zurück Blog
mod IT Blog Datenschutz im Cloud Computing: Es tut sich was!

Datenschutz im Cloud Computing: Es tut sich was!

Neuer Anforderungskatalog zur ISO/IEC 27018 teilt zertifizierte Cloud-Angebote in drei Schutzklassen ein

Mit Cloud Computing die IT-Infrastruktur entschlacken und für alle Eventualitäten gewappnet sein? „Klingt toll, aber leider hapert es noch an der Datensicherheit.“ So denken viele Unternehmen. Aber es gibt Neuigkeiten: Die jüngste Aktualisierung der ISO/IEC 27018 hebt den Schutz personenbezogener Daten in der Cloud auf ein neues Niveau.

Was bisher geschah: die ISO/IEC 27018:2014

Die ISO/IEC 27018 ist seit April 2014 der internationale Standard zum Schutz personenbezogener Daten in der Cloud. Im Januar 2015 hatte ich die Norm vorgestellt. Zertifizierte Cloud-Provider verpflichten sich, personenbezogene Daten ausschließlich entsprechend den Kundenvorgaben zu verarbeiten, den Ort der Datenverarbeitung offenzulegen, Hacker-Angriffe samt Gegenmaßnahmen zu dokumentieren, dem Endnutzer Dateneinsicht zu ermöglichen und anderes mehr. Erste Provider, darunter Microsoft, haben die Norm bereits übernommen.

Neues von der CeBIT 2015: strenge Umsetzungskriterien

„Das ist ein Anfang, reicht aber nicht.“ So reagierten viele IT-Entscheider auf die ISO/IEC 27018. Und in der Tat: Für eine Umsetzung nach den strengen Kriterien des Bundesdatenschutzgesetzes waren die Anforderungen nicht konkret genug. Das ändert sich jetzt: Auf der CeBIT 2015 wurde für April 2015 ein neuer Anforderungskatalog zur ISO/IEC 27018 angekündigt. Er teilt alle zertifizierten Cloud-Angebote in drei Schutzklassen ein. Jede Klasse steht für ein Sicherheitsniveau. Entwickelt wurde der Katalog von dem Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“. Darin arbeiten Sicherheitsexperten aus Industrie, Forschung und Datenschutzaufsichtsbehörden der Trusted-Cloud-Initiative des Bundesministeriums für Wirtschaft und Energie.

Von I bis III+: die Schutzklassen für den Datenschutz im Cloud Computing

Die Schutzklassen richten sich einzig nach Gesichtspunkten des Datenschutzes.

Schutzklasse I definiert die Basisanforderungen: Es darf nicht sein, dass Daten unbefugt verwendet, verändert oder gelöscht werden können. Auch dann nicht, wenn es zu technischen oder organisatorischen Fehlern kommt. Das ist durch angemessene Maßnahmen zu gewährleisten. Vorsätzliche Eingriffe müssen zumindest erschwert werden.

Schutzklasse II verlangt zusätzlich, dass technische oder organisatorische Fehler durch den Cloud-Anbieter und seine Mitarbeiter ausgeschlossen werden. Gegen zu erwartende Eingriffe muss ein „hinreichend sicherer“ Schutz gegeben sein.

Schutzklasse III verlangt zusätzlich, dass die Maßnahmen dem Stand der Technik entsprechen. Außerdem muss der Dienst Eingriffe oder Missbräuche feststellen können.

Wer dann auch noch für alle verwendeten Komponenten die Vertrauenswürdigkeit vollständig nachweisen kann, erhält die Schutzklasse III+.

Diese Sicherheitsniveaus gelten sowohl für die funktionalen als auch für die nicht-funktionalen Merkmale der Infrastruktur, und das über den gesamten Produktzyklus hinweg. Sie werden durch unabhängige Auditoren überprüft.

Rechtssicher: die Zusammenarbeit mit einem zertifizierten Cloud-Provider

Mit den neuen Schutzklassen wird die Datensicherheit unterschiedlicher Cloud-Services vergleichbar. Jedes Unternehmen, das seine Daten an einen entsprechend zertifizierten Anbieter auslagert, kann damit rechtssicher versprechen: „Die Compliance-Vorgaben, auf die wir uns verpflichtet haben, gelten auch in der Cloud.“

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 4,00 out of 5)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen mehr
So gestalten Sie die Rollout-Logistik erfolgreich mehr
Safe Harbor wird zum EU US Privacy Shield mehr
Digitalisierung und die Zukunft des Mittelstands mehr

AKTUELLE ARTIKEL

Mittendrin: Ausbildungsstart im Januar funktioniert prima

Ich hatte ja schon ein bisschen Respekt davor, meine Ausbildung zur Fachinformatikerin mit der Ausrichtung Anwendungsentwicklung mitten im Ausbildungsjahr zu beginnen. Aber als ich erst einmal da war, war alles ganz leicht. Probleme mitzuhalten hatte ich […]

mehr
Finde Deinen Traumjob: mod IT Services auf GöBIT 2018 mehr
02.01.2018 – Wir sind wie wir sind – bodenständig, individuell, professionell und kompetent mehr
Desktop-Engineer m/w mehr
mod wünscht fröhliche Weihnachten mehr