Zertifizierungen für sichere Cloud-Services

Laut Marktforscher Gartner werden bis 2016 gut 40 Prozent der Cloud-Anbieter zertifiziert sein. Am Markt gilt ISO 27001 als "Security-Siegel". Die zertifizierten Cloud-Anbieter Fabasoft und Pool4Tool berichten aus der Praxis. [...]

Zu den großen IT-Trends zählt laut Gartner, dass Cloud-Dienstleister verstärkt Security-Zertifizierungen anstreben. Demnach gehen 40 Prozent der Unternehmen im Jahr 2016 nur unter dieser Voraussetzung Cloud-Verträge ein. Aber auch rechtlich gesehen ergibt sich diese Notwendigkeit: Laut Datenschutzgesetz müssen Firmen prüfen, ob ihre Dienstleister eine sichere Datenverarbeitung gewährleisten. Somit haftet der Cloud-Nutzer für die Auswahl seines Providers. Es stellt sich die Frage, inwieweit der Markt die internationale Security-Norm ISO/IEC 27001 als Nachweis akzeptiert oder ob spezifische Cloud-Zertifizierungen notwendig sind. Die Top-Manager zweier Cloud-Service-Anbieter mit ISO 27001-Zertifizierungen berichten aus der Praxis: Geschäftsführer Karl Mayrhofer von Fabasoft Distribution und Chief Operations Officer Michael Rösch von Pool4tool.

Computerwelt: Welche Zertifizierungen verlangen Cloud-Kunden aktuell?
Karl Mayrhofer
: Sowohl ISO 27001 für Informationssicherheit als auch ISO 20000 für IT-Services sind als Nachweis für zuverlässige Cloud-Services anerkannt. Beide haben ihre Schwerpunkte und wirken als Kombination am stärksten.
Michael Rösch: Wir sind für Informationssicherheit nach ISO 27001 sowie darüber hinaus auch für Datenschutzqualität zertifiziert, was gut angenommen wird. Kunden aus Deutschland fordern zudem Datenschutzaudits nach § 11 BDSG. Für Auftraggeber aus sensiblen Bereichen wie die Rüstungs- und Pharmabranche sind zertifizierte Prozesse eine Grundvoraussetzung.

Wodurch ist ISO 27001 geeignet, um Cloud-Services abzusichern?
Rösch:
Aufgrund der sich ständig ändernden Technologien braucht man ein hoch flexibles Managementsystem. ISO 27001 ermöglicht mit der kontinuierlichen Prozessverbesserung eine gute Anpassung – und die jährlichen Rezertifizierungen gewährleisten langfristige Sicherheit.

Werden künftig spezifische Cloud-­Zertifizierungen benötigt?
Mayrhofer:
Neben ISO 27001, ISO 20000 und MoReq2 hat Fabasoft die Prüfung nach ISAE 3402 absolviert. Dennoch wünschen wir uns eine Zertifizierung für Cloud-Dienste europäischer Prägung. Beispiel: die Public Cloud von Fabasoft gibt den Kunden Gewissheit, in welchen Ländern die Datenspeicherung erfolgt: in Deutschland, Österreich oder in der Schweiz. Diese Cloud-Merkmale haben zentrale Bedeutung, sind aber aktuell durch keine Zertifizierung erfasst.

Wie hoch bewerten Sie inhaltliche ­Synergien zwischen den Standards?
Mayrhofer:
Der Anforderungskatalog „Cloud Computing Information Assurance Framework“ der ENISA definiert zehn Hauptgruppen. Sechs davon werden mit ISO 27001 und ISO 20000 gut abgedeckt – darunter Personnel, Operational und Physical Security, Identity and Access Management oder Business Continuity.
Rösch: Die Zertifikate und Datenschutz­audits überschneiden sich. Ein erlangtes Zertifikat erhöht automatisch das Niveau der Prozesse und hilft bei der Erfüllung weiterer Standards. Nachdem wir bereits 2004 ein Security-Audit nach SOX hatten, konnten wir nachfolgende Zertifizierungen darauf aufbauen.

SECURITY-SYMPOSIUM

Am 4. Juni 2013 laden die Zertifizierungsorganisationen CIS und Quality Austria in Kooperation mit der COMPUTERWELT in den Kursalon Wien ein. „Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent“ lautet das Leitmotiv des Events. Der Themen­bogen spannt sich von „Datensicherheit im E-Government-Umfeld“ über „Integration von Cloud-Services in Security-Policies“ bis hin zu „BYOD aus rechtlicher Sicht“.
 
Die Keynote hält der finnische Awareness-Forscher Mikko Siponen: „Employees  Compliance with Security Procedures.“ Unter http://www.cis-cert.com/Symposium können sich Interessierte anmelden. (pi)


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*