21. September 2015 (aktualisiert am 15. April 2024) Erstellt von Jennifer Schmitz Sicherheit & Datenschutz
Cloud Computing ist eines der aktuellen Trends in den IT-Abteilungen von Unternehmen. Doch kann man es wirklich Trend nennen oder ist es eine langfristige Entwicklung? Im Hinblick auf die Dichte an verschiedenen Cloud Diensten, scheint tendenziell letzteres der Fall zu sein.
Es gibt verschiedene Arten von Cloud Diensten: Speicher-Dienste, wie die Public Cloud Anbieter Dropbox und Google Drive oder der Private Cloud Anbieter ownCloud, Anwendungen, wie das cloudbasierte Microsoft Office 365 oder auch virtuelle Telefonanlagen aus der Cloud, wie die von fonial. Natürlich gibt es noch weitaus mehr Arten von Cloud Diensten, die sich durch die Verbreitung und Akzeptanz von Cloud Computing sicherlich noch erhöht.
Gerade im Bereich von Speicher-Diensten und Cloud-Telefonanlagen muss ein großes Vertrauen in den Umgang mit Daten, der Funktionsfähigkeit und Ausfallsicherheit gegeben sein. Um dieses Vertrauen bei den Kunden zu gewinnen, setzen Anbieter von Cloud Diensten auf Zertifizierungen.
Die Grundlage von Cloud Zertifizierungen ist, dass Cloud Anbieter sich einem Anforderungskatalog, beispielsweise eines definierten Standards, unterwerfen. Die Einhaltung dieser Bestimmungen wird von unabhängigen Dritten bewertet und überprüft. Nur so kommt ein Cloud Anbieter an eine Cloud Zertifizierung. Um dieses Cloud Zertifikat beizubehalten, müssen sich Cloud Service Provider in bestimmten Abständen rezertifizieren lassen. Tun sie das nicht, so dürfen sie sich nicht mehr als Zertifikatsträger benennen. Unseriöse Cloud Service Anbieter lassen sich jedoch nach der Zertifizierung nicht mehr rezertifizieren oder lassen nur bestimmte Komponenten ihres Angebots zertifizieren und tragen das Siegel trotzdem. Sind Sie sich unsicher, so fragen Sie am besten bei den zuständigen Zertifizierungsstellen nach, ob der angestrebte Cloud Service Provider Ihren Anforderungen entspricht und Ihr Vertrauen verdient.
Um Missverständnissen vorzubeugen: Ein eigenes Zertifikat für Cloud Dienste gibt es bisher nicht. Zertifiziert werden grundsätzlich die Qualität und Sicherheit von IT-Services allgemein.
Die wichtigsten Zertifikate, die Ihr Cloud Dienst Anbieter besitzen kann, sind folgende:
Die ISO-Zertifizierung nach ISO/IEC 27001 hat am meisten Gewicht und sollte im Vordergrund bei der Suche eines vertrauenswürdigen Cloud Service Providers stehen. Aus diesem Grund legen wir hier den Fokus auf die Zertifizierung von Cloud Diensten nach ISO/IEC 27001, denn auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert diese Zertifizierung von Cloud Dienst Anbietern.
Die Zertifizierung nach ISO/IEC 27001 ist, wie bereits beschrieben, keine eigene Cloud Zertifizierung. Der ISO 27001-Katalog besteht aus 130 Punkten, die Anforderungen rund ums das Thema Datensicherheit thematisieren. Dabei werden Prozesse und Abläufe innerhalb des Unternehmens bewertet. Der Aufbau eines IT-Security-Management-Systems (ISMS) ist Pflicht, um eine Chance auf die ISO-Zertifizierung zu erhalten. Ein ISMS beinhaltet die Verfahren, Prozesse und Maßnahmen (Controls), welche ein Unternehmen für den Erhalt eines definierten IT-Sicherheitsniveaus implementiert. Weiterhin müssen die Schritte der Informationsverarbeitung lückenlos dokumentiert werden. Daraus wird ersichtlich: Die Zertifizierung nach ISO 27001 ist eine allgemeine Zertifizierung und nicht umfassend auf die Belange von Cloud Services abgestimmt.
