Datenschutz-Zertifikat?

Das steckt hinter dem ISO-Standard 27018

von - 04.08.2015
Daten in der Cloud
Foto: Shutterstock/Melpomene
Viele Unternehmen tun sich schwer, Daten in die Cloud auszulagern. Besonders Dienste von US-Anbietern sind ihnen aus Datenschutzgründen suspekt. Bringt der ISO-Standard 27018 mehr Sicherheit?
Seit Standards für den Datenschutz in der Cloud durch die ISO/IEC-Norm 27018 im April 2014 definiert sind, gibt es immer wieder Meldungen von Herstellern, die eine Zertifizierung für die Datenschutzanforderungen durchlaufen haben wollen. So hat Dropbox Business im Mai verkündet, als einer der „ersten großen Cloud-Anbieter das ISO-Gütesiegel 27018“ erhalten zu haben.
Uniscon-Chef Hubert Jäger
Uniscon-Chef Hubert Jäger: „Eine Zertifizierung kann gemäß der Norm ISO/IEC 27001:2013 erfolgen, nicht aber nach ISO/IEC 27018:2014.“
(Quelle: Uniscon )
Microsoft wirbt schon seit Februar damit, dass die Cloud-Dienste Office 365 und Dynamics CRM Online von dem British Standards Institute nach den Sicherheitsstandards zertifiziert worden sind, wie sie ISO/IEC 27018 definiert. „Endlich“, dürften manche Unternehmer denken, die sich mit dem Gedanken tragen, die firmeneigenen Dokumente in die Cloud auszulagern.
Tatsache ist, dass die US-Konzerne stärkere Datenschutz-Argumente brauchen, um für Unternehmen im europäischen Raum glaubwürdig zu sein. Ein Zertifikat nach ISO/IEC 27018:2014 käme ihnen deshalb gelegen: Die Aufgabe eines solchen Zertifikats wäre es ja zu beglaubigen, dass die gesetzlichen Vorgaben und Normen auf EU-Ebene vom Cloud-Dienstleister eingehalten werden.
Allerdings ist es noch nicht ganz so weit. „Klar ist, dass eine Zertifizierung gemäß der Norm ISO/IEC 27001:2013 erfolgen kann, nicht aber eine nach ISO/IEC 27018:2014, die explizit den Datenschutz im Cloud-Computing behandelt“, erläutert Hubert Jäger, Geschäftsführer des IT-Sicherheitsunternehmens Uniscon und Mitglied des Pilotprojekts „Datenschutz-Zertifizierung“, das vom Bundesministerium für Wirtschaft und Energie im Rahmen des Trusted Cloud Programms ins Leben gerufen wurde. „Formal“, ergänzt Jäger, „handelt es sich bei ISO 27018 lediglich um Umsetzungsempfehlungen.“
Verwandte Themen