Zertifizierungen für sichere Cloud-Services

Laut Marktforscher Gartner werden bis 2016 gut 40 Prozent der Cloud-Anbieter zertifiziert sein. Am Markt gilt ISO 27001 als "Security-Siegel". Die zertifizierten Cloud-Anbieter Fabasoft und Pool4Tool berichten aus der Praxis. [...]

Zu den großen IT-Trends zählt laut Gartner, dass Cloud-Dienstleister verstärkt Security-Zertifizierungen anstreben. Demnach gehen 40 Prozent der Unternehmen im Jahr 2016 nur unter dieser Voraussetzung Cloud-Verträge ein. Aber auch rechtlich gesehen ergibt sich diese Notwendigkeit: Laut Datenschutzgesetz müssen Firmen prüfen, ob ihre Dienstleister eine sichere Datenverarbeitung gewährleisten. Somit haftet der Cloud-Nutzer für die Auswahl seines Providers. Es stellt sich die Frage, inwieweit der Markt die internationale Security-Norm ISO/IEC 27001 als Nachweis akzeptiert oder ob spezifische Cloud-Zertifizierungen notwendig sind. Die Top-Manager zweier Cloud-Service-Anbieter mit ISO 27001-Zertifizierungen berichten aus der Praxis: Geschäftsführer Karl Mayrhofer von Fabasoft Distribution und Chief Operations Officer Michael Rösch von Pool4tool.

Computerwelt: Welche Zertifizierungen verlangen Cloud-Kunden aktuell?
Karl Mayrhofer
: Sowohl ISO 27001 für Informationssicherheit als auch ISO 20000 für IT-Services sind als Nachweis für zuverlässige Cloud-Services anerkannt. Beide haben ihre Schwerpunkte und wirken als Kombination am stärksten.
Michael Rösch: Wir sind für Informationssicherheit nach ISO 27001 sowie darüber hinaus auch für Datenschutzqualität zertifiziert, was gut angenommen wird. Kunden aus Deutschland fordern zudem Datenschutzaudits nach § 11 BDSG. Für Auftraggeber aus sensiblen Bereichen wie die Rüstungs- und Pharmabranche sind zertifizierte Prozesse eine Grundvoraussetzung.

Wodurch ist ISO 27001 geeignet, um Cloud-Services abzusichern?
Rösch:
Aufgrund der sich ständig ändernden Technologien braucht man ein hoch flexibles Managementsystem. ISO 27001 ermöglicht mit der kontinuierlichen Prozessverbesserung eine gute Anpassung – und die jährlichen Rezertifizierungen gewährleisten langfristige Sicherheit.

Werden künftig spezifische Cloud-­Zertifizierungen benötigt?
Mayrhofer:
Neben ISO 27001, ISO 20000 und MoReq2 hat Fabasoft die Prüfung nach ISAE 3402 absolviert. Dennoch wünschen wir uns eine Zertifizierung für Cloud-Dienste europäischer Prägung. Beispiel: die Public Cloud von Fabasoft gibt den Kunden Gewissheit, in welchen Ländern die Datenspeicherung erfolgt: in Deutschland, Österreich oder in der Schweiz. Diese Cloud-Merkmale haben zentrale Bedeutung, sind aber aktuell durch keine Zertifizierung erfasst.

Wie hoch bewerten Sie inhaltliche ­Synergien zwischen den Standards?
Mayrhofer:
Der Anforderungskatalog „Cloud Computing Information Assurance Framework“ der ENISA definiert zehn Hauptgruppen. Sechs davon werden mit ISO 27001 und ISO 20000 gut abgedeckt – darunter Personnel, Operational und Physical Security, Identity and Access Management oder Business Continuity.
Rösch: Die Zertifikate und Datenschutz­audits überschneiden sich. Ein erlangtes Zertifikat erhöht automatisch das Niveau der Prozesse und hilft bei der Erfüllung weiterer Standards. Nachdem wir bereits 2004 ein Security-Audit nach SOX hatten, konnten wir nachfolgende Zertifizierungen darauf aufbauen.

SECURITY-SYMPOSIUM

Am 4. Juni 2013 laden die Zertifizierungsorganisationen CIS und Quality Austria in Kooperation mit der COMPUTERWELT in den Kursalon Wien ein. „Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent“ lautet das Leitmotiv des Events. Der Themen­bogen spannt sich von „Datensicherheit im E-Government-Umfeld“ über „Integration von Cloud-Services in Security-Policies“ bis hin zu „BYOD aus rechtlicher Sicht“.
 
Die Keynote hält der finnische Awareness-Forscher Mikko Siponen: „Employees  Compliance with Security Procedures.“ Unter http://www.cis-cert.com/Symposium können sich Interessierte anmelden. (pi)


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*