06.11.2014, 13:26 Uhr

ISO-Norm sorgt für einheitlichen Datenschutz in der Cloud

Vor Kurzem wurde ein neuer ISO-Standard publiziert, der den Datenschutz in der Cloud sicher stellen soll. Wir zeigen auf, was die Norm bringt und was Schweizer Provider davon halten.
Sie ist nur wenige Wochen alt, die Norm ISO/IEC 27018:2014, und richtet sich speziell an die Anbieter von Cloud-Diensten. Die sollen mit der Norm darlegen können, dass sie sich an einen Rahmen von Datenschutzmassnahmen halten. Besonders potenzielle Unternehmenskunden von Cloud-Providern dürften hellhörig werden, sind sie doch vielerorts noch zögerlich, Cloud-Modelle fr die Firmen-IT in die Arme zu schliessen. Aber auch private Anwender von öffentlichen Cloud-Angeboten könnte es künftig interessieren, ob der Provider die Norm verinnerlicht hat, stellt sie doch einen facettenreichen Schutz der eigenen Daten sicher.

Doch was regelt die Norm eigentlich?

Inhaltlich baut die ISO 27018 auf den bereits existierenden Sicherheitsstandards wie der ISO 27001 und ISO 27002 auf. Diese definieren allgemeine Informationen zu Sicherheitsgrundsätzen - dazu gehören beispielsweise die Sicherung von Büros und Einrichtungen oder die Verwaltung von Medien. Einen weiteren Schwerpunkt legt die ISO 27018 aber darauf, durch entsprechende Verpflichtungen, Vertrauen bei Kunden und Behörden bezüglich der Verarbeitung personenbezogener Daten zu schaffen.
Konkret enthält ISO 27018 unter anderen folgende Verpflichtungen für Cloud-Anbieter:
  • Personenbezogene Daten dürfen nur in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
  • Die Norm verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
  • Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
  • Alle relevanten Unterbeauftragungsverhältnisse sowie die Länder, in denen eine Datenverarbeitung stattfindet, müssen vorgängig offengelegt werden.
  • Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
  • Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
  • Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmässigen Intervallen oder aber bei grösseren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.
Nächste Seite: Interesse von Schweizer Provider

Schweizer Sicht auf ISO 27018

Noch ist die frischgebackene ISO-Norm nicht allzu bekannt. Sie stösst allerdings auf Interesse bei den Providern. So auch bei Swisscom. Wie Olaf Schulze, Mediensprecher des Schweizer Telekom-Riesen, gegenüber Computerworld mitteilt, prüfe Swisscom derzeit den Inhalt von ISO 27018. Er weist zudem darauf hin, dass der Fernmelder und IT-Dienstleister bereits ISO-27001-zertifiziert sei, die der Cloud-Norm zugrunde liegt. Diese Norm garantiere einen sicheren IT-Betrieb. «Deshalb ist diese Zertifizierung für uns massgeblich  - auch für die Cloud», meint Schulze. Allerdings kläre man ab, ob Teile der ISO-27018-Empfehlungen übernommen werden könnten. Auch beim Webhosting-Unternehmen Hostpoint stösst ISO 27018 grundlegend auf Interesse. «Grundsätzlich begrüssen wir sämtliche Bestrebungen, die die Sicherheit von Kunden-Informationen und anderen Daten im Internet verbessern», sagt Mediensprecher Thomas Brühwiler auf Anfrage. Man plane aber derzeit nicht, sich nach genau dieser Norm zertifizieren zu lassen. Dies sei derzeit für Unternehmen auch nicht in jedem Fall zwingend notwendig. «Schliesslich regelt die Schweizer Gesetzgebung bereits viele der in der ISO-Norm genannten Verpflichtungen, wie etwa in Bezug auf die Verarbeitung von personenbezogenen Daten oder der Herausgabe von Daten an Strafverfolgungsbehörden», ist Brühwiler überzeugt.
Dieser Artikel verwendet Material, das der Frankfurter Rechtsanwalt Markus Dinnes für unsere deutsche Schwesterpublikation Computerwoche zusammengestellt hat.

Das könnte Sie auch interessieren