assessment Report angegeben wurde.
Es wird kein Gütesiegel für Managed Services ausgestellt, sondern ausschließlich für reine Cloud-Services. Ebenso kann kein Gütesiegel für Services ausgestellt werden, die beim Kunden on-premise betrieben werden.
Self-Assessment durchführen
Erstellen Sie ein Ö-Cloud-Projekt im StarAudit Assessment Tool. Fügen Sie den Ö-Cloud-Kriterienkatalog hinzu und beantworten Sie alle Fragen in den einzelnen Abschnitten. Dazwischen empfiehlt es sich, zu „speichern“ und für jeden Abschnitt das „Template“ abzuschließen. (Dies kann später wieder geändert und bearbeitet werden).
4. Einreichung
Erstellen Sie ein Ö-Cloud-Self-Assessment mit dem Assessment Tool. Wenn Sie die Arbeiten an allen Controls abgeschlossen haben (keine Kontrollen mehr, die mit einem roten „x“ gekennzeichnet sind), können Sie den finalen Bericht als pdf „ausdrucken“ und gemeinsam mit einem Firmenbuchauszug zur Erlangung des Ö-Cloud-Gütesiegels einreichen. Sie tun dies unter dem Menüpunkt 4 „Einreichung“.
Gütesiegel erhalten
Die Prüfung Ihrer eingereichten Unterlagen wird im Regelfall innerhalb von einem Monat abgeschlossen sein. Bei positivem Abschluss der Selbstevaluierung erhalten Sie das offizielle Gütesiegeldokument und das Gütesiegellogo der Ö-Cloud-Initiative elektronisch übermittelt. Das Gütesiegel ist ein Jahr gültig und kann danach erneuert werden. Bei einem negativen Abschluss (Ablehnung der Einreichunterlagen) kann der Einreicher jederzeit eine neuerliche, verbesserte Einreichung durchführen (kein Update bestehender Einreichunterlagen via E-Mail, sondern neue Einreichung).
5. Veröffentlichung
Das Gütesiegel erhält seine Gültigkeit ab dem Zeitpunkt der Veröffentlichung auf der EuroCloud-Website. Ab jetzt darf das Unternehmen das Ö-Cloud-Gütesiegel tragen und in seiner Kommunikation einsetzen. Das Gütesiegel ist ein Jahr lang gültig, maximal jedoch bis 31.7.2022. Ab 1.1.2022 ist nur mehr die Einreichung des “Ö-Cloud Qualifiziertes Gütesiegel” möglich. Gültigkeit ebenfalls 1 Jahr. Nach Ablauf dieser Frist ist eine neuerliche Evaluierung durchzuführen.

Prinzipien

Transparenz
Das Ö-Cloud-Gütesiegel ist hinsichtlich Umfang und Inhalt transparent publiziert und damit allgemein frei zugänglich. Dies gilt sowohl für die Anforderungen selbst (Kontrollkatalog) als auch für die Ergebnisse jedes Assessments (Gütesiegeldokumentation oder Zertifikatsinhalte und Ergebnis).

Stufenmodell
Das Ö-Cloud-Gütesiegel (Self-Assessment) baut auf einem Stufenmodell auf. Damit soll ein erster Einstieg ermöglicht werden und mit diesen Erfolgen sollen weitere höherwertige Siegel oder Zertifikate leichter erreichbar werden. Weitere internationale Zertifizierungsmodelle (BSI, ISO, Trusted Cloud, StarAudit,) können über eine Kompatibilitätsmatrix immer integriert werden.

Kompatibilität
Das Ö-Cloud-Gütesiegel ist sowohl hinsichtlich bereits bestehender österreichischer Gütesiegel als auch zu international verfügbaren Gütesiegeln oder Zertifikaten kompatibel. Dadurch sollen Aufwände zur Erreichung von weiteren Gütesiegeln und Zertifikaten reduziert werden.

Publizität
Jedes Ö-Cloud-Self-Assessment-Gütesiegel wird immer zusammen mit dem vollständigen Detailbericht veröffentlicht und ist für jedermann online einsehbar. Durch diese Transparenz wird Vertrauen in die Qualität und die Aussagekraft des Ö-Cloud-Gütesiegels aufgebaut.

