Um das Vertrauen in Cloud-Services zu stärken, wird schon länger ein weltweit anerkannter Standard dafür gefordert. Die Antwort der International Organization for Standardization heißt ISO/IEC 27018 und fokussiert den Schutz personenbezogener Daten in der Wolke. [...]
„Mit der Implementierung erreichen Provider ein hohes Schutzniveau, das in großen Teilen die Anforderungen der geplanten EU-Datenschutzgrundverordnung erfüllt. Darüber hinaus verpflichtet die Norm zur Evaluierung sämtlicher in den Geschäftsbeziehungen relevanter nationaler Datenschutzgesetze“, berichtet Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS mit Hauptsitz in Wien. Demnach haben Kunden bei einem ISO-27018-zertifizierten Cloud-Anbieter die geprüfte Sicherheit, dass sich dieser explizit zur Einhaltung geltender Datenschutzgesetze bekennt, diese vertraglich zusichert und mittels ISO-Zertifikat auch den Nachweis dafür erbringt.
Als einer der ersten Zertifizierungspartner weltweit hat die CIS vor kurzem die staatliche Akkreditierung für ISO 27018 erreicht. Damit können Provider ihre IT-Dienste nach dem neuen Cloud-Standard durch CIS-Auditoren überprüfen und zertifizieren lassen, wenn sie bereits eine Basis-Zertifizierung für Informationssicherheit nach ISO 27001 haben. Denn inhaltlich setzt ISO 27018 direkt auf ISO 27001 auf und erweitert die implementierten Security-Maßnahmen einer Organisation um Privacy-Aspekte für ihre Cloud. „Dadurch genießen Kunden doppelte Sicherheit: Die Cloud-Services bieten gemäß ISO 27001 höchste Verfügbarkeit, Vertraulichkeit und Integrität der verwalteten Daten. Zusätzlich erfüllen sie die spezifischen Datenschutzanforderungen nach ISO 27018 wie Offenlegung von Server-Standorten und Sub-Providern, Wahrung von Betroffenenrechten oder definierte Prozesse zur Rückgabe, Übertragung und Vernichtung verwalteter Daten“, erklärt CIS-Chef Scheiber.
ADD-ON ZU ISO 27001
Einer der ersten Interessenten hierzulande ist die Raiffeisen Rechenzentrum GmbH, das größte Bankenrechenzentrum im Süden Österreichs mit rund hundert Mitarbeitern. Geschäftsführer Dietmar Schlar betont: „Ein ISO-Standard hat immer die größte Aussagekraft auf dem Markt. Als ISO-27001-zertifiziertes Rechenzentrum ist für uns eine Cloud-Zertifizierung nach ISO 27018 das logische Add-on.“ Er ist überzeugt, dass immer mehr Kunden künftig einen solchen unabhängigen Nachweis verlangen werden und bereitet das Rechenzentrum schon jetzt darauf vor.
Ursprünglich war die ISO 27018 „nur“ als praktikabler Cloud-Privacy-Leitfaden im Rahmen der 27000-Normenreihe vorgesehen. Aber schon bald nach der Veröffentlichung im Herbst 2014 steuerten die ersten Zertifizierungsstellen in den USA und Deutschland eine Akkreditierung für ISO 27018 an. Laut Medienberichten war Dropbox schließlich das erste zertifizierte Unternehmen. Auch Microsoft hat seine Cloud-Angebote nach ISO 27018 offiziell überprüfen lassen, wie das Unternehmen in einem Blogbeitrag berichtet. (pi)
Be the first to comment