Datenschutz im Cloud Computing: Es tut sich was!

Neuer Anforderungskatalog zur ISO/IEC 27018 teilt zertifizierte Cloud-Angebote in drei Schutzklassen ein

Mit Cloud Computing die IT-Infrastruktur entschlacken und für alle Eventualitäten gewappnet sein? „Klingt toll, aber leider hapert es noch an der Datensicherheit.“ So denken viele Unternehmen. Aber es gibt Neuigkeiten: Die jüngste Aktualisierung der ISO/IEC 27018 hebt den Schutz personenbezogener Daten in der Cloud auf ein neues Niveau.

WAS BISHER GESCHAH: DIE ISO/IEC 27018:2014

Die ISO/IEC 27018 ist seit April 2014 der internationale Standard zum Schutz personenbezogener Daten in der Cloud. Im Januar 2015 hatte ich die Norm vorgestellt. Zertifizierte Cloud-Provider verpflichten sich, personenbezogene Daten ausschließlich entsprechend den Kundenvorgaben zu verarbeiten, den Ort der Datenverarbeitung offenzulegen, Hacker-Angriffe samt Gegenmaßnahmen zu dokumentieren, dem Endnutzer Dateneinsicht zu ermöglichen und anderes mehr. Erste Provider, darunter Microsoft, haben die Norm bereits übernommen.

NEUES VON DER CEBIT 2015: STRENGE UMSETZUNGSKRITERIEN

„Das ist ein Anfang, reicht aber nicht.“ So reagierten viele IT-Entscheider auf die ISO/IEC 27018. Und in der Tat: Für eine Umsetzung nach den strengen Kriterien des Bundesdatenschutzgesetzes waren die Anforderungen nicht konkret genug. Das ändert sich jetzt: Auf der CeBIT 2015 wurde für April 2015 ein neuer Anforderungskatalog zur ISO/IEC 27018 angekündigt. Er teilt alle zertifizierten Cloud-Angebote in drei Schutzklassen ein. Jede Klasse steht für ein Sicherheitsniveau. Entwickelt wurde der Katalog von dem Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“. Darin arbeiten Sicherheitsexperten aus Industrie, Forschung und Datenschutzaufsichtsbehörden der Trusted-Cloud-Initiative des Bundesministeriums für Wirtschaft und Energie.

VON I BIS III+: DIE SCHUTZKLASSEN FÜR DEN DATENSCHUTZ IM CLOUD COMPUTING

Die Schutzklassen richten sich einzig nach Gesichtspunkten des Datenschutzes.

Schutzklasse I definiert die Basisanforderungen: Es darf nicht sein, dass Daten unbefugt verwendet, verändert oder gelöscht werden können. Auch dann nicht, wenn es zu technischen oder organisatorischen Fehlern kommt. Das ist durch angemessene Maßnahmen zu gewährleisten. Vorsätzliche Eingriffe müssen zumindest erschwert werden.

Schutzklasse II verlangt zusätzlich, dass technische oder organisatorische Fehler durch den Cloud-Anbieter und seine Mitarbeiter ausgeschlossen werden. Gegen zu erwartende Eingriffe muss ein „hinreichend sicherer“ Schutz gegeben sein.

Schutzklasse III verlangt zusätzlich, dass die Maßnahmen dem Stand der Technik entsprechen. Außerdem muss der Dienst Eingriffe oder Missbräuche feststellen können.

Wer dann auch noch für alle verwendeten Komponenten die Vertrauenswürdigkeit vollständig nachweisen kann, erhält die Schutzklasse III+.

Diese Sicherheitsniveaus gelten sowohl für die funktionalen als auch für die nicht-funktionalen Merkmale der Infrastruktur, und das über den gesamten Produktzyklus hinweg. Sie werden durch unabhängige Auditoren überprüft.

RECHTSSICHER: DIE ZUSAMMENARBEIT MIT EINEM ZERTIFIZIERTEN CLOUD-PROVIDER

Mit den neuen Schutzklassen wird die Datensicherheit unterschiedlicher Cloud-Services vergleichbar. Jedes Unternehmen, das seine Daten an einen entsprechend zertifizierten Anbieter auslagert, kann damit rechtssicher versprechen: „Die Compliance-Vorgaben, auf die wir uns verpflichtet haben, gelten auch in der Cloud.“