Zugang
Das Ö-Cloud-Gütesiegel ist für jeden Cloud-Anbieter gleichermaßen zugänglich, unabhängig von Unternehmensgröße und Herkunft. Einstiegshürden sollen verhindert oder minimiert werden. Explizit soll es österreichischen KMUs, die Cloud-Services anbieten, leicht und kostenschonend möglich sein, über das Ö-Cloud-System in ein qualitatives Gütesiegel- und Zertifizierungssystem einzusteigen.

Verfügbarkeit
Das Ö-Cloud-Gütesiegel ist durch online verfügbare Tools und Prozesse weitgehend digital unterstützt. Damit sind erste Ö-Cloud-Gütesiegel ab Sommer 2021 öffentlich verfügbar.
FAQs
Warum sind Cloud-Lösungen wichtig für eine erfolgreiche digitale Transformation?
Die Cloud ist für die digitale Transformation genau das, was die Dampfmaschine für die industrielle Revolution war. Sie ist die Grundlage, der Katalysator, der erst alles möglich macht. Aber im Vergleich zu früheren technischen Revolutionen, die die Menschheit erlebt hat, ist diese Revolution, die wir jetzt alle erleben, anders. Sie verläuft viel schneller, sie betrifft absolut alle Lebens- und Wirtschaftsbereiche, sie betrifft alle Menschen in allen Ländern der Erde mehr oder weniger gleichzeitig. Das macht es einerseits so schwer, sich darauf einzustellen, sich vorzubereiten, die geeigneten gesetzlichen Rahmenbedingungen zu definieren und ausreichend viele Fachleute entsprechend auszubilden.
Aber auch auf eine andere Weise ist die Cloud anders als frühere Treiber eines technischen Umbruches: Die Cloud als die wichtigste modernere Produktionsressource steht nämlich jedem zur Verfügung. Nicht nur großen, finanzkräftigen Konzernen. Jeder Start-up-Unternehmer kann, wenn er den richtigen Business-Case hat, bereits morgen auf tausende Server oder unzählige hocheffiziente Cloud-Services zugreifen. Und damit kann ein kleines Unternehmen ganz schnell zu einem globalen Player werden. Die Cloud ermöglicht jedem Unternehmen den unmittelbaren Zugang zu digitaler Transformation und Innovation.
Warum ist sind Cloud-Initiative für den Wirtschaftsstandort Österreich so wichtig?
Die Ö-Cloud-Initiative ist für den österreichischen Wirtschaftsstandort von großer Bedeutung, weil damit ganz starke Zeichen gesetzt werden.
Cloud-Services mit dem Anspruch an hohe Qualität und Transparenz werden ausgezeichnet. Cloud-Service-Anbieter werden motiviert, in einen Gütesiegelprozess einzusteigen, daraus zu lernen und dann vielleicht später sogar ein internationales Qualitätszertifikat zu erhalten.
Cloud-Service-Kunden erhalten eine einfache und sehr elegante Methode, um sich Informationen über die Qualität von Cloud-Anbietern zu verschaffen, Erfahrungen mit Cloud-Qualitätskriterien zu sammeln und diese für eigene Ausschreibungen zu nutzen und damit leichter zwischen Cloud-Anbietern auszuwählen. Und Ö-Cloud ist auch der österreichische Weg in die internationale GAIA-X-Initiative, die mit Sicherheit völlig neue Maßstäbe setzen wird, ähnlich wie es mit der DSGVO bereits gelungen ist.
Worauf sollte man bei den diversen Anbietern von Cloud-Services achten?
Ein Cloud-Service-Kunde sollte bei der Auswahl eines spezifischen Cloud-Services immer in zwei Schritten vorgehen.
Der erste Schritt besteht in einer präzisen Definition des eigenen Use-Cases: Was habe ich vor, mit welchen Daten, zu welchem Zweck und mit welcher Kritikalität? Daraus ergeben sich nämlich automatisch die Qualitätsansprüche, die ich an einen Cloud-Anbieter und an einen spezifischen Cloud-Service habe. Je nach erforderlicher Qualitätsstufe müssen dann einige wenige oder aber eine erhebliche Anzahl an Qualitätskontrollen abgeprüft werden.
