ISO 27001: Vertrauen ist gut, Zertifizierung ist besser
IT-Sicherheit und Datenschutz sind grundlegende Eckpfeiler für jeden Cloud-Provider. Doch woher wissen Unternehmen, dass auch stimmt, was auf der Website versprochen wird? Hier helfen Zertifizierungsstellen, die die Faktenlage prüfen und bezeugen. Beispiele für besonders relevante Zertifizierungen in der Branche sind:
- ISO 27001: eine der wichtigsten internationalen IT-Sicherheits-Zertifizierungen
- ISO 27018: der Datenschutz-Standard für Cloud-Dienste, und das Label Trusted Cloud, das Transparenz und Vertrauen in Cloud-Technologien schaffen will.
Die Verantwortung von Cloud-Anbietern
IT Security sollte in jedem Unternehmen eine hohe Priorität haben. Für Cloud-Anbieter gilt das aber ganz besonders. Hier betreffen Sicherheitsprobleme nicht nur das eigene Business, sondern auch das Business der Unternehmen, die die Cloud-Dienstleistung in Anspruch nehmen. Auch deren Kunden und Partner können in Folge betroffen sein.
Zudem kann man sich bei einer schlechten Aufstellung von IT-Systemen und IT-Prozessen auch auf die Verfügbarkeit der angebotenen Cloud-Dienste nicht richtig verlassen. Und jede Beeinträchtigung der Cloud-Dienste hat natürlich Auswirkungen auf deren Nutzer. Eine durchdachte und konsistente IT-Infrastruktur hingegen senkt Ausfallrisiken und potenzielle Folgekosten.
Cloud-Anbieter tragen somit beim Umgang mit den eigenen Prozessen und den Daten ihrer Kunden eine hohe Verantwortung. Sie müssen Prozesse konsistent aufbauen, Daten sicher speichern und die IT-Infrastruktur vor Angriffen schützen. Für Unternehmen gibt es also viele gute Gründe bei Anbietern genau hinzuschauen.
Aber wie können Unternehmen sich sicher sein, dass der Anbieter auch hält, was er verspricht? Hier drei Möglichkeiten, um ein detaillierteres Bild des Anbieters zu gewinnen:
- Kundenreferenzen anschauen
- In Erfahrung bringen, ob in der Vergangenheit bereits Probleme aufgetreten sind und wie diese gelöst wurden.
- Zertifizierten Anbietern den Vorzug geben.
Um diese Zertifizierung zu erhalten, lassen Cloud-Anbieter ihrem Information Security Management durch externe Experten auf den Zahn fühlen. Diese Bezeugung durch unabhängige Dritte gibt Unternehmen Sicherheit bei ihrer Entscheidung für einen Anbieter.
Die Bedeutung von ISO 27001
ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). 2005 wurde sie zum ersten Mal international und 2007 als DIN-Norm in deutschsprachiger Übersetzung veröffentlicht, und seitdem immer wieder aktualisiert. Die weltweite Anerkennung ist wichtig, da auch Cloud-Provider ihre Services meist länderübergreifend anbieten.
Diese Norm stellt Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Je nach Aufbau und Ziel einer Organisation fallen die Anforderungen unterschiedlich aus und sind so flexibel an das Unternehmen angepasst.
Ein Risikomanagement auf der Höhe der Zeit
Erstrebenswert ist eine Balance aus optimaler Nutzung und optimalem Schutz von Daten. Die Integrität des Systems soll sichergestellt, Geschäftsgeheimnisse geschützt und Arbeitsabläufe vor Störungen bewahrt werden. Der Ansatz ist, Probleme zu erkennen und zu lösen, bevor Sicherheitslücken entstehen.
Der Bestand an Daten, Prozessen und Hardware wird festgestellt, Prioritäten ermittelt und transparent gemacht, und die Frage beantwortet, welche Daten oder Prozesse besonders sensibel und geschäftsrelevant sind und daher auch besonders geschützt werden müssen.
Zentral für den Erfolg ist, dass sich nicht nur die IT-Abteilung mit Informationssicherheit beschäftigt, sondern das ganze Unternehmen. Alle müssen mitgenommen werden, vor allem auch alle Bereiche des Managements.
Wichtig sind auch die Schulung der Mitarbeiter, sowie die Erstellung von Notfallplänen und deren Einübung. Die Zuständigkeiten sollten klar sein und jeder wissen, was er zu tun hat.
ISO 27001 verlangt auch wiederkehrende Checks durch interne Auditoren, bei denen sich Risiken erkennen lassen und die im Anschluss eine Verbesserung der Überwachungs- und Schutzmaßnahmen ermöglichen. Damit ist die so zertifizierte IT-Infrastruktur auch auf bis dato unbekannte Bedrohungen vorbereitet.
Sollte es doch einmal ein Hacker schaffen, die Sicherheitsmaßnahmen zu überwinden, dann ist das zertifizierte Unternehmen so gut vorbereitet, dass es durch eingeübte Abläufe schnell reagieren und den Schaden rasch eindämmen kann.
Was die Zertifizierung nach ISO 27001 garantiert
Das Unternehmen …
- wird den Anforderungen und Zielsetzungen der Informationssicherheit gerecht.
- hat ein kosteneffizientes Sicherheitsrisiko-Management entwickelt.
- hat eine klare Leitlinie für Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit.
- geht mit Gesetzen und Regularien konform.
- verfügt über die nötigen Kompetenzen im Bereich der IT-Sicherheit.
Zertifiziert zu sein, bedeutet, dass die IT-Infrastruktur geprüft und für belastbar befunden wurde. Risiken wie Datenverlust, Informationsmissbrauch, Ausfall der Cloud-Dienstleistung oder Störung von Business-Aktivitäten sind minimiert. Damit hat die Sicherheit von Daten und Systemen oberste Priorität – nicht nur auf der Website, sondern im ganzen Unternehmen.
Weitere wichtige Zertifizierungen
ISO/IEC 27018
Diese Norm definiert einen Datenschutz-Standard für Cloud-Dienste, der sich speziell mit den datenschutzrechtlichen Anforderungen an das Cloud Computing auseinandersetzt. Es wird geprüft, welche Schutzmaßnahmen der Cloud-Provider für personenbezogene Daten ergriffen hat.
Die Zertifizierung bedeutet, dass gesetzliche Vorschriften erfüllt und Sicherheitsrisiken minimiert wurden und ein hohes Niveau an Datensicherheit und Datenschutz besteht.
Trusted Cloud
Trusted Cloud ist ein Label für Cloud Services auf dem deutschen Markt, das vom „Kompetenznetzwerk Trusted Cloud e.V.“ vergeben wird. Dieses wird aktiv vom Bundesministerium für Wirtschaft und Energie unterstützt. Mitglieder sind u. A. der Bundesverband IT-Mittelstand, der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) und die Fraunhofer-Gesellschaft.
Über Fragen von IT-Sicherheit und Datenschutz hinaus, schaut Trusted Cloud auch auf andere für Cloud-Nutzer relevante Kriterien wie Vertragsbedingungen oder den Standort des Rechenzentrums. Es soll Anwendern Sicherheit geben, dass die zertifizierten Cloud-Angebote den Ansprüchen an Transparenz, Sicherheit, Qualität und Rechtskonformität genügen.