Suchen

ISO 27001, ISO 27018 und CSA Star Level im Überblick Zertifiziert in die Wolke

Autor / Redakteur: Antoine Coetsier / Florian Karlstetter

Bei der Auswahl des passenden Cloud-Anbieters werden zumeist das Preis-/Leistungsverhältnis oder der Ort des Hostings genannt. Doch wie kann man eindeutig und zweifelsfrei die Qualität eines Cloud-Dienstleisters nachvollziehen? Hilfe bieten hier eine standardisierte Zertifizierung. Im Fokus stehen die Zertifikate ISO 27001, ISO 27018 und CSA Star Level, die allgemein zu den wichtigsten Zertifikaten gehören.

Firmen zum Thema

Zertifizierungen von Cloud-Providern: ISO 27001, ISO 27018 und CSA Star Level im Überblick.
Zertifizierungen von Cloud-Providern: ISO 27001, ISO 27018 und CSA Star Level im Überblick.
(Bild: gemeinfrei (TeroVesalainen / pixabay) / CC0 )

Die ISO 27001 bietet hier die Grundlage für alle weiteren Zertifizierungen, da sie die Art und Weise überprüft, wie das Unternehmen das Informationssicherheits-Managementsystem verwaltet. Jedoch genügt es nicht, nur diesen Aspekt zu belegen und nachzuweisen, dass der Dienst vertrauenswürdig ist. Am besten beschreibt das Cloud Security Alliance Framework (CSA) das gesamte Spektrum an Sicherheitskontrollen für Cloud-Dienste, das abteilungsübergreifend – von der Personalabteilung bis zum Rechenzentrum und Risikomanagement – genutzt wird.

Aspekte der Cloud-Zertifizierung

Im Einzelnen widmen sich die drei Zertifikate unterschiedlichen Aspekten. ISO 27001 bezieht sich auf das Managementsystem und die automatisierte Verbesserung des Dienstes, während sich ISO 27018 mit der Verwaltung persönlicher Daten und dem Datenschutz befasst. Bis zur Veröffentlichung und Genehmigung der Kodizes für die DSGVO seitens der EU-Behörden ist eine Entsprechung mit diesem Zertifikat der beste Weg, sich auf die neue Datenschutzrichtlinie vorzubereiten. Und schließlich beschreibt CSA Star Level 2 das Sicherheitsniveau des Dienstes.

Die Übereinstimmung mit diesen Normen beschleunigen bei großen Projekten, bei denen die Übermittlung der Zertifikate viele, wenn nicht sogar alle Fragen des Kunden beantwortet, den Presales-Prozess und die Security Due Diligences. Dies ist für B2B-Anbieter von Cloud-Services von großer Bedeutung.

Anforderung bei Hosting-Ausschreibungen

In der Praxis verlangen einige Ausschreibungen die beschriebenen oder gleichwertige Zertifikate. Zwingend ist dieser Nachweis allerdings in der Regel nicht. Die meisten Ausschreibungen, begnügen sich mit einem Nachweis eines diesen Zertifikaten entsprechenden Sicherheitsniveaus. Deswegen sollte sich der Umfang der Zertifizierungen auf das gesamte Produktportfolio eines Cloud-Dienstes beziehen.

Doch bei der Auswahl der passenden Zertifizierungen gibt es auch solche, die weniger geeignet sind. Beispielsweise ist PCI DSS sehr spezifisch und war bis vor kurzem für Cloud-Provider kaum anwendbar. Die Version 3 des Frameworks ist nun angepasst, gilt aber nur noch für Kunden aus dem Finanzsektor, die mit Kreditkarten zu tun haben. Dies ist eine Nische für sehr spezialisierte Dienstleister.

Experten hilfreich für Implementierung

Maßnahmen für Datenschutz und Datensicherheit sollten am besten von Anfang an bei der Konzeption des Dienstes eine maßgebliche Rolle spielen. Cloud-Provider profitieren beim Zertifizierungsprozess daher von passenden Experten im eigenen Unternehmen. So sind zum Beispiel Spezialisten aus Telekommunikationsunternehmen, die bereits relevante Sicherheitsstrukturen aufgebaut haben im Vorteil, wenn es darum geht, das Cloud-Angebot fit für das Zertifikat zu gestalten.

Antoine Coetsier, CEO Exoscale, einem Hosting-Anbieter mit Sitz in der Schweiz.
Antoine Coetsier, CEO Exoscale, einem Hosting-Anbieter mit Sitz in der Schweiz.
(Bild: Exoscale)

Doch was bedeutet der Prozess der Zertifizierung für den laufenden Geschäftsbetrieb? Sicher gibt es einige technische Auswirkungen, hauptsächlich aufgrund von verketteten und miteinander verbundenen Sicherheitskontrollen. Um den Gesamtbetrieb jedoch so rund wie möglich laufen zu lassen, sollten Prozesse gründlich dokumentiert und Mitarbeiter des Cloud-Dienstleisters zu den aktuellen Themen permanent geschult und sensibilisiert werden. Letztendlich können an einem Cloud-Service interessierte Unternehmen alleine schon anhand der drei wichtigsten Zertifikate nachvollziehen, wie es um den Anbieter bestellt ist. Für eine Vorauswahl und um die Spreu vom Weizen zu trennen, ist das ein sehr effizientes Instrument, das die Fülle von vorhandenen Angeboten sinnvoll filtert.

Der Autor: Antoine Coetsier ist CEO bei Exoscale.

(ID:45401178)