mod IT Blog Regeln für die Public Cloud – eine neue ISO-Norm will Klarheit schaffen

16. Januar 2015

Regeln für die Public Cloud – eine neue ISO-Norm will Klarheit schaffen

Bei all den viel beschworen Vorteilen des Cloud Computing, mag man sich fragen, was Unternehmen denn eigentlich noch davon abhält. In der Realität gibt es aber tatsächlich noch einige Punkte, über die Unternehmen zu recht zweimal nachdenken. Die Sicherheit der Daten in der Cloud des Anbieters ist einer davon.

Meiner Meinung nach von der Öffentlichkeit zu wenig beachtet, hat die Zertifizierungsorganisation ISO einen neuen Standard eingeführt, der hier für mehr Vertrauen sorgen könnte: ISO/IEC 27018. Der Standard reguliert, wie Daten in einer Public Cloud verarbeitet werden dürfen. Das bedeutet im Klartext, dass sich Cloud-Services-Anbieter, die sich nach ISO/IEC zertifizieren lassen, zur Einhaltung bestimmter Richtlinien verpflichten. Für Kunden wird damit der Markt ein klein wenig transparenter, denn sie können so schneller erkennen, welcher Anbieter ein höheres Sicherheitsniveau bietet.

ISO/IEC 270018 im Detail

Das Credo des neuen Standards ist es vor allem, Kunden von Cloud-Services die Kontrolle über ihre Daten weitgehend zu erhalten. Auch wenn viele der Punkte sich eigentlich selbstverständlich anhören, werden sie in der Praxis noch zu selten gelebt.

So legt der Standard beispielsweise fest, dass personenbezogene Daten ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden dürfen. Der Service-Anbieter verpflichtet sich außerdem, verbindliche Regeln und Prozesse für den Umgang mit den Daten zu definieren und mit dem Kunden abzustimmen. Wie werden die Daten übermittelt? Wie erfolgt die Rückgabe im Falle einer Vertragsbeendigung? Wie und vor allem wo werden die Daten verarbeitet? Im Falle eines Falles kann es sehr wichtig sein, in welchem Land das Rechenzentrum des Dienstleisters sich befindet. Denn die Örtlichkeit entscheidet, ob beispielsweise das strenge deutsche Datenschutzgesetz oder das wesentlich überwachungsfreundlichere amerikanische Recht greift.

Zudem definiert der ISO/IEC 27018-Standard umfangreiche Überwachungsrichtlinien. So müssen zertifizierte Anbieter jede Art von Sicherheitsverletzung dokumentieren. Neben Datum und Art des Vorfalls gehören auch die zu erwartenden Konsequenzen und die eingeleiteten Maßnahmen zur Abwehr in den Bericht, der dem Kunden unverzüglich vorgelegt werden muss.

Die Cloud-Dienstleister werden darüber hinaus angehalten, ihre Kunden bei der Einhaltung ihrer Rechte und Pflichten zu unterstützen. Verlangt etwa ein Endnutzer Einsicht in seine beim Kunden gespeicherten Daten, muss der Cloud-Anbieter mit entsprechenden Tools helfen. Die ISO-Norm verlangt Werkzeuge, die es Endnutzern ermöglichen, auf ihre Daten zuzugreifen und diese zu modifizieren.

Jetzt sind die Anbieter dran

Nun ist es an den Anbietern, ihre Produkte nach ISO/IEC 27018 zertifizieren zu lassen. Der Aufwand könnte sich lohnen: Denn Kunden werden bei der Auswahl eines Dienstleisters Wert auf die Meinung (sprich Zertifizierung) eines unabhängigen Dritten wie der ISO legen. Der undurchsichtige Cloud-Markt mit seinen schwer vergleichbaren Angeboten wird so ein ganzes Stück transparenter.

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan

Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan

Wann ist der richtige Zeitpunkt für einen Schwachstellenscan? Welche Teams sollten Sie einbeziehen? Und inwiefern könnte der laufende IT-Betrieb davon beeinträchtigt werden? Schwachstellenscans zählen zu den wesentlichen Maßnahmen einer Security-Strategie. Meine persönliche Checkliste zeigt Ihnen, […]

weiterlesen
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten weiterlesen
Safe Harbor wird zum EU US Privacy Shield weiterlesen
Wissen, wie Cyberkriminelle agieren: Mitarbeiter-Coaching gehört zum effektiven IT-Schutz dazu weiterlesen

AKTUELLE ARTIKEL

Azubistart 2021 bei mod

  Am 01.September 2021 konnten wir sechs neue Auszubildende zum Fachinformatiker bei mod am Standort in Einbeck willkommen heißen. Nach dem Kennenlernen der mod in ihren Strukturen und ihren Guidelines sind die Jungs in ihren […]

weiterlesen
Arbeiten und Studieren bei mod: Berufsbegleitend Wirtschaftsinformatik studieren weiterlesen
IT-System Engineer (m/w/x) – Network and Security weiterlesen
Ausbildung Fachinformatiker/-in bei mod IT Services: Nicht nur für IT-Nerds weiterlesen