Sie sind hier: Startseite » Markt » Interviews

Datenschutz im Cloud Computing


Dr. Hubert Jäger, Uniscon: Cloud-Zertifizierung nach ISO/IEC 27018 nicht möglich
Sind die in der Cloud gespeicherten Daten tatsächlich sicher vor dem Zugriff Dritter, wie diese Meldungen suggerieren?

(23.07.15) - Seit Standards für den Datenschutz in der Cloud durch die ISO/IEC-Norm 27018 im April 2014 definiert sind, gibt es immer wieder Meldungen von Herstellern, die eine Zertifizierung für die Datenschutzanforderungen durchlaufen haben wollen. Aber ist es überhaupt möglich, eine Zertifizierung nach ISO/IEC 27018 zu erlangen? Wie sieht denn die Prüfung aus und wer ist der Prüfer und Zertifikatsgeber? Sind die in der Cloud gespeicherten Daten tatsächlich sicher vor dem Zugriff Dritter, wie diese Meldungen suggerieren?

Das Bundesministerium für Wirtschaft und Energie (BMWI) hat in Deutschland die Trusted Cloud Initiative ins Leben gerufen, die sich mit der Datensicherheit in Cloud-Diensten beschäftigt und Entwicklungen zur sicheren Datenverarbeitung in der Cloud unterstützt. Für ein mögliches Zertifizierungsverfahren wurde ein Pilotprojekt aus Mitgliedern aus Standardisierung, Forschung, Wirtschaft, Prüfern und Aufsichtsbehörden zusammengestellt, die einen Anforderungskatalog zur Zertifizierung nach den Vorgaben des BDSG und den Umsetzungsempfehlungen des ISO/IEC 27018:2014 entwickelt haben, das Trusted Cloud Datenschutzprofil (TCDP).

Dr. Hubert Jäger arbeitet bei diesem Pilotprojekt mit und ist Geschäftsführer des Münchner Unternehmens Uniscon. Im Gespräch zu Zertifizierungsverfahren von Cloud-Diensten:

Frage: Ist eine Zertifizierung nach ISO/IEC 27018 überhaupt möglich?
Dr. Hubert Jäger:
Bei genauer Betrachtung wird klar, dass eine Zertifizierung gemäß der Norm ISO/IEC 27001:2013 vorliegen kann, nicht aber eine nach ISO/IEC 27018:2014, die explizit den Datenschutz im Cloud Computing behandelt. Formal handelt es sich bei ISO 27018 lediglich um Umsetzungsempfehlungen. Bei solchen ist niemals definiert, welche Anforderungen genau für ein Zertifikat erfüllt sein müssen. Die Auditoren können nämlich nicht anhand einer Liste die einzelnen Anforderungen überprüfen und dann ein Ergebnis ableiten. Die Meldungen zu "27018-Zertifikaten" beziehen sich auf 27001-Zertifikate, bei denen zusätzlich einzelne Umsetzungsempfehlungen aus 27018 mitberücksichtigt sind.

Frage: Worin besteht denn genau der Unterschied?
Dr. Hubert Jäger:
Die ISO/IEC-Reihe 27000 umfasst Normen für das Informations-Sicherheits-Management, also wie man sich innerhalb einer Organisation um die Sicherheit der Daten kümmert. ISO/IEC 27001:2013 ist der grundlegende Zertifizierungsstandard hierfür, darin geht in erster Linie um Organisatorisches. Der normative Anhang A geht dann auf die IT-Sicherheit ein. Wichtig ist dabei zu wissen, dass für die Zertifizierung ISO/IEC 27001 jede Organisation ihre eigene Risikoanalyse vornimmt und für diese einen passenden Satz an Maßnahmen individuell aussucht. Dadurch ergibt sich, dass ein solches Zertifikat keine Aussage zum Niveau des Datenschutzes und der Datensicherheit erlaubt, sondern es sagt lediglich, dass die zertifizierte Organisation sorgfältig mit dem Thema Informationssicherheit umgeht. Mit welchem Ergebnis bleibt allerdings unklar.

