Die Trusted-Cloud-Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi) hat auf der CeBIT erste Details aus dem Pilotprojekt “Datenschutz-Zertifizierung für Cloud-Dienste” vorgestellt. In dieser Arbeitsgruppe sind Sicherheitsexperten aus Industrie, Forschung und Datenschutzaufsichtsbehörden vertreten. Seit anderthalb Jahren arbeiten die Vertreter in dem Gremium einen Anforderungskatalog für Deutschland aus. Ziel dieser Ergänzung ist die Schaffung einer Grundlage einer datenschutzkonformen Zertifizierung. Diese soll Cloud- Anbieter hinsichtlich des Datenschutzniveaus vergleichbar machen und außerdem Rechtssicherheit im Hinblick auf Verpflichtungen nach den geltenden Datenschutzgesetzen sicherstellen.
Das Projekt steht unter der Leitung Georg Borges, Professor für Bürgerliches Recht, Rechtstheorie und -informatik an der Universität des Saarlandes. Im April will die Gruppe endgültig den detaillierten datenschutzrechtlichen Prüfkatalog in der finalen Fassung vorlegen.
Wie jetzt bekannt wurde wird der Anforderungskatalog Cloud-Angebote in drei Schutzklassen einteilen. Gerade die Auslagerung von personenbezogenen Daten ist rechtlich gesehen besonders heikel. Und Nutzer, die solche Daten verarbeiten, können Stand heute nur schwer einschätzen, wie gut diese Daten im Netz und im Rechenzentrum des Betreibers geschützt sind.
Der deutsche Datenschutz legt fest, dass Unbefugte die Daten nicht einsehen können dürfen. Der in der ISO/IEC-Norm 27018 festgelegte Standard für den Datenschutz in der Cloud gilt seit April 2014 und legt Mindestanforderungen für Cloud-Anbieter fest. Was in dieser Norm bislang jedoch fehlt, ist ein konkreter Anforderungskatalog, über den die angebotenen Dienste auf das Sicherheitsniveau geprüft und verschiedenen Sicherheitsstufen zugeordnet werden können.
Hier versuchen die Mitglieder der Trusted-Cloud-Initiative mit den drei unterschiedlichen Schutzklassen Unternehmen anhand des benötigten Schutzbedarfs für Daten und Anwendungen eine Orientierungshilfe zu bieten. Schnell soll auf diese Weise ein passender Anbieter identifiziert werden können. Das Zertifikat soll für den Anwender auch sicherstellen, dass die eigenen Compliance-Vorgaben auch vom Cloud-Dienstleister eingehalten werden.
Zusätzlich habe das Zertifikat auch Rechtsfolgen. Denn dadurch, dass ein Unternehmen einen Anbieter auswählt, der mit der für die Unternehmensdaten notwendigen Schutzklasse ausgezeichnet ist, erfülle das Unternehmen die vom Gesetz vorgeschriebenen Kontrollpflichten, heißt es von der Initiative.
Der Anforderungskatalog basiert auf den Umsetzungsempfehlungen der ISO/IEC 27018:2014 und weiteren Evaluationskriterien zur Erfüllung des Bundesdatenschutzgesetzes (BDSG).
Bei der dreiteiligen Einstufung werden nicht nur die funktionalen und nicht-funktionalen Merkmale der Infrastruktur, die zum Betrieb des Dienstes gehören, beachtet.
Bei der Zertifizierung wird auch der Entstehungsprozess aus Sicht der Implementierung und aus Sicht des Einsatzes überprüft, und damit der gesamte Produktzyklus eines Cloud-Angebotes. Entscheidend ist zum einen für das Verfahren, dass fachlich geeignete und unabhängige Auditoren die Prüfung durchführen. Zum zweiten müsse die Zertifizierung auf der Grundlage allgemeiner, anerkannter Kriterien erfolgen, die für alle begutachteten Dienste gleichermaßen gelten.
“Bisher fehlte ein Werkzeug, um das Sicherheitsniveau der verschiedenen Cloud-Anbieter einordnen zu können. Im Projekt haben wir technikneutrale Kriterien für eine Einordung in Schutzklassen entwickelt”, erklärt Dr. Hubert Jäger, Mitarbeiter im Pilotprojekt und Geschäftsführer der Uniscon GmbH. “Denn als Maßstab für den Vergleich verschiedener Dienste genügt es nicht, wenn Cloud-Dienstanbieter selbst eine Risikoanalyse durchführen und dementsprechend mit ihrem Informations-Sicherheitsmanagement reagieren. Es ist vielmehr dringend notwendig, durch die Entwicklung von konkret nachprüfbaren Sicherheitsprofilen eine Orientierung zu geben, die einen Vergleich der Dienste nach Gesichtspunkten des Datenschutzes ermöglicht.”
Weitere Informationen zu den Cloud-Schutzklassen gibt es auf dem Messe-Auftritt auf der CeBIT 2015 am Stand des Müncher Cloud-Sicherheits-Spezialisten Uniscon in Halle 007, Stand B62.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…