Cloud-Zertifizierung nach ISO 27018 auch in Österreich

Um das Vertrauen in Cloud-Services zu stärken, wird schon länger ein weltweit anerkannter Standard dafür gefordert. Die Antwort der International Organization for Standardization heißt ISO/IEC 27018 und fokussiert den Schutz personenbezogener Daten in der Wolke. [...]

„Mit der Implementierung erreichen Provider ein hohes Schutzniveau, das in großen Teilen die Anforderungen der geplanten EU-Datenschutzgrundverordnung erfüllt. Darüber hinaus verpflichtet die Norm zur Evaluierung sämtlicher in den Geschäftsbeziehungen relevanter nationaler Datenschutzgesetze“, berichtet Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS mit Hauptsitz in Wien. Demnach haben Kunden bei einem ISO-27018-zertifizierten Cloud-Anbieter die geprüfte Sicherheit, dass sich dieser explizit zur Einhaltung geltender Datenschutzgesetze bekennt, diese vertraglich zusichert und mittels ISO-Zertifikat auch den Nachweis dafür erbringt.

Als einer der ersten Zertifizierungspartner weltweit hat die CIS vor kurzem die staatliche Akkreditierung für ISO 27018 erreicht. Damit können Provider ihre IT-Dienste nach dem neuen Cloud-Standard durch CIS-Auditoren überprüfen und zertifizieren lassen, wenn sie bereits eine Basis-Zertifizierung für Informationssicherheit nach ISO 27001 haben. Denn inhaltlich setzt ISO 27018 direkt auf ISO 27001 auf und erweitert die implementierten Security-Maßnahmen einer Organisation um Privacy-Aspekte für ihre Cloud. „Dadurch genießen Kunden doppelte Sicherheit: Die Cloud-Services bieten gemäß ISO 27001 höchste Verfügbarkeit, Vertraulichkeit und Integrität der verwalteten Daten. Zusätzlich erfüllen sie die spezifischen Datenschutzanforderungen nach ISO 27018 wie Offenlegung von Server-Standorten und Sub-Providern, Wahrung von Betroffenenrechten oder definierte Prozesse zur Rückgabe, Übertragung und Vernichtung verwalteter Daten“, erklärt CIS-Chef Scheiber.

ADD-ON ZU ISO 27001

Einer der ersten Interessenten hierzulande ist die Raiffeisen Rechenzentrum GmbH, das größte Bankenrechenzentrum im Süden Österreichs mit rund hundert Mitarbeitern. Geschäftsführer Dietmar Schlar betont: „Ein ISO-Standard hat immer die größte Aussagekraft auf dem Markt. Als ISO-27001-zertifiziertes Rechenzentrum ist für uns eine Cloud-Zertifizierung nach ISO 27018 das logische Add-on.“ Er ist überzeugt, dass immer mehr Kunden künftig einen solchen unabhängigen Nachweis verlangen werden und bereitet das Rechenzentrum schon jetzt darauf vor.  

Ursprünglich war die ISO 27018 „nur“ als praktikabler Cloud-Privacy-Leitfaden im Rahmen der 27000-Normenreihe vorgesehen. Aber schon bald nach der Veröffentlichung im Herbst 2014 steuerten die ersten Zertifizierungsstellen in den USA und Deutschland eine Akkreditierung für ISO 27018 an. Laut Medienberichten war Dropbox schließlich das erste zertifizierte Unternehmen. Auch Microsoft hat seine Cloud-Angebote nach ISO 27018 offiziell überprüfen lassen, wie das Unternehmen in einem Blogbeitrag berichtet. (pi)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*