Um den Besonderheiten des Betriebs eines Cloud Dienstes, beispielsweise einer Cloud Telefonanlage, Rechnung zu tragen, erfuhr die ISO-Norm 27001 im letzten Jahr eine Erweiterung: Die ISO/IEC 27018. Diese ist auf die Herausforderung von Cloud Services abgestimmt und zertifiziert den Datenschutz beim Cloud Computing. Auch die ISO/IEC 27018 stellt den Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) in den Vordergrund. Die sog. “Controls” (Prozesse, Verfahren und Maßnahmen) werden jedoch auf die Datenschutzanforderungen des Cloud Computings angepasst. Beispielsweise gilt es bei dieser Norm nicht mehr als positiv, sollte der Administrator möglichst viele Vorgänge sehen und nachvollziehen können, wie es noch in der ISO 27001/27002 der Fall war. Außerdem dürfen personenbezogene Daten nur noch in Übereinstimmung mit den Kunden weiterverarbeitet werden. Der Schutz und der verantwortungsvolle Umgang mit personenbezogenen Kundendaten steht, verallgemeinert betrachtet, bei ISO 27018 im absoluten Vordergrund.
Nun wird in vielen Publikationen bezüglich der ISO 27018 von “Zertifizierung” gesprochen und auch Dropbox ließ seine Business Version nach eigenen Angaben im Mai diesen Jahres nach dem neuen Standard zertifizieren. Eine Cloud Zertifizierung nach ISO 27018 ist laut Dr. Hubert Jäger, der Teil der Trusted Cloud Initiative des Bundesministeriums für Wirtschaft und Energie ist, jedoch (noch) nicht möglich. Bei der ISO 27018 handelt es sich um einen Katalog von Umsetzungsempfehlungen und nicht um einen direkten Anforderungskatalog, den Auditoren ergebnisorientiert prüfen könnten. Die Definition, welche Anforderungen für das Zertifikat erfüllt sein müssen, fehlt bei der ISO/IEC 27018. Meldungen zum Erhalt eines ISO 27018-Zertifikats sollen sich demnach lediglich auf den Erhalt eines ISO 27001-Zertifikats beziehen, indem die Kriterien der ISO 27018 berücksichtigt wurden.
Um die Ansprüche von ISO 27018 messbar zu machen, erstellte die Trusted Cloud Initiative einen Voraussetzungskatalog auf Basis der Handlungsempfehlungen des ISO-Standards: Das Trusted Cloud Datenschutzprofil (TCDP). Hier werden die Datenschutzanforderungen bei Cloud Diensten inklusive des Faktors Informationssicherheit berücksichtigt. So wird ein Zertifizierungsstandard für Cloud Dienste und nicht, wie bei ISO 27001, für ISMS geschaffen, der sich nach dem individuellen Bedarf an Datensicherheit richtet (ähnlich den Schutzbedarfsklassen des BSI). Kunden, die einen nach TCDP bewerteten Cloud Dienst nutzen, können so sicher sein, dass der Cloud Service Provider das Datenschutzgesetz einhält. Das Ausmaß wird hier durch die definierte Schutzklasse definiert.
Natürlich können Sie auch von der fonial Telefonanlage ein Höchstmaß an Sicherheit erwarten. Unsere virtuelle Telefonanlage wird in dreifach georedundanten Hochsicherheitszentren gehosted. Das heißt: Fällt ein Server aus, übernimmt ein anderer seinen Dienst. So gewährleisten wir größtmögliche Ausfallsicherheit. Zudem sind die Hochsicherheitszentren vor äußerlichen Eingriffen, wie Stromausfällen oder dem Zugriff Dritter geschützt. Durch den Standort Deutschland unterliegen wir den strengen, deutschen Datenschutzstandards, die wir stets einhalten. Dies beweisen auch unsere Zertifizierungen: Die Anlage ist gemäß ISO/IEC 27001 (Informationssicherheitsmanagement) und ISO/IEC 9001 (Qualitätsmanagement) geprüft (Zertifizierungen des Dienstleisters Plusnet GmbH).