Überprüfung der IT-Sicherheit von Cloud-Anbietern

Wenn Unternehmen ihre Daten oder ganze Wertschöpfungsketten in die Cloud verlagern wollen, machen sie sich vor allem Gedanken über die Sicherheit des Cloud-Computings. Mehr oder weniger alle Cloud-Anbieter werben damit, sehr, sehr, sehr sicher zu sein. Aber wie können Unternehmen prüfen, welche Cloud-Services wirklich sicher sind? Worauf sollten Firmen achten, die selbst nicht über ausreichend Fachwissen verfügen, um die tatsächliche IT-Sicherheit und auch die Einhaltung des Datenschutzes beim Cloud-Computing feststellen zu können?

Wer haftet für Datensicherheit & Datenschutz in der Cloud?

Wer seine Daten in der Cloud speichert oder verarbeitet, geht mit dem Anbieter in der Regel ein Auftragsdatenverarbeitungsverhältnis ein. Bei einer solchen Verarbeitung von Daten im Auftrag bleibt jedoch der Auftraggeber für die Wahrung des Datenschutzes und im Zusammenhang damit auch der IT-Sicherheit verantwortlich. Neben einem gültigen Vertrag zur Auftragsdatenverarbeitung ist der Auftraggeber deswegen vom Gesetz aufgefordert, die technischen und organisatorischen Maßnahmen des Auftragnehmers zu überprüfen.

Doch bei der Überprüfung von Cloud-Anbietern stellen sich mehrere Herausforderungen. Zum einen liegt häufig eine größere räumliche Distanz zum Rechenzentrum des Anbieters vor. Zum anderen fehlt oft die notwendige Fachkunde, um getroffene Sicherheits- und Schutzmaßnahmen entsprechend einschätzen zu können. Hinzu kommt, dass die Prüfung und deren Ergebnis zum Nachweis der eigenen Sorgfalt dokumentiert werden müssen, was weiteren Aufwand und entsprechende Kenntnisse erfordert.

Selbstauskünfte des Cloud-Anbieters

Als Hilfsmittel bei der Überprüfung können deshalb eigene Nachweise bzw. Selbstauskünfte des Cloud-Anbieters dienen, die den vorhandenen Grad des Datenschutzes und der IT-Sicherheit beschreiben. Hierbei wird oft ein Datenschutzkonzept oder vergleichbares Dokument vorgelegt. Es sollte technische und organisatorische Maßnahmen umfassen sowie Angaben zum Datenschutzmanagement. Dabei sollte sich die Beschreibung auf alle Rechenzentren des Cloud-Anbieters beziehen sowie auf alle Orte, von denen aus Mitarbeiter tätig werden (inkl. Administration, Support, Verwaltung).

Qualitäts-Siegel & Zertifikate für Cloud-Computing

Zusätzlich zu Selbstauskünften sollte der Cloud-Anbieter auch über Zertifizierungen durch Dritte verfügen. Hier existiert eine nahezu unüberschaubare Vielfalt an Qualitätssiegeln, Zertifikaten, Bestätigungen und Ähnlichem. Um die Spreu vom Weizen zu trennen, sollte auf die Anerkennung der Zertifizierung durch (unabhängige) Fachkreise geachtet werden. Denn viele der sogenannten Gütesiegel gewährleisten nicht die Übereinstimmung mit bestehenden normativen oder rechtlichen Anforderungen oder Best-Practices.

Gute Qualitätssiegel zeichnen sich hingegen mindestens durch folgende Eigenschaften aus:

  • Die Anforderungen (an IT-Sicherheit oder Datenschutz etc.) müssen nachvollziehbar sein. Im Idealfall sind die Prüfungskataloge öffentlich zugänglich oder beruhen auf einem öffentlich anerkannten Standard.
  • Die Anforderungen müssen für den entsprechenden Bereich relevant sein. Denn z. B. eine gültige ISO 9001 Zertifizierung besagt zwar, dass ein Qualitätsmanagement im Unternehmen vorliegt, trifft aber keinerlei Aussagen über Datensicherheit etc.
  • Der Nachweis muss aktuell bzw. gültig sein. Gerade die Überprüfung von Maßnahmen zur IT-Sicherheit und zum Datenschutz müssen regelmäßig stattfinden.
  • Der Nachweis muss sich auf alle relevanten Standorte beziehen. Ein zertifiziertes Rechenzentrum ist zwar lobenswert, wenn der Zugriff auf Daten aber auch von anderen – nicht geprüften – Standorten erfolgen kann, reicht dies nicht aus.

ISO Zertifizierungen für Cloud-Computing

Wer angesichts dieser in der Praxis zu findenden Diversität bei der Cloud-Sicherheit auf „Nummer-Sicher“ gehen will, sollte ausschließlich auf Anbieter mit einer ISO-Datensicherheits-Zertifizierung setzen. Hierfür kommen folgende Normen infrage:

ISO 27001 – Informationssicherheitsmanagement

Mit einer Zertifizierung nach ISO 27001 (nativ) bezeugt ein unabhängiger Auditor, dass im überprüften Unternehmen ein geplantes und kontrolliertes Vorgehen eingerichtet ist, um angemessene Informationssicherheit zu erreichen und aufrecht zu erhalten. Die Norm ISO 27001 besagt allerdings vor allem, dass eine taugliche Vorgehensweise zur Erreichung von Informationssicherheit existiert; hingegen nicht unbedingt, dass bereits ein hohes Sicherheitsniveau erreicht wurde.

Tipp: Da ein Informationssicherheitsmanagementsystem (ISMS) auf stetige Verbesserungen ausgelegt ist, kann bei bereits länger existierender bzw. wiederholter Zertifizierung zumindest angenommen werden, dass das Informationssicherheitsniveau bereits ausgereifter ist.

ISO 27018 – Datenschutz für Cloud-Dienste

Die Norm ISO 27018 ergänzt die ISO 27001 um speziell für Cloud-Anbieter relevante Anforderungen. Ein offizielles, von einer akkreditierten Prüfstelle vergebenes Zertifikat nach ISO 27018 ist derzeit leider noch nicht verfügbar. Führen Anbieter ein entsprechendes Zertifikat, ist dieses von einer privaten Stelle vergeben und besitzt nicht die gleiche Gewähr.

ISO 27001 auf Basis IT-Grundschutz

Eine Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz (auch BSI-Grundschutz genannt) gewährleistet derzeit die beste Einschätzung des real vorliegenden IT-Sicherheitsniveaus des Anbieters von außen. Denn ein BSI-Grundschutz-Zertifikat bescheinigt neben einem funktionsfähigen Informationssicherheitsmanagementsystem auch die angemessene Umsetzung des IT-Grundschutzkatalogs vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Weil der IT-Grundschutzkatalog viele hundert konkrete Sicherheitsmaßnahmen beschreibt, kann bei einer Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz von einem tatsächlich vorhandenen und belegbaren Datensicherheitsniveau ausgegangen werden.

Datenschutzstandard DS-BvD-GDD-01

Zu guter Letzt sei das in Kooperation mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen entwickelte Datenschutz-Zertifikat DS-BvD-GDD-01 erwähnt. Es beruht auf sinnvollen und auch veröffentlichten Anforderungen und ist somit als Nachweis grundsätzlich tauglich. Trotz bereits mehrerer Jahre seines Bestehens, konnte sich der Standard in der Praxis aber nicht durchsetzen. Das könnte vor allem daran liegen, dass die Anforderungen und Kosten sowie der Umsetzungs- und Prüfungsaufwand hierfür so hoch sind, dass eine wesentlich wettbewerbsrelevantere Zertifizierung nach ISO 27001 oder BSI-Grundschutz bereits in greifbarer Nähe ist.

Fazit: Vor allem ISO-Zertifikate helfen bei der Prüfung

In der Gesamtbetrachtung zeigt sich, dass die Überprüfung des Cloud-Anbieters hinsichtlich IT-Sicherheit und Datenschutz eine äußerst anspruchsvolle Aufgabe ist, soll sie rechtskonform erfolgen. In der Regel empfiehlt es sich deswegen, den eigenen Datenschutzbeauftragten und anderes Fachpersonal frühzeitig hinzuzuziehen oder auf externe Experten zurückzugreifen.

Sollen Dokumente, Qualitätssiegel oder Zertifizierungen des Cloud-Anbieters die eigene Prüfung teilweise ersetzen, ist auf deren Aussagekraft, Relevanz und Gültigkeit zu achten. Anerkannte ISO-Schutznormen wie ISO 27001 und ISO 27001 auf Basis IT-Grundschutz gewährleisten hierbei die größte Sicherheit.

Sicherheit in der Cloud steht auch bei Ihnen an erster Stelle? Dann sollten wir noch heute ins Gespräch kommen!

Leave a Reply

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.