ISO-Zertifikat für die Cloud stärkt Vertrauen in Datensicherheit

Cloud Computing

Cloud Computing hat sich zunehmend auch in Deutschland etabliert. Laut Bitkom Research nutzte 2015 jedes zweite Unternehmen Cloud-Dienste, um die eigene digitale Systemwelt effizienter zu gestalten (Stichwort „Digitalisierung“) oder als Basis für neue Geschäftsmodelle. Sicherheitsbedenken bleiben allerdings weiterhin das größte Hindernis für einen intensiveren Einsatz der Technologie. Für Anbieter von Cloud-Computing-Leistungen, die sich als sicherer Partner positionieren wollen, kann sich eine ISO/IEC 27018-Zertfizierung lohnen. Hier ein kurzer Kommentar zum internationalen Standard für mehr Datensicherheit in der Cloud.

Darum werden Standards wichtiger

Je mehr Geschäfte digital abgewickelt und Informationen von Kunden nicht mehr auf eigenen Servern, sondern in virtuellen Cloud-Umgebungen gespeichert werden, desto stärker achten Unternehmen und Behörden auf die Datensicherheit. Müssen sie auch: § 11 Abs. 2 Nr. 7 Bundesdatenschutzgesetz (BDSG) kennt kein Pardon, wenn es um die Auftragsdatenverarbeitung geht. 2018 kommen mit der europäische Datenschutz-Grundverordnung (DSGVO) weitere Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten hinzu. Viele Versicherungen, die dem „Code of Conduct – Datenschutz“ (CoC-D)“ des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) beigetreten sind, orientieren sich beispielsweise bereits an den DSGVO-Anforderungen.

Datenschutz wird damit zu einem zentralen Differenzierungsmerkmal im Wettbewerb um Kunden. Dadurch steigen die Anforderungen an die Lieferanten und Dienstleister. Sicherheit, Transparenz und Effizienz sind die entscheidenden Auswahlkriterien – auch für Cloud-Anbieter. Sie kommen künftig als Partner praktisch nur noch zum Zuge, wenn sie ein allgemein anerkanntes Sicherheitsverfahren nachweisen können oder ihr Datenmanagement durch unabhängige Dritte für sicher im Sinne des europäischen Datenschutzgesetzes erklären lassen. Ein solches Instrument, um sich als attraktiver Cloud-Anbieter zu profilieren, ist der internationale Standard ISO/IEC 27018.

Fünf Stellschrauben für mehr Datenschutz

Unternehmen, die das ISO/IEC-27018-Zertifikat erlangen wollen, müssen eine Reihe von Anforderungen erfüllen und ihre Prozesse und Compliance-Regeln daran anpassen. Grob dargestellt, setzt der Standard an fünf Stellschrauben an, damit sensible Daten umfassend geschützt werden.

  • Kontrolle: Auftraggeber müssen im Sinne der Betroffenen wirksam vorgeben können, wie beauftragte Cloud-Anbieter die Daten verarbeiten sollen und Informationen darüber erhalten, mit welchen Maßnahmen die Informationssicherheit der beauftragten Datenverarbeitung sichergestellt wird.
  • Transparenz: Offenlegung von Richtlinien und Verfahren bezüglich des Zugriffs von Drittanbietern, dem Speicherort der Daten sowie Rückgabe, Übermittlung und Löschung von personenbezogenen Daten.
  • Prüfung: Umgehende und umfassende Aufklärung von Vorgängen, die zum Abfluss von oder unbefugten Zugriff auf personenbezogene Informationen geführt haben oder haben könnten –ein begründeter Verdacht ist schon ausreichend.
  • Kommunikation: Offenlegung aller Sicherheitsvorfälle und Anfragen von Strafverfolgungsbehörden
  • Compliance: Jährliche Audits der Prozessqualität (Zertifikate) und Durchführung operativer Kontrollen sowie Erstellung diesbezüglicher Berichte (Testate) durch unabhängige Prüfer.

Vorteile einer Zertifizierung

Anbieter von Cloud Computing mit ISO/IEC-27018-Zertifizierung zeigen ihren potenziellen Partner nicht nur, dass sie mit einem Auftrag in puncto Datensicherheit vorne liegen. Darüber hinaus bietet der Standard Möglichkeiten für mehr Effizienz und damit Kostenvorteile.

Beispiel: Das Einräumen von Kontrollrechten gegenüber dem Nutzer von Cloud-Diensten mündet häufig in der Durchführung groß angelegter Lieferantenaudits. Das ist meist mit immensem Aufwand, sowohl für den Cloud-Anbieter als auch für den bestellten Prüfer verbunden. Hier kann ISO/IEC 27018 hilfreich sein.  Cloud-Anbieter können beispielsweise als Teil der Erfüllung des Standards ein erweitertes internes Kontrollsystem einführen. Hierüber liefern sie aktiv und regelmäßig von z.B. Wirtschaftsprüfern testierte Kontrollberichte zur Einsichtnahme an ihre Auftraggeber, so dass aufwendige und sich wiederholende Audits entfallen können.

Zusatzaufwand als Investment betrachten

Seit der Einführung des Standards im August 2014 haben nur wenige Cloud-Dienste-Anbieter ein Zertifikat nach ISO/IEC 27018 erhalten, unter anderem Microsoft, Amazon und Box. Für sie bedeutet die Umsetzung eine niedrigere Hürde als für kleinere Anbieter. Insbesondere der Punkt „Sanktionen“ stellt Rechtsabteilungen vor erhebliche Herausforderungen, denn die Wirksamkeit diesbezüglicher Selbstverpflichtungen muss nachweisbar sein. Sanktionen dürfen also nicht ausschließlich Symbolcharakter haben, sondern müssen im Bedarfsfall auch tatsächlich ziehen.

Da der Umfang der Anforderungen an Datenverarbeitungsprozesse innerhalb von Cloud-Diensten weiter zunehmen wird, sind Investitionen in datenschutzrechtliche Standards allerdings langfristig gut angelegt und begrüßenswert. Entscheidend wird sein, dass ein Service Provider den ISO/IEC-27018-Standard nicht nur als Marketinginstrument nutzt, sondern als effektives Werkzeug zum operativen Datenschutzmanagement betrachtet, der auch für Planungssicherheit und Effizienz sorgt.

Foto: Getty Images / JohnDWilliams


Stefan Möller

Stefan Möller verantwortet bei Sopra Steria Consulting das Informationssicherheitsmanagement und den Datenschutz. Hier im Blog Digitale Exzellenz schreibt der Spezialist für Sicherheitsanalysen über die Themen Informationssicherheit, IT-Governance sowie Risk und Compliance.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.