zurück Blog
mod IT Blog Datenschutz im Cloud Computing: Es tut sich was!

Datenschutz im Cloud Computing: Es tut sich was!

Neuer Anforderungskatalog zur ISO/IEC 27018 teilt zertifizierte Cloud-Angebote in drei Schutzklassen ein

Mit Cloud Computing die IT-Infrastruktur entschlacken und für alle Eventualitäten gewappnet sein? „Klingt toll, aber leider hapert es noch an der Datensicherheit.“ So denken viele Unternehmen. Aber es gibt Neuigkeiten: Die jüngste Aktualisierung der ISO/IEC 27018 hebt den Schutz personenbezogener Daten in der Cloud auf ein neues Niveau.

Was bisher geschah: die ISO/IEC 27018:2014

Die ISO/IEC 27018 ist seit April 2014 der internationale Standard zum Schutz personenbezogener Daten in der Cloud. Im Januar 2015 hatte ich die Norm vorgestellt. Zertifizierte Cloud-Provider verpflichten sich, personenbezogene Daten ausschließlich entsprechend den Kundenvorgaben zu verarbeiten, den Ort der Datenverarbeitung offenzulegen, Hacker-Angriffe samt Gegenmaßnahmen zu dokumentieren, dem Endnutzer Dateneinsicht zu ermöglichen und anderes mehr. Erste Provider, darunter Microsoft, haben die Norm bereits übernommen.

Neues von der CeBIT 2015: strenge Umsetzungskriterien

„Das ist ein Anfang, reicht aber nicht.“ So reagierten viele IT-Entscheider auf die ISO/IEC 27018. Und in der Tat: Für eine Umsetzung nach den strengen Kriterien des Bundesdatenschutzgesetzes waren die Anforderungen nicht konkret genug. Das ändert sich jetzt: Auf der CeBIT 2015 wurde für April 2015 ein neuer Anforderungskatalog zur ISO/IEC 27018 angekündigt. Er teilt alle zertifizierten Cloud-Angebote in drei Schutzklassen ein. Jede Klasse steht für ein Sicherheitsniveau. Entwickelt wurde der Katalog von dem Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“. Darin arbeiten Sicherheitsexperten aus Industrie, Forschung und Datenschutzaufsichtsbehörden der Trusted-Cloud-Initiative des Bundesministeriums für Wirtschaft und Energie.

Von I bis III+: die Schutzklassen für den Datenschutz im Cloud Computing

Die Schutzklassen richten sich einzig nach Gesichtspunkten des Datenschutzes.

Schutzklasse I definiert die Basisanforderungen: Es darf nicht sein, dass Daten unbefugt verwendet, verändert oder gelöscht werden können. Auch dann nicht, wenn es zu technischen oder organisatorischen Fehlern kommt. Das ist durch angemessene Maßnahmen zu gewährleisten. Vorsätzliche Eingriffe müssen zumindest erschwert werden.

Schutzklasse II verlangt zusätzlich, dass technische oder organisatorische Fehler durch den Cloud-Anbieter und seine Mitarbeiter ausgeschlossen werden. Gegen zu erwartende Eingriffe muss ein „hinreichend sicherer“ Schutz gegeben sein.

Schutzklasse III verlangt zusätzlich, dass die Maßnahmen dem Stand der Technik entsprechen. Außerdem muss der Dienst Eingriffe oder Missbräuche feststellen können.

Wer dann auch noch für alle verwendeten Komponenten die Vertrauenswürdigkeit vollständig nachweisen kann, erhält die Schutzklasse III+.

Diese Sicherheitsniveaus gelten sowohl für die funktionalen als auch für die nicht-funktionalen Merkmale der Infrastruktur, und das über den gesamten Produktzyklus hinweg. Sie werden durch unabhängige Auditoren überprüft.

Rechtssicher: die Zusammenarbeit mit einem zertifizierten Cloud-Provider

Mit den neuen Schutzklassen wird die Datensicherheit unterschiedlicher Cloud-Services vergleichbar. Jedes Unternehmen, das seine Daten an einen entsprechend zertifizierten Anbieter auslagert, kann damit rechtssicher versprechen: „Die Compliance-Vorgaben, auf die wir uns verpflichtet haben, gelten auch in der Cloud.“

1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 4,00 out of 5)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Safe Harbor wird zum EU US Privacy Shield

Safe Harbor wird zum EU US Privacy Shield

Der aktuelle Stand der EU-Verhandlungen und wie die deutschen Datenschutzbehörden dazu stehen   In diesen Tagen ist das Safe-Harbor-Abkommen erneut in den Schlagzeilen. Denn Ende Januar lief die Frist ab, die die europäischen Datenschutzbeauftragen den […]

mehr
Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan mehr
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten mehr
Enterprise Collaboration weitergedacht: das neue Skype for Business mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr

AKTUELLE ARTIKEL

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
IT-ServiceDesk Agent m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr