Zertifizierungen für sichere Cloud-Services

Laut Marktforscher Gartner werden bis 2016 gut 40 Prozent der Cloud-Anbieter zertifiziert sein. Am Markt gilt ISO 27001 als "Security-Siegel". Die zertifizierten Cloud-Anbieter Fabasoft und Pool4Tool berichten aus der Praxis. [...]

Zu den großen IT-Trends zählt laut Gartner, dass Cloud-Dienstleister verstärkt Security-Zertifizierungen anstreben. Demnach gehen 40 Prozent der Unternehmen im Jahr 2016 nur unter dieser Voraussetzung Cloud-Verträge ein. Aber auch rechtlich gesehen ergibt sich diese Notwendigkeit: Laut Datenschutzgesetz müssen Firmen prüfen, ob ihre Dienstleister eine sichere Datenverarbeitung gewährleisten. Somit haftet der Cloud-Nutzer für die Auswahl seines Providers. Es stellt sich die Frage, inwieweit der Markt die internationale Security-Norm ISO/IEC 27001 als Nachweis akzeptiert oder ob spezifische Cloud-Zertifizierungen notwendig sind. Die Top-Manager zweier Cloud-Service-Anbieter mit ISO 27001-Zertifizierungen berichten aus der Praxis: Geschäftsführer Karl Mayrhofer von Fabasoft Distribution und Chief Operations Officer Michael Rösch von Pool4tool.

Computerwelt: Welche Zertifizierungen verlangen Cloud-Kunden aktuell?
Karl Mayrhofer
: Sowohl ISO 27001 für Informationssicherheit als auch ISO 20000 für IT-Services sind als Nachweis für zuverlässige Cloud-Services anerkannt. Beide haben ihre Schwerpunkte und wirken als Kombination am stärksten.
Michael Rösch: Wir sind für Informationssicherheit nach ISO 27001 sowie darüber hinaus auch für Datenschutzqualität zertifiziert, was gut angenommen wird. Kunden aus Deutschland fordern zudem Datenschutzaudits nach § 11 BDSG. Für Auftraggeber aus sensiblen Bereichen wie die Rüstungs- und Pharmabranche sind zertifizierte Prozesse eine Grundvoraussetzung.

Wodurch ist ISO 27001 geeignet, um Cloud-Services abzusichern?
Rösch:
Aufgrund der sich ständig ändernden Technologien braucht man ein hoch flexibles Managementsystem. ISO 27001 ermöglicht mit der kontinuierlichen Prozessverbesserung eine gute Anpassung – und die jährlichen Rezertifizierungen gewährleisten langfristige Sicherheit.

Werden künftig spezifische Cloud-­Zertifizierungen benötigt?
Mayrhofer:
Neben ISO 27001, ISO 20000 und MoReq2 hat Fabasoft die Prüfung nach ISAE 3402 absolviert. Dennoch wünschen wir uns eine Zertifizierung für Cloud-Dienste europäischer Prägung. Beispiel: die Public Cloud von Fabasoft gibt den Kunden Gewissheit, in welchen Ländern die Datenspeicherung erfolgt: in Deutschland, Österreich oder in der Schweiz. Diese Cloud-Merkmale haben zentrale Bedeutung, sind aber aktuell durch keine Zertifizierung erfasst.

Wie hoch bewerten Sie inhaltliche ­Synergien zwischen den Standards?
Mayrhofer:
Der Anforderungskatalog „Cloud Computing Information Assurance Framework“ der ENISA definiert zehn Hauptgruppen. Sechs davon werden mit ISO 27001 und ISO 20000 gut abgedeckt – darunter Personnel, Operational und Physical Security, Identity and Access Management oder Business Continuity.
Rösch: Die Zertifikate und Datenschutz­audits überschneiden sich. Ein erlangtes Zertifikat erhöht automatisch das Niveau der Prozesse und hilft bei der Erfüllung weiterer Standards. Nachdem wir bereits 2004 ein Security-Audit nach SOX hatten, konnten wir nachfolgende Zertifizierungen darauf aufbauen.

SECURITY-SYMPOSIUM

Am 4. Juni 2013 laden die Zertifizierungsorganisationen CIS und Quality Austria in Kooperation mit der COMPUTERWELT in den Kursalon Wien ein. „Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent“ lautet das Leitmotiv des Events. Der Themen­bogen spannt sich von „Datensicherheit im E-Government-Umfeld“ über „Integration von Cloud-Services in Security-Policies“ bis hin zu „BYOD aus rechtlicher Sicht“.
 
Die Keynote hält der finnische Awareness-Forscher Mikko Siponen: „Employees  Compliance with Security Procedures.“ Unter http://www.cis-cert.com/Symposium können sich Interessierte anmelden. (pi)


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*