Umsetzungsempfehlung oder Anforderungskatalog?

Bei Umsetzungsempfehlungen „ist niemals definiert, welche Anforderungen genau für ein Zertifikat erfüllt sein müssen.“ Auditoren können also nicht anhand einer Liste von Datenschutzanforderungen den Cloud-Dienst dahingehend überprüfen und dann ein Ergebnis ableiten.

Die Meldungen zu „27018-Zertifikaten“ beziehen sich demnach eigentlich auf 27001-Zertifikate, bei denen zusätzlich einzelne Umsetzungsempfehlungen aus 27018 mitberücksichtigt worden sind. Diese Unterscheidung ist deshalb wichtig, weil die ISO/IEC-Reihe 27000 ausschließlich Normen für das Informations-Sicherheits-Management umfasst, also wie man sich innerhalb einer Organisation um die Sicherheit der Daten kümmert. ISO/IEC 27001:2013 ist der grundlegende Zertifizierungsstandard hierfür. Nur der normative Anhang A geht auf die IT-Sicherheit ein.

Für die Zertifizierung ISO/IEC 27001 nimmt jede Organisation ihre eigene Risikoanalyse vor und sucht sich für diese individuell einen passenden Satz an Maßnahmen selbst aus. Daher erlaubt ein solches Zertifikat keine Aussage zum Niveau des Datenschutzes und der Datensicherheit, sondern sagt lediglich, dass die zertifizierte Organisation sorgfältig mit dem Thema Informationssicherheit umgeht. „Mit welchem Ergebnis bleibt unklar“, betont Jäger.

Der Standard 27018 geht dagegen konkret auf die Herausforderungen im Cloud-Computing ein: Er passt die Umsetzungsempfehlungen des ISO/IEC 27002:2013 an, indem er speziell berücksichtigt, wie Datensicherheit in einer Cloud-Umgebung umzusetzen ist. Gilt in 27002 zum Beispiel noch als positiv, wenn der Administrator möglichst viel sehen, also alle Vorgänge nachvollziehen kann, wird das in 27018 eine solche Dateneinsicht eher negativ beurteilt. Außerdem wurden Anforderungen des Datenschutzes hinzugefügt, wie er in vielen Ländern gesetzlich vorliegt.