Diese Qualitätsprüfungen betreffen im Regelfall sieben verschiedene inhaltliche Bereiche: Transparenz über den Anbieter und seine Sublieferanten, Vertrag und rechtliche Compliance, Rechenzentrumsbetrieb, Security, die Qualität des Betriebes (ITIL, COBIT), cloud-service-spezifische Qualitätskontrollen und die DSGVO. Erfüllt ein Cloud-Service die erwarteten Qualitätsziele, dann kann dieser Cloud-Service für den Einsatz beim Cloud-Kunden in Betracht gezogen werden.
Was ist das Ö-Cloud-Gütesiegel?
Das Ö-Cloud-Gütesiegel ist der Beweis dafür, dass sich ein Cloud-Anbieter für einen seiner Cloud-Services einem Gütesiegelprozess unterzogen hat und dabei erfolgreich war.
Der Anbieter muss während des Prozesses Auskunft zu 135 Qualitätskontrollen geben. Und er muss sich bereit erklären, dass sämtliche seiner Angaben online und für alle ersichtlich publiziert werden.
Der Cloud-Service-Kunde kann sich dann sehr unkompliziert und elegant auf diese Angaben des Cloud-Anbieters beziehen. Er kann diese zu einem Bestandteil seines Einkaufsprozesses und zu einem Vertragsbestandteil machen. Damit schafft das Ö-Cloud-Gütesiegel ein hohes Maß an Transparenz und Vertrauen.
Wie kann das Ö-Cloud-Gütesiegel Österreichs Wirtschaft unterstützen?
Das Ö-Cloud-Gütesiegel unterstützt die österreichische Wirtschaft auf drei Ebenen.
Einmal hilft es österreichischen Cloud-Anbietern, die noch keine aufwendigen und teuren Zertifizierungsprozesse durchlaufen konnten, einen ersten Schritt in Richtung internationale Qualitätssicherungsprozesse zu machen. Das ist besonders für junge Unternehmen ein erheblicher Vorteil, denn bereits beim Ö-Cloud-Gütesiegelprozess können viele Erfahrungen gesammelt werden.
Zweitens kann sich ein Cloud-Anbieter mit dem Gütesiegel von seinem Mitbewerb positiv differenzieren. Er kann sehr einfach und elegant seine Transparenz und seinen Zugang zu hoher Cloud-Qualität darstellen und dies dann natürlich auch für Marketing und Vertrieb nutzen.
Und zum Dritten können sich die vielen österreichischen Unternehmen, die gute und hochwertige Cloud-Services für sich suchen und nutzen wollen, des Ö-Cloud-Gütesiegels bedienen, denn der schriftliche Selbstauskunftsbericht des Ö-Cloud-Gütesiegels ist für alle jederzeit online verfügbar. Man kann sich damit einen exzellenten ersten Überblick über die Qualität eines Cloud-Services verschaffen und diese Unterlagen zum Vertragsbestandteil machen.
Welchen Wert hat das Ö-Cloud-Gütesiegel für Anbieter?
Das Ö-Cloud-Gütesiegel hat für einen Cloud-Service-Anbieter einen erheblichen Wert.
Einmal als klassisches Marketing- und Vertriebsinstrument. Mit dem Ö-Cloud-Gütesiegel zeige ich auf einfache und elegante Weise, dass ich mich für meinen Cloud-Service zu einer hohen Qualitätsstufe bekenne. Damit kann sich ein Anbieter sehr positiv von Angeboten des Mitbewerbs differenzieren.
Ich zeige als Anbieter aber auch, dass ich bereit bin, transparent und für alle sichtbar Auskunft zu geben. Das liegt daran, dass sämtliche Angaben zu 135 Qualitätskontrollen vollständig online verfügbar sind. Für alle – Mitbewerb und Kunden. Das ist ein hoher Vertrauensbeweis, den ein Anbieter gegenüber seinen Kunden machen kann, und das kann man als Anbieter so auch mit Stolz kommunizieren.
Und es gibt noch einen dritten Vorteil, den ich als Anbieter nutzen kann. Der Bericht zu den 135 Qualitätskontrollen kann von den Vertriebsmitarbeitern jedem Kunden vorgelegt werden. Damit sind 135 wesentliche und für den Kunden bedeutsame Fragen zum Cloud-Service bereits schriftlich beantwortet. Das spart Zeit und schafft Vertrauen – die Konkurrenz hat das ja vielleicht noch nicht.
Wie komme ich zum Ö-Cloud-Gütesiegel?
Der Prozess, um ein Ö-Cloud-Gütesiegel zu erhalten, ist denkbar einfach.
Es gibt eine sehr übersichtliche Webseite, auf der man sich zuerst einmal informieren kann. Sie heißt oe-cloud.eurocloud.at.
Dann meldet man sich mit einem Online-Formular an und erhält automatisch alle wichtigen Folgeinformationen. Über ein spezielles, aber einfach zu benutzendes Online-Tool, das StarAudit Self-Assessment-Tool, führt man die Selbstauskunft durch. Dabei muss man zu 135 Kontrollfragen Auskunft zur Qualität des eigenen Cloud-Services geben.
Den Bericht reicht man dann wieder online über ein Formular ein, und damit ist der gesamte Prozess bereits abgeschlossen.
Warum gilt das Siegel nicht für ein ganzes Unternehmen?
Ein Ö-Cloud-Gütesiegel erhält man nicht als Unternehmen, sondern für einen spezifischen Cloud-Service. Das ist deshalb wichtig zu verstehen, weil ein Unternehmen ja mehrere Cloud-Services in unterschiedlichen Qualitätsausprägungen, mit unterschiedlicher Kritikalität und für unterschiedliche Kunden anbieten kann. Es ist wichtig, dass der Cloud-Anbieter hier differenziert und genau Auskunft geben kann, mit welcher Qualitätsstufe er einen speziellen Cloud-Service anbieten möchte.
Und für den Cloud-Kunden ist genau diese differenzierte Angabe von besonderer Bedeutung, denn er möchte ja entscheiden können, ob ein spezieller Cloud-Service mit einer ganz spezifischen Qualitätsstufe zu seinem eigenen Use-Case passt.
Wie läuft der Evaluierungsprozess ab?
Sobald ein Cloud-Anbieter eine Einreichung für ein Ö-Cloud-Gütesiegel vorgenommen hat, prüfen Fachexperten die Einreichunterlagen.
Sind diese vollständig, inhaltlich ausreichend nachvollziehbar, stimmen die angegebenen Namen und Links zum Cloud-Service und gibt es entsprechende Webseiten beim Anbieter, die zur eingereichten Selbstauskunft passen? Eine durchaus wesentliche Frage dabei ist immer auch, ob es sich tatsächlich um einen Cloud-Service handelt oder doch um ein klassisches Managed Service, für das man kein Cloud-Gütesiegel erhalten kann. Anfang 2022 wird dieser Prüfprozess ausgeweitet werden – dann wird das Ö-Cloud-Gütesiegel zu einem qualifizierten Gütesiegel upgegradet.
Von wem bekomme ich das Siegel?
Das Ö-Cloud-Gütesiegel wird von EuroCloud Austria mit freundlicher Unterstützung des BMDW vergeben. EuroCloud führt den Abwicklungs- und Prüfprozess durch, druckt und versendet die eleganten Urkunden und stellt sicher, dass auf der Ö-Cloud-Gütesiegel-Webseite immer nur die aktuellen und gültigen Cloud-Services gelistet sind – inklusive dem vollständigen Selbstauskunftsbericht für jeden einzelnen Service, der ein Gütesiegel erhalten hat.
Wozu berechtigt mich das Siegel?
Wenn ich als Cloud-Anbieter für einen meiner Cloud-Services das Ö-Cloud-Gütesiegel erhalten habe, dann darf ich dieses Siegel während dessen Gültigkeit, also im Regelfall ein Jahr lang, für Marketing- und Vertriebszwecke nutzen.
Der Cloud-Anbieter kann also zum Beispiel in einem Angebot erwähnen, dass dieser spezielle Cloud-Service eine Qualitäts- und Transparenzauszeichnung erhalten hat.
Auf diese Weise kann man sich von seinen Mitbewerbern auf positive Weise differenzieren.
Wie lange ist es gültig?
Das Ö-Cloud-Gütesiegel verliert im Regelfall genau nach einem Jahr seine Gültigkeit und muss dann vom Cloud-Service-Anbieter erneuert werden.
Darf ich das Siegel eigenständig vermarkten?
Ein Cloud-Anbieter darf das Ö-Cloud-Gütesiegel für genau jenen Cloud-Service nutzen, für den er das Gütesiegel erhalten hat.
Also beispielsweise im Produktfolder oder auf der Webseite des Cloud-Services.
Wann verliere ich das Siegel?
Ein Cloud-Anbieter verliert sein Ö-Cloud-Gütesiegel, wenn es entweder abgelaufen ist oder berechtigte Zweifel an der Vollständigkeit oder Richtigkeit der Angaben in der Selbstauskunft bestehen.