Cloud-Sicherheit wird dank neuer Norm vergleichbar

Auf der CeBIT soll eine weitere Konkretisierung der bereits bestehenden ISO-Norm 27018 veröffentlicht werden. Diese soll internationale Standards für den Datenschutz festlegen. Durch die Konkretisierung der Norm für “Informationstechnik – Sicherheitsverfahren – Anwendungsregel für den Schutz von Personenbezogenen Daten (PII) in Public Clouds, die als PII Processor auftreten” soll zu dem vor allem auf die Sicherheit von personenbezogenen Daten in der Cloud abzielen. Ziel ist es, Mindeststandards festzulegen und damit die Vergleichbarkeit zwischen den einzelnen Cloud-Angeboten zu verbessern.

Neben einem Anforderungskatalog stehen damit auch Umsetzungsempfehlungen zur Verfügung, die speziell das Cloud Computing betreffen und vor allem die Anforderungen des deutschen Datenschutzes berücksichtigen.

Dafür wurden in einem Pilotprojekt aus Mitgliedern aus Wirtschaft und Forschung sowie den Aufsichtsbehörden der neue Anforderungskatalog erarbeitet. Der soll künftig als Grundlage für Zertifizierungen deutscher Cloud-Anbieter relevant sein. Für die Anwender werden damit die verschiedenen Angebote bezüglich Sicherheit vergleichbar.

“Bisher fehlte ein Werkzeug, um das Sicherheitsniveau der verschiedenen Cloud-Anbieter einordnen zu können”, kommentiert Hubert Jäger, Mitarbeiter im Pilotprojekt und Geschäftsführer der Uniscon GmbH. “Im Projekt haben wir technikneutrale Kriterien für eine Einordung in Schutzklassen entwickelt. Denn als Maßstab für den Vergleich verschiedener Dienste genügt es nicht, wenn Cloud-Dienstanbieter selbst eine Risikoanalyse durchführen und dementsprechend mit ihrem Informations-Sicherheitsmanagement reagieren.” Es sei notwendig, durch die Entwicklung von konkret nachprüfbaren Sicherheitsprofilen eine Orientierung zu geben, die einen Vergleich der Dienste nach Gesichtspunkten des Datenschutzes ermögliche, so Jäger weiter.

Für diesen Anforderungskatalog wurde unter anderem die Umsetzungsempfehlungen der ISO/IEC 27018:2014 und weiteren Evaluationskriterien zur Erfüllung des Bundesdatenschutzgesetzes (BDSG) herangezogen. Auf Basis dieser beiden Kriterien teilt der Katalog das Sicherheitsniveau der Cloud-Angebote in drei Schutzklassen ein.

Damit können dann auch staatliche Stelle Zertifikate für Cloud Services anerkennen. Denn dafür sind Datenaudits mit vergleichbaren Zertifikaten nötig. Voraussetzungen für diese Vergleichbarkeit sind die Konkretisierung der Norm ISO 27018 und die Formulierung von Schutzklassen. Damit kann der Anwender dann wesentlich leichter, die Cloud-Dienste erkennen, die seinen Anforderungen entsprechen.

Auf der CeBIT 2015 werden am Stand von Uniscon in Halle 7, Stand B62 die neuen Punkte des Anforderungskatalogs vorgestellt. Der Katalog wird zusammen mit einer Pressekonferenz auf der Messe veröffentlicht. Diese findet am 16. März 2015 um 14:30 Uhr im CC, Raum 111 statt. Uniscon bietet mit dem Service IDGARD für Unternehmen auf Basis der patentierten Sealed Cloud Technologie einen Sicheren Cloud-Dienst. Die Daten werden damit so in der Cloud abgelegt, dass auch der Betreiber des Dienstes keinen Zugriff auf die Daten der Kunden hat.