mod IT Blog Datenschutz im Cloud Computing: Es tut sich was!

31. März 2015

Datenschutz im Cloud Computing: Es tut sich was!

Neuer Anforderungskatalog zur ISO/IEC 27018 teilt zertifizierte Cloud-Angebote in drei Schutzklassen ein

Mit Cloud Computing die IT-Infrastruktur entschlacken und für alle Eventualitäten gewappnet sein? „Klingt toll, aber leider hapert es noch an der Datensicherheit.“ So denken viele Unternehmen. Aber es gibt Neuigkeiten: Die jüngste Aktualisierung der ISO/IEC 27018 hebt den Schutz personenbezogener Daten in der Cloud auf ein neues Niveau.

Was bisher geschah: die ISO/IEC 27018:2014

Die ISO/IEC 27018 ist seit April 2014 der internationale Standard zum Schutz personenbezogener Daten in der Cloud. Im Januar 2015 hatte ich die Norm vorgestellt. Zertifizierte Cloud-Provider verpflichten sich, personenbezogene Daten ausschließlich entsprechend den Kundenvorgaben zu verarbeiten, den Ort der Datenverarbeitung offenzulegen, Hacker-Angriffe samt Gegenmaßnahmen zu dokumentieren, dem Endnutzer Dateneinsicht zu ermöglichen und anderes mehr. Erste Provider, darunter Microsoft, haben die Norm bereits übernommen.

Neues von der CeBIT 2015: strenge Umsetzungskriterien

„Das ist ein Anfang, reicht aber nicht.“ So reagierten viele IT-Entscheider auf die ISO/IEC 27018. Und in der Tat: Für eine Umsetzung nach den strengen Kriterien des Bundesdatenschutzgesetzes waren die Anforderungen nicht konkret genug. Das ändert sich jetzt: Auf der CeBIT 2015 wurde für April 2015 ein neuer Anforderungskatalog zur ISO/IEC 27018 angekündigt. Er teilt alle zertifizierten Cloud-Angebote in drei Schutzklassen ein. Jede Klasse steht für ein Sicherheitsniveau. Entwickelt wurde der Katalog von dem Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“. Darin arbeiten Sicherheitsexperten aus Industrie, Forschung und Datenschutzaufsichtsbehörden der Trusted-Cloud-Initiative des Bundesministeriums für Wirtschaft und Energie.

Von I bis III+: die Schutzklassen für den Datenschutz im Cloud Computing

Die Schutzklassen richten sich einzig nach Gesichtspunkten des Datenschutzes.

Schutzklasse I definiert die Basisanforderungen: Es darf nicht sein, dass Daten unbefugt verwendet, verändert oder gelöscht werden können. Auch dann nicht, wenn es zu technischen oder organisatorischen Fehlern kommt. Das ist durch angemessene Maßnahmen zu gewährleisten. Vorsätzliche Eingriffe müssen zumindest erschwert werden.

Schutzklasse II verlangt zusätzlich, dass technische oder organisatorische Fehler durch den Cloud-Anbieter und seine Mitarbeiter ausgeschlossen werden. Gegen zu erwartende Eingriffe muss ein „hinreichend sicherer“ Schutz gegeben sein.

Schutzklasse III verlangt zusätzlich, dass die Maßnahmen dem Stand der Technik entsprechen. Außerdem muss der Dienst Eingriffe oder Missbräuche feststellen können.

Wer dann auch noch für alle verwendeten Komponenten die Vertrauenswürdigkeit vollständig nachweisen kann, erhält die Schutzklasse III+.

Diese Sicherheitsniveaus gelten sowohl für die funktionalen als auch für die nicht-funktionalen Merkmale der Infrastruktur, und das über den gesamten Produktzyklus hinweg. Sie werden durch unabhängige Auditoren überprüft.

Rechtssicher: die Zusammenarbeit mit einem zertifizierten Cloud-Provider

Mit den neuen Schutzklassen wird die Datensicherheit unterschiedlicher Cloud-Services vergleichbar. Jedes Unternehmen, das seine Daten an einen entsprechend zertifizierten Anbieter auslagert, kann damit rechtssicher versprechen: „Die Compliance-Vorgaben, auf die wir uns verpflichtet haben, gelten auch in der Cloud.“

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 4,00 out of 5)
Loading...

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Totgesagte leben länger - In den Unternehmen ist Blackberry wieder eine Macht

In den Unternehmen ist Blackberry wieder eine Macht

Will man dem Tenor der Medien in den letzten Jahren Glauben schenken, ist Blackberry eine aussterbende Marke. Vergleicht man die heutigen Smartphone-Verkäufe von Blackberry mit denen von vor fünf Jahren, dann sind diese tatsächlich deutlich […]

weiterlesen
Enterprise Collaboration weitergedacht: das neue Skype for Business weiterlesen
Windows 10: Wie Sie die Datenschutz-Einstellungen ändern können weiterlesen
Penetrationstests: Professionelle Angriffsszenarien im Workshop selbst durchführen weiterlesen

AKTUELLE ARTIKEL

Einstieg mod – dann kam der Kulturschock

Am 1. Oktober 2018 hatte THERESA KRAUSE im Inside Sales bei mod ihren ersten Arbeitstag. Wir blicken gemeinsam mit ihr zurück: Wie der erste Arbeitstag war, was es mit dem KULTURSCHOCK auf sich hat und […]

weiterlesen
Anja Osterloh als Landesvorsitzende des Wirtschaftsrates Niedersachsen bestätigt weiterlesen
Cloud Based Computing: Flexibler Hosting-Service für Aucotec AG weiterlesen
mod IT Services – mit Sicherheit IT-Dienstleistung weiterlesen
Schwachstelle Mensch – Social Engineering ist heute aktueller und gefährlicher denn je weiterlesen