ISO 27001, ISO 27018 und CSA Star Level im Überblick

Zertifiziert in die Wolke

| Autor / Redakteur: Antoine Coetsier / Florian Karlstetter

Zertifizierungen von Cloud-Providern: ISO 27001, ISO 27018 und CSA Star Level im Überblick.
Zertifizierungen von Cloud-Providern: ISO 27001, ISO 27018 und CSA Star Level im Überblick. (Bild: gemeinfrei (TeroVesalainen / pixabay) / CC0)

Bei der Auswahl des passenden Cloud-Anbieters werden zumeist das Preis-/Leistungsverhältnis oder der Ort des Hostings genannt. Doch wie kann man eindeutig und zweifelsfrei die Qualität eines Cloud-Dienstleisters nachvollziehen? Hilfe bieten hier eine standardisierte Zertifizierung. Im Fokus stehen die Zertifikate ISO 27001, ISO 27018 und CSA Star Level, die allgemein zu den wichtigsten Zertifikaten gehören.

Die ISO 27001 bietet hier die Grundlage für alle weiteren Zertifizierungen, da sie die Art und Weise überprüft, wie das Unternehmen das Informationssicherheits-Managementsystem verwaltet. Jedoch genügt es nicht, nur diesen Aspekt zu belegen und nachzuweisen, dass der Dienst vertrauenswürdig ist. Am besten beschreibt das Cloud Security Alliance Framework (CSA) das gesamte Spektrum an Sicherheitskontrollen für Cloud-Dienste, das abteilungsübergreifend – von der Personalabteilung bis zum Rechenzentrum und Risikomanagement – genutzt wird.

Aspekte der Cloud-Zertifizierung

Im Einzelnen widmen sich die drei Zertifikate unterschiedlichen Aspekten. ISO 27001 bezieht sich auf das Managementsystem und die automatisierte Verbesserung des Dienstes, während sich ISO 27018 mit der Verwaltung persönlicher Daten und dem Datenschutz befasst. Bis zur Veröffentlichung und Genehmigung der Kodizes für die DSGVO seitens der EU-Behörden ist eine Entsprechung mit diesem Zertifikat der beste Weg, sich auf die neue Datenschutzrichtlinie vorzubereiten. Und schließlich beschreibt CSA Star Level 2 das Sicherheitsniveau des Dienstes.

Die Übereinstimmung mit diesen Normen beschleunigen bei großen Projekten, bei denen die Übermittlung der Zertifikate viele, wenn nicht sogar alle Fragen des Kunden beantwortet, den Presales-Prozess und die Security Due Diligences. Dies ist für B2B-Anbieter von Cloud-Services von großer Bedeutung.

Anforderung bei Hosting-Ausschreibungen

In der Praxis verlangen einige Ausschreibungen die beschriebenen oder gleichwertige Zertifikate. Zwingend ist dieser Nachweis allerdings in der Regel nicht. Die meisten Ausschreibungen, begnügen sich mit einem Nachweis eines diesen Zertifikaten entsprechenden Sicherheitsniveaus. Deswegen sollte sich der Umfang der Zertifizierungen auf das gesamte Produktportfolio eines Cloud-Dienstes beziehen.

Doch bei der Auswahl der passenden Zertifizierungen gibt es auch solche, die weniger geeignet sind. Beispielsweise ist PCI DSS sehr spezifisch und war bis vor kurzem für Cloud-Provider kaum anwendbar. Die Version 3 des Frameworks ist nun angepasst, gilt aber nur noch für Kunden aus dem Finanzsektor, die mit Kreditkarten zu tun haben. Dies ist eine Nische für sehr spezialisierte Dienstleister.

Experten hilfreich für Implementierung

Maßnahmen für Datenschutz und Datensicherheit sollten am besten von Anfang an bei der Konzeption des Dienstes eine maßgebliche Rolle spielen. Cloud-Provider profitieren beim Zertifizierungsprozess daher von passenden Experten im eigenen Unternehmen. So sind zum Beispiel Spezialisten aus Telekommunikationsunternehmen, die bereits relevante Sicherheitsstrukturen aufgebaut haben im Vorteil, wenn es darum geht, das Cloud-Angebot fit für das Zertifikat zu gestalten.

Antoine Coetsier, CEO Exoscale, einem Hosting-Anbieter mit Sitz in der Schweiz.
Antoine Coetsier, CEO Exoscale, einem Hosting-Anbieter mit Sitz in der Schweiz. (Bild: Exoscale)

Doch was bedeutet der Prozess der Zertifizierung für den laufenden Geschäftsbetrieb? Sicher gibt es einige technische Auswirkungen, hauptsächlich aufgrund von verketteten und miteinander verbundenen Sicherheitskontrollen. Um den Gesamtbetrieb jedoch so rund wie möglich laufen zu lassen, sollten Prozesse gründlich dokumentiert und Mitarbeiter des Cloud-Dienstleisters zu den aktuellen Themen permanent geschult und sensibilisiert werden. Letztendlich können an einem Cloud-Service interessierte Unternehmen alleine schon anhand der drei wichtigsten Zertifikate nachvollziehen, wie es um den Anbieter bestellt ist. Für eine Vorauswahl und um die Spreu vom Weizen zu trennen, ist das ein sehr effizientes Instrument, das die Fülle von vorhandenen Angeboten sinnvoll filtert.

Der Autor: Antoine Coetsier ist CEO bei Exoscale.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45401178 / Allgemein)