TECHNOLOGY
Zertifizierungsstandard für alle Cloud-Anbieter © panthermedia.net/bluebay
© panthermedia.net/bluebay

CHRIS HADERER 03.07.2015

Zertifizierungsstandard für alle Cloud-Anbieter

Vertrauen schaffen Ein neuer Zertifizierungsstandard soll Sicherheitsaspekte von Cloud-Anwendungen regeln und überschaubar machen. Dadurch könnte ­Anwendern der Schritt in die Wolke leichter gemacht werden.

Wien. Die Vorteile, die Unternehmen durch den Einsatz von Cloud-Computing erlangen können, sind recht breit gestreut und reichen von IT-Kosteneinsparungen über den vereinfachten Roll-out neuer Anwendungen bis hin zu verbesserter Kollaboration der Mitarbeiter. Diesem Branchen-Tenor steht allerdings immer noch ein Misstrauen hinsichtlich Datensicherheit in der Cloud gegenüber. Dieses Misstrauen soll nun mit einem neuen Standard beseitigt werden, nach dem sich Cloud-Anbieter zertifizieren lassen können. Das „Cloud-Beruhigungsmittel”, das von der International Organization for Standardization gebraut wurde, nennt sich ISO/IEC 27018 und fokussiert speziell den Schutz personenbezogener Daten in der Wolke.

„Mit der Implementierung erreichen Provider ein hohes Schutzniveau, das in großen Teilen die Anforderungen der geplanten EU-Datenschutzgrundverordnung erfüllt”, sagt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS mit Hauptsitz in Wien. „Darüber hinaus verpflichtet die Norm zur Evaluierung sämtlicher in den Geschäftsbeziehungen relevanter nationaler Datenschutzgesetze. Demnach haben Kunden bei einem ISO-27018-zertifizierten Cloud-Anbieter die geprüfte Sicherheit, dass sich dieser explizit zur Einhaltung geltender Datenschutzgesetze bekennt, diese vertraglich zusichert und mittels ISO-Zertifikat auch den Nachweis dafür erbringt.”

Raiffeisen hat Interesse

Als einer der ersten Zertifizierungspartner weltweit hat die CIS vor Kurzem die staatliche Akkreditierung für ISO 27018 erreicht. Damit können Provider ihre IT-Dienste nach dem neuen Cloud-Standard durch unabhängige CIS-Auditoren überprüfen und zertifizieren lassen, wenn sie bereits eine Basis-Zertifizierung für Informationssicherheit nach ISO 27001 haben. Inhaltlich setzt ISO 27018 direkt auf ISO 27001 auf und erweitert die implementierten Security-Maßnahmen einer Organisation um Privacy-Aspekte für ihre Cloud.
„Dadurch genießen Kunden doppelte Sicherheit”, sagt CIS-Chef Scheiber. „Die Cloud-Services bieten gemäß ISO 27001 höchste Verfügbarkeit, Vertraulichkeit und Integrität der verwalteten Daten. Zusätzlich erfüllen sie die Datenschutzanforderungen nach ISO 27018 wie Offenlegung von Server-Standorten und Sub-Providern, Wahrung von Betroffenenrechten oder definierte Prozesse zur Rückgabe, Übertragung und Vernichtung verwalteter Daten.” Einer der ersten österreichischen Interessenten für die Zertifizierung ist die Raiffeisen Rechenzentrum GmbH, das größte Bankenrechenzentrum im Süden der Alpenrepublik.

Kritik aus München

Kritik am neuen Cloud-Standard kommt allerdings vom Münchner IT-Unternehmen Uniscon: „Bei genauer Betrachtung wird klar, dass eine Zertifizierung gemäß der Norm ISO/IEC 27001:2013 vorliegen kann, nicht aber eine nach ISO/IEC 27018:2014, die explizit den Datenschutz im Cloud-Computing behandelt”, sagt Uniscon-Geschäftsführer Hubert Jäger. „Formal handelt es sich bei ISO 27018 lediglich um Umsetzungsempfehlungen. Bei solchen ist niemals definiert, welche Anforderungen genau für ein Zertifikat erfüllt sein müssen. Die Auditoren können nämlich nicht anhand einer Liste die einzelnen Anforderungen überprüfen und dann ein Ergebnis ableiten. Die Meldungen zu ‚27018-Zertifikaten' beziehen sich auf 27001-Zertifikate, bei denen zusätzlich einzelne Umsetzungsempfehlungen aus 27018 mitberücksichtigt sind.”
Ein laut Jäger wichtiges Detail ist, dass „für die Zertifizierung ISO/IEC 27001 jede Organisation ihre eigene Risikoanalyse vornimmt und für diese einen passenden Satz an Maßnahmen individuell aussucht. Dadurch ergibt sich, dass ein solches Zertifikat keine Aussage zum Niveau des Datenschutzes und der Datensicherheit erlaubt, sondern es sagt lediglich, dass die zertifizierte Organisation sorgfältig mit dem Thema Informationssicherheit umgeht; mit welchem Ergebnis, bleibt allerdings unklar.”

BEWERTEN SIE DIESEN ARTIKEL

TEILEN SIE DIESEN ARTIKEL

Ihr Kommentar zum Thema