Laut Marktforscher Gartner werden bis 2016 gut 40 Prozent der Cloud-Anbieter zertifiziert sein. Am Markt gilt ISO 27001 als "Security-Siegel". Die zertifizierten Cloud-Anbieter Fabasoft und Pool4Tool berichten aus der Praxis. [...]
Zu den großen IT-Trends zählt laut Gartner, dass Cloud-Dienstleister verstärkt Security-Zertifizierungen anstreben. Demnach gehen 40 Prozent der Unternehmen im Jahr 2016 nur unter dieser Voraussetzung Cloud-Verträge ein. Aber auch rechtlich gesehen ergibt sich diese Notwendigkeit: Laut Datenschutzgesetz müssen Firmen prüfen, ob ihre Dienstleister eine sichere Datenverarbeitung gewährleisten. Somit haftet der Cloud-Nutzer für die Auswahl seines Providers. Es stellt sich die Frage, inwieweit der Markt die internationale Security-Norm ISO/IEC 27001 als Nachweis akzeptiert oder ob spezifische Cloud-Zertifizierungen notwendig sind. Die Top-Manager zweier Cloud-Service-Anbieter mit ISO 27001-Zertifizierungen berichten aus der Praxis: Geschäftsführer Karl Mayrhofer von Fabasoft Distribution und Chief Operations Officer Michael Rösch von Pool4tool.
Computerwelt: Welche Zertifizierungen verlangen Cloud-Kunden aktuell?
Karl Mayrhofer: Sowohl ISO 27001 für Informationssicherheit als auch ISO 20000 für IT-Services sind als Nachweis für zuverlässige Cloud-Services anerkannt. Beide haben ihre Schwerpunkte und wirken als Kombination am stärksten.
Michael Rösch: Wir sind für Informationssicherheit nach ISO 27001 sowie darüber hinaus auch für Datenschutzqualität zertifiziert, was gut angenommen wird. Kunden aus Deutschland fordern zudem Datenschutzaudits nach § 11 BDSG. Für Auftraggeber aus sensiblen Bereichen wie die Rüstungs- und Pharmabranche sind zertifizierte Prozesse eine Grundvoraussetzung.
Wodurch ist ISO 27001 geeignet, um Cloud-Services abzusichern?
Rösch: Aufgrund der sich ständig ändernden Technologien braucht man ein hoch flexibles Managementsystem. ISO 27001 ermöglicht mit der kontinuierlichen Prozessverbesserung eine gute Anpassung – und die jährlichen Rezertifizierungen gewährleisten langfristige Sicherheit.
Werden künftig spezifische Cloud-Zertifizierungen benötigt?
Mayrhofer: Neben ISO 27001, ISO 20000 und MoReq2 hat Fabasoft die Prüfung nach ISAE 3402 absolviert. Dennoch wünschen wir uns eine Zertifizierung für Cloud-Dienste europäischer Prägung. Beispiel: die Public Cloud von Fabasoft gibt den Kunden Gewissheit, in welchen Ländern die Datenspeicherung erfolgt: in Deutschland, Österreich oder in der Schweiz. Diese Cloud-Merkmale haben zentrale Bedeutung, sind aber aktuell durch keine Zertifizierung erfasst.
Wie hoch bewerten Sie inhaltliche Synergien zwischen den Standards?
Mayrhofer: Der Anforderungskatalog „Cloud Computing Information Assurance Framework“ der ENISA definiert zehn Hauptgruppen. Sechs davon werden mit ISO 27001 und ISO 20000 gut abgedeckt – darunter Personnel, Operational und Physical Security, Identity and Access Management oder Business Continuity.
Rösch: Die Zertifikate und Datenschutzaudits überschneiden sich. Ein erlangtes Zertifikat erhöht automatisch das Niveau der Prozesse und hilft bei der Erfüllung weiterer Standards. Nachdem wir bereits 2004 ein Security-Audit nach SOX hatten, konnten wir nachfolgende Zertifizierungen darauf aufbauen.
SECURITY-SYMPOSIUM
Am 4. Juni 2013 laden die Zertifizierungsorganisationen CIS und Quality Austria in Kooperation mit der COMPUTERWELT in den Kursalon Wien ein. „Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent“ lautet das Leitmotiv des Events. Der Themenbogen spannt sich von „Datensicherheit im E-Government-Umfeld“ über „Integration von Cloud-Services in Security-Policies“ bis hin zu „BYOD aus rechtlicher Sicht“.
Die Keynote hält der finnische Awareness-Forscher Mikko Siponen: „Employees Compliance with Security Procedures.“ Unter http://www.cis-cert.com/Symposium können sich Interessierte anmelden. (pi)
Be the first to comment