Frage: Sind denn in der Formulierung der ISO/IEC 27018 schon konkrete Vorgaben zur Umsetzung des Datenschutzes bei der Datenverarbeitung in der Cloud definiert?
Dr. Hubert Jäger:
Ja, der Standard 27018 geht konkret auf die neuen Herausforderungen des Cloud Computing ein. Er passt die Umsetzungsempfehlungen des ISO/IEC 27002:2013 an, indem er speziell berücksichtigt, wie Datensicherheit in einer Cloud-Umgebung umzusetzen ist. Zum Beispiel gilt in 27002 noch als positiv, wenn der Administrator möglichst viel sehen, also alle Vorgänge nachvollziehen kann – in 27018 eher negativ. Außerdem werden Anforderungen des Datenschutzes hinzugefügt, wie er in vielen Ländern gesetzlich vorliegt (gemäß ISO/IEC 29100:2011).

Frage: Im Frühjahr 2015 hat die Trusted Cloud Initiative einen Anforderungskatalog für die Datenschutz-ISO 27018 vorgestellt: das Trusted Cloud Datenschutz Profil, kurz TCDP. Ist auf dieser Basis eine Bewertung möglich, die dem Anwender die Sicherheit über seine Daten gibt?
Dr. Huber Jäger:
Ja, das TCDP standardisiert die Anforderungen des Datenschutzes bei Cloud-Diensten, einschließlich der Informationssicherheit. Damit der Cloud Computing-Nutzer eine Auswahl zwischen Diensten treffen kann, muss er vergleichen können. Hierfür sind beim TCDP Schutzklassen vorgesehen, die auf den unterschiedlichen Bedarf an Datensicherheit eingehen. Das erleichtert dem Cloud-Nutzer die Erfüllung der Kontrollpflicht erheblich. Außerdem können CIOs Haftungsrisiken vermeiden.

Frage: Worin liegen denn genau die Vorteile des TCDP gegenüber ISO 27001 und 27018?
Dr. Huber Jäger:
Das TCDP der Bundesregierung etabliert einen Zertifizierungsstandard für Dienste, also nicht für Management-Systeme. Diese Unterscheidung ist wichtig, denn nur so können einzelne Module eines Cloud-Dienstes separat zertifiziert werden. Damit müssen Prüfer nicht für jeden neuen Dienst alle funktionalen Module erneut untersuchen.

Zudem ist das TCDP ein Compliance-Standard. Damit ist gemeint, dass mit einer Bewertung nach diesem Standard bestätigt wird, dass die gesetzlichen Vorgaben erfüllt sind. Nutzer eines Dienstes, der nach TCDP bewertet wurde, können also darauf vertrauen, dass der Anbieter das Datenschutzgesetz einhält. Voraussetzung ist natürlich, dass sie einen Dienst mit der passenden Schutzklasse auswählen.

Dadurch ist die vom Gesetz vorgesehene Kontrollpflicht eines Nutzers bereits wesentlich vereinfacht. In den Entwürfen zum Europäischen Datenschutzgesetz (Grundverordnung) ist sogar vorgesehen, dass eben diese Kontrollpflicht mit der Auswahl eines Dienstes mit Zertifikat als rechtsverbindlich erfüllt gilt. (Uniscon: ra)

Uniscon universal identity control: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Interviews

  • Herausforderungen für MSP

    COVID-19 und der Shutdown sollten ideal geeignet sein, um den Wert eines Managed Services-Modells zu zeigen. Worin liegen aktuell die wichtigsten Vorteile, die MSPs ihren Kunden jetzt bieten können? Zu diesem Thema haben wir mit Doug Lilley, Senior Security Consultant bei Synopsys, gesprochen: Doug Lilley: "Das Managed Services-Modell hat eine Reihe von Schlüsselvorteilen, die gerade jetzt in Zeiten des Covid-19 Shutdown hilfreich sind. Zuallererst und unmittelbar einsichtig: Das Modell war schon immer zu einem großen Teil auf Remote-Working-Szenarien und die damit verbundenen Kundenanforderungen fokussiert. In vielen Fällen wurden Remote-Zugriff, interne und externe Kommunikation und Service Workflows bereits implementiert, getestet und haben sich als effektiv bewährt. Lange vor dem abrupten Zwangsumstieg auf eine Remote-Working-Kultur für ganze Belegschaften rund um den Globus.

  • Unternehmensdaten in der Cloud

    Fachkräfte und innovative Geschäftsmodelle sind wichtige Treiber-Themen der deutschen Wirtschaft. Beides ist in Gefahr - wenn sensible Informationen dazu beispielsweise in der Cloud für faktisch jeden verfügbar sind. Mitverantwortlich für den leichteren Zugang zu den entsprechenden Daten sind Regierungen und Geheimdienste. Denn IT-Sicherheitslücken wurden in der Vergangenheit zum Selbstzweck erst spät oder möglicherweise gar nicht bekanntgegeben. Durch derartige "Einfallstore" sind sensible Unternehmensdaten in der Cloud leichter an- und abgreifbar. Der War for Talents kann so unsichtbar in der extern gehosteten Personalverwaltungssoftware ablaufen. Neuartige, digitale Geschäftsmodelle liegen bereit für "Copy and Paste" durch die Konkurrenz. Marco Lenck, Vorstandsvorsitzender der Deutschsprachigen SAP-Anwendergruppe e.V. (DSAG), kennt die Bedenken und appelliert an Politik, Hersteller und Anwender, hier verlässliche Grundlagen zu schaffen - über Gesetze, eine transparente Kommunikationspolitik und das rasche Etablieren eines digitalen Binnenmarktes.

  • Datenschutz im Cloud Computing

    Seit Standards für den Datenschutz in der Cloud durch die ISO/IEC-Norm 27018 im April 2014 definiert sind, gibt es immer wieder Meldungen von Herstellern, die eine Zertifizierung für die Datenschutzanforderungen durchlaufen haben wollen. Aber ist es überhaupt möglich, eine Zertifizierung nach ISO/IEC 27018 zu erlangen? Wie sieht denn die Prüfung aus und wer ist der Prüfer und Zertifikatsgeber? Sind die in der Cloud gespeicherten Daten tatsächlich sicher vor dem Zugriff Dritter, wie diese Meldungen suggerieren? Das Bundesministerium für Wirtschaft und Energie (BMWI) hat in Deutschland die Trusted Cloud Initiative ins Leben gerufen, die sich mit der Datensicherheit in Cloud-Diensten beschäftigt und Entwicklungen zur sicheren Datenverarbeitung in der Cloud unterstützt. Für ein mögliches Zertifizierungsverfahren wurde ein Pilotprojekt aus Mitgliedern aus Standardisierung, Forschung, Wirtschaft, Prüfern und Aufsichtsbehörden zusammengestellt, die einen Anforderungskatalog zur Zertifizierung nach den Vorgaben des BDSG und den Umsetzungsempfehlungen des ISO/IEC 27018:2014 entwickelt haben, das Trusted Cloud Datenschutzprofil (TCDP).

  • Vertrauen in die Cloud zurückgewinnen

    Der Skandal um die Späh-Programme der amerikanischen und britischen Regierungen hat dem Boom des Cloud Computing einen ersten Dämpfer verpasst - plötzlich keimen Zweifel auf, ob es so eine gute Idee ist, vertrauliche Daten in der Cloud zu speichern. Altrans IT-Security Consultant Benedikt Heintel erläutert im Interview, wie es um die Sicherheit und das Vertrauen in Cloud-Diensten bestellt ist und was Unternehmen nun tun können, um ihre IT-Sicherheit zu erhöhen.

  • Big Data, Cloud und Cyber-Crime

    In der neuen Welt von Cloud und Big Data ist das Thema "Trust" - Vertrauen - essentiell. EMC subsumiert darunter drei Themen: "Identifying & Repelling Threats" (d.h. Identifizierung und die Abwehr von Bedrohungen - Advanced Security), Datenschutz- und Sicherheit (Integrated Backup & Recovery) sowie die Sicherstellung der Verfügbarkeit von Daten, Applikationen und Systemen (Continuous Availability). Gerade die Identifizierung und die Abwehr von Bedrohungen stellen auf Security-Seite eine neue Herausforderung dar. Roger Scheer, Regional Director Germany bei RSA, The Security Division of EMC, erklärt, warum.

  • Sicherheitsfragen beim Cloud Computing

    Ein großes Versicherungsunternehmen und auch die Vorzeige-Internetpartei "Piraten" haben es im Jahr 2012 an Bewusstsein für Datenschutz und Datensicherheit mangeln lassen. Damit liegt das Jahr voll im Trend der vergangenen zehn Jahre. Denn noch immer ist es das fehlende Bewusstsein für die Schutzbedürftigkeit von Daten, das dem Datenklau Tür und Tor öffnet. Gleichzeitig nehmen Compliance-Verpflichtungen immer weiter zu, nach denen Unternehmen gesetzliche und brancheninterne Vorgaben zum Datenschutz einhalten müssen. Deshalb gilt: Wer bisher nicht aufgefallen ist, besitzt noch längst keinen optimalen Schutz. Dr. Volker Scheidemann, Marketingleiter der Applied Security GmbH (apsec), über Sicherheitsfragen beim Cloud Computing und Informationssicherheit als Management-Aufgabe.

  • Performance-Probleme beim Cloud Computing

    Viele Unternehmen migrieren Anwendungen in die Private Cloud. Mit dem Private Cloud-Ansatz können diese Unternehmen einige Vorteile des Cloud Computing in ihrem eigenen Rechenzentrum realisieren. Die IT-Administratoren sind jedoch völlig überrascht, wenn sie erkennen müssen, dass sie auch in ihrer eigenen IT-Infrastruktur mit Performance-Problemen zu kämpfen haben. Chris James, Director of EMEA Marketing bei Virtual Instruments, erklärt die Gründe von Performance-Problemen in der Cloud und wie man ihnen zu Leibe rücken kann.

  • Breitband-Internet und Cloud Computing

    Cloud Computing-Services brauchen Bandbreite. Und seit dem Start der Breitbandinitiative der Bundesregierung hat sich in der Anbindung unterversorgter Flächen und ländlicher Gebiete einiges getan. Doch die Situation ist für Unternehmen abseits der Metropolen immer noch nicht rosig. Hier ist die Kooperation aller Stakeholder gefragt. Josef Glöckl-Frohnholzer, Geschäftsführer von BCC, im Interview zur Versorgung von Gewerbegebieten.

  • Mehr Transparenz für die IT-Steuerung

    Netzwerkmanagement bedeutet mehr als zu überwachen, ob alle Geräte einwandfrei arbeiten. Richtig aufbereitet lassen sich aus der Flut von Überwachungsdaten wichtige Erkenntnisse zur Steuerung der ITK-Infrastruktur eines Unternehmens ableiten. Frank Koppermann, Teamleiter Netzmanagement bei BCC, im Interview.

  • Nearshoring in Norddeutschland oder Indien?

    Bei der Software-Entwicklung von den günstigen Personalkosten in Indien und Asien zu profitieren, das ist die Idee hinter dem klassischen Offshoring. Jedoch sorgt bereits die unterschiedliche Zeitzone für massive Probleme. Daher hat sich eine Sonderform des Offshorings etabliert: das so genannte Nearshoring, also das Auslagern von Dienstleistungen in die Staaten Osteuropas. Aber auch hier steckt der Teufel im praktischen Detail. Deswegen geht das Kieler Softwarehaus Coronic in die Offensive und bietet als erstes Unternehmen "Nearshoring in Norddeutschland" an. Was genau sich dahinter verbirgt und weshalb es sich lohnt, erklärt Coronic-Geschäftsführer Dr. Frank Bock in dem folgenden Interview.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen