Zur CeBIT erscheint Anforderungskatalog nach Bundesdatenschutzgesetz

Neues ISO-Datenschutzzertifikat erleichtert Auswahl des Cloud-Anbieters

| Redakteur: Elke Witmer-Goßner

Internationale Standards sind gut und recht – dennoch kommt man um eine spezielle Betrachtung nach deutschem Recht nicht herum, so auch bei der neuen ISO-Norm für mehr Datenschutz in der Cloud.
Internationale Standards sind gut und recht – dennoch kommt man um eine spezielle Betrachtung nach deutschem Recht nicht herum, so auch bei der neuen ISO-Norm für mehr Datenschutz in der Cloud. (Bild: Ristaumedia, Fotolia)

Der neue internationale Standard ISO/IEC 27018, der seit Mitte 2014 gilt, soll besseren Datenschutz in der Cloud gewährleisten. Anders als der Sicherheitsstandard ISO/IEC 27002 reguliert die neue ISO-Norm speziell die Verarbeitung personenbezogener Daten in der Cloud.

Der ISO/IEC 27018-Standard wurde von der International Organization for Standardization (ISO) mit dem Ziel entwickelt, ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen. Zur CeBIT 2015 soll die ISO-Norm 27018 konkretisiert werden, indem ein Anforderungskatalog mit Umsetzungsempfehlungen, der speziell das deutsche Datenschutzrecht berücksichtigt, vorgestellt wird. Dieser soll künftig als Grundlage für Zertifizierungen deutscher Cloud-Anbieter relevant sein und eine kritische Lücke bezüglich der Sicherheitsbewertung von Cloud-Angeboten schließen.

Basierend auf den Umsetzungsempfehlungen der ISO/IEC 27018:2014 und weiteren Evaluationskriterien zur Erfüllung des Bundesdatenschutzgesetzes (BDSG) wird das Sicherheitsniveau der Cloud-Angebote in drei Schutzklassen eingeteilt. Damit der Staat Zertifikate für Cloud-Services überhaupt anerkennen kann, müssen Datenaudits zu vergleichbaren Zertifikaten führen. Voraussetzungen für diese Vergleichbarkeit sind die Konkretisierung der Norm ISO 27018 und die Formulierung von Schutzklassen. Damit kann der Anwender dann wesentlich leichter, die Cloud-Dienste erkennen, die seinen Anforderungen entsprechen.

Zertifizierung nach Schutzklassen

Eine Arbeitsgruppe mit Mitgliedern aus Wirtschaft und Forschung sowie den Aufsichtsbehörden hat den Anforderungskatalog nach ISO/IEC 27018 erarbeitet. „Bisher fehlte ein Werkzeug, um das Sicherheitsniveau der verschiedenen Cloud-Anbieter einordnen zu können“, erklärt Dr. Hubert Jäger, Geschäftsführer der Uniscon GmbH und Mitarbeiter im Pilotprojekt. Jetzt habe man technikneutrale Kriterien für eine Einordung in Schutzklassen entwickelt. Denn als Maßstab für den Vergleich verschiedener Dienste sei es nicht ausreichend, wenn Cloud-Dienstanbieter selbst eine Risikoanalyse durchführten und dementsprechend mit ihrem Informations-Sicherheitsmanagement reagierten: „Es ist also dringend notwendig, durch die Entwicklung von konkret nachprüfbaren Sicherheitsprofilen eine Orientierung zu geben, die einen Vergleich der Dienste nach Gesichtspunkten des Datenschutzes ermöglicht“, betont Dr. Jäger.

Uniscon informiert Interessierte während der CeBIT 2015 in Halle 7, Stand B62, über die Schutzklassen und deren Bedeutung für die Anwender.

Microsoft setzt neue ISO-Norm um

Microsoft gab inzwischen bekannt, den internationalen ISO/IEC 27018-Standard für Datenschutz in der Cloud für seine Cloud-Services übernommen zu haben. Das British Standards Institute (BSI) habe nun von unabhängiger Seite überprüft, dass zusätzlich zu Microsoft Azure auch Office 365 und Dynamics CRM Online mit den „Codes of Practice“ des Standards zum Schutz personenbezogener Daten (Personally Identifiable Information, PII) in Public Clouds entsprächen. Zudem sei auch Microsoft Intune vom Bureau Veritas entsprechend getestet worden.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43212338 / Recht und Datenschutz )