Archiv
03.05.2013

„Siegel“ für sichere Cloud-Services: ISO 27001

Laut Gartner werden bis 2016 gut 40 Prozent der Cloud-Anbieter zertifiziert sein. Am Markt gilt ISO 27001 als „Security-Siegel“ für sichere Services aus der Wolke. Werden künftig dennoch eigene Cloud-Zertifikate notwendig? Zwei Provider berichten aus der Praxis: POOL4TOOL und Fabasoft.

Zu den großen IT-Trends zählt laut Gartner, dass Cloud-Dienstleister verstärkt Security- Zertifizierungen anstreben. Demnach gehen 40 Prozent der Unternehmen im Jahr 2016 nur mehr unter dieser Voraussetzung Cloud-Verträge ein, um die Zusammenarbeit zu vereinfachen. Der Markt wird im selben Zeitraum weiter wachsen und weltweit um 18,5 Prozent auf 131 Mrd. US-Dollar zulegen. Auch rechtlich gesehen ergibt sich die Notwendigkeit einer Zertifizierung: Laut Datenschutzgesetz müssen Unternehmen aktiv sicherstellen, dass ihre Dienstleister ausreichend Gewähr für eine sichere Datenverarbeitung bieten.  "Faktisch bedeutet dies, dass der Cloud-Nutzer für die Auswahl seines Providers haftet“, erklärt Wirtschaftsjuristin Karin Peyerl von der Kanzlei CHSH. Für Cloud-Service-Anbieter stellt sich damit die Frage: Werden spezifische Cloud-Zertifikate notwendig oder akzeptiert der Markt den internationalen Security-Standard ISO 27001 als Nachweis? Die Top Manager zweier Cloud-Service-Anbieter, die nach ISO 27001 zertifiziert sind, berichten aus der Praxis: Geschäftsführer Karl Mayrhofer von der Fabasoft Distribution GmbH und Chief Operations Officer Michael Rösch, POOL4TOOL AG.

Welche Zertifizierungen verlangen Cloud-Kunden aktuell?
Fabasoft: Sowohl ISO 27001 für Informationssicherheit als auch ISO 20000 für IT-Services sind als Nachweis für zuverlässige Cloud-Services anerkannt. Beide haben ihre Schwerpunkte und wirken als Kombination am stärksten.
POOL4TOOL: Wir sind für Informationssicherheit nach ISO 27001 sowie für Datenschutzqualität zertifiziert, was gut angenommen wird. Kunden aus Deutschland fordern zudem Datenschutzaudits nach § 11 BDSG. Für Auftraggeber aus sensiblen Bereichen wie die Rüstungs- und Pharmabranche sind zertifizierte Prozesse eine Grundvoraussetzung.

Wodurch ist ISO 27001 inhaltlich geeignet, um Cloud Services abzusichern?
POOL4TOOL: Durch die sich ständig ändernden Systeme braucht man zur Absicherung von Cloud Services ein hoch flexibles Managementsystem. Ein ISMS nach ISO 27001 ermöglicht mit dem Ansatz der ständigen Prozessverbesserung eine sehr gute Anpassung an den ständigen technologischen Wandel. Jährliche Re-Zertifizierungen gewährleisten langfristig bestmögliche Sicherheit.

Werden künftig spezifische Cloud-Zertifizierungen benötigt? 
Fabasoft: Neben ISO 27001, ISO 20000 und MoReq2 hat Fabasoft auch die Prüfung nach ISAE 3402 absolviert. Dennoch wünschen wir uns eine Zertifizierung für Cloud-Dienste europäischer Prägung. Beispielsweise gibt die Public Cloud von Fabasoft den Kunden Gewissheit, in welchen Ländern die Datenspeicherung erfolgt: in Deutschland, Österreich oder in der Schweiz. Diese Cloud-Merkmale haben zentrale Bedeutung, sind aber aktuell durch keine Zertifizierung erfasst.
POOL4TOOL: Wir werden auch in den nächsten Jahren in das Thema Sicherheit investieren – so streben wir beispielsweise das ISO-20000-Zertifikat an. Der Bedarf einer spezifischen Cloud-Zertifizierung ist derzeit nicht absehbar.

Wie hoch bewerten Sie inhaltliche Synergien zwischen den Standards?
Fabasoft: Der Anforderungskatalog „Cloud Computing Information Assurance Framework“ der ENISA  definiert 10 Hauptgruppen. Sechs davon werden mit ISO 27001 und ISO 20000 gut abgedeckt – darunter Personnel, Operational und Physical Security, Identity and Access Management oder Business Continuity.
POOL4TOOL: Die Zertifikate und Datenschutzaudits überschneiden sich. Ein erlangtes Zertifikat erhöht automatisch das Niveau der Prozesse und hilft bei der Erfüllung weiterer Standards. Nachdem wir bereits 2004 ein Security-Audit nach SOX durchgeführt hatten, konnten wir nachfolgende Zertifizierungen darauf aufbauen.

EVENT-TIPP:

9. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2013
Standardisierung von Security & Services nach ISO 27001 / ISO 20000

Di, 04. Juni 2013, 13.00 – 18.30
Kursalon Stadtpark, 1010 Wien

Key Note von Awareness-Forscher Mikko Siponen, Finnland: “Employees‘ Compliance with Information Security Procedures: Make it Work.” Der Themenbogen der Vorträge spannt sich von „Integration der Cloud-Services in 27001-Security-Prozesse” über „BYOD aus arbeits- und datenschutzrechtlicher Sicht“ bis zum „Schutz sensibler Personendaten nach ISO 27001 in der österr. Staatsdruckerei“.

Information und Anmeldung:
www.cis-cert.com/Symposium