Österreich
Secure Your Business
 

Nachweis für sichere Cloud:
„ISO 27001 und ISO 20000 werden von Kunden
akzeptiert und verlangt“

 

Laut Gartner werden bis 2016 gut 40 % der Cloud-Anbieter eine Zertifizierung haben. Am Markt gelten ISO 27001 sowie auch ISO 20000 als „Siegel“ für Sicherheit und Qualität– berichten die Provider POOL4TOOL und Fabasoft.

 

(CIS-Newsletter März 2013) - Zu den großen IT-Trends der kommenden Jahre zählt laut Gartner, dass Cloud-Dienstleister sich verstärkt Security-Überprüfungen unterziehen und Zertifizierungen anstreben. Denn 40 Prozent der Unternehmen gehen im Jahr 2016 laut Prognose *1) nur unter dieser Voraussetzung Cloud-Verträge ein, um die Zusammenarbeit zu vereinfachen. Bisher ist es üblich, dass Kunden selbst einen Sicherheitsprüfer mit dem Testen der Cloud beauftragen. Auch die Bedeutung der Cloud-Dienste wächst laut Gartner weiter und soll weltweit um 18,5 Prozent auf 131 Mrd. US-Dollar zulegen. 
  

Juristische Grundlage
Auch Rechtsanwälte betonen die Notwendigkeit einer Zertifizierung für Cloud-Service-Provider. Denn 02_cloud_web_istockphoto Nisangha_mrwer haftet laut österreichischem Datenschutzgesetz (DSG) bei Datenpannen in der Wolke? Wirtschaftsjuristin Karin Peyerl von der Kanzlei ‚CHSH Cerha Hempel Spiegelfeld Hlawati‘ erklärt: „Das DSG sieht vor, dass Unternehmen Dienstleister wie Cloud-Provider in Anspruch nehmen können. Dies aber mit der Voraussetzung, dass die Dienstleister ausreichend Gewähr für eine sichere Datenverarbeitung bieten. Faktisch bedeutet dies, dass der Cloud-Nutzer für die Auswahl des Providers haftet. Das Unternehmen muss von seinem Provider daher aktiv einen Nachweis für die Einhaltung der gesetzlichen Forderungen verlangen.“
 

ISO 27001 & ISO 20000 als Nachweis für sichere Cloud-Services?
Aus Sicht der Informationssicherheit ist interessant, inwieweit der Markt eine ISO/IEC-27001-Zertifizierung bzw. eine ISO/IEC-20000-Zertifizierung als Nachweis für sichere Cloud-Dienste akzeptiert oder ob darüber hinaus spezifische Cloud-Zertifizierungen notwendig sind. Der CIS-Newsletter befragte dazu zwei heimische Cloud-Service-Anbieter, die ein zertifiziertes Informationssicherheits-Managementsystem nach ISO 27001 betreiben und in ihrem Geschäftsfeld erfolgreich expandieren. Im Gespräch geben Auskunft:
      • Geschäftsführer Dipl.-Ing. Karl Mayrhofer, Fabasoft Distribution GmbH
      • Chief Operations Officer Michael Rösch, POOL4TOOL AG 

_ _ _

 

 

Akzeptieren Ihre Kunden ISO/IEC 27001 als Nachweis für sichere Cloud-Services oder 02_Mayrhofer_web_sverlangen Sie zusätzliche Nachweise?

 

Fabasoft: Sowohl ISO 27001 als auch ISO 20000 sind als Nachweis für die zertifizierte Sicherheit und Zuverlässigkeit von Cloud-Services gleichermaßen anerkannt. Beide haben unterschiedliche Inhaltsschwerpunkte und wirken sicher als Kombination am stärksten.

 

POOL4TOOL: Wir sind für Informationssicherheit nach ISO 27001 sowie für Datenschutzqualität vom TÜV-Rheinland zertifiziert, was sehr gut angenommen wird. Kunden aus 02_Rösch_web_mrDeutschland fordern zusätzlich ein Datenschutzaudit nach § 11 BDSG, was wir kürzlich erfolgreich bestanden haben. Viele Großkonzerne haben ihre eigenen Sicherheitsvorschriften. Daher werden unsere Prozesse und Systeme regelmäßig auch durch unsere Kunden überprüft – vor Ort und Remote. Durch die bereits erlangten Zertifikate fallen die Audits der Kunden im Normalfall kürzer und dadurch kostengünstiger aus. Wir beobachten den Trend, dass sich auch verstärkt Unternehmen der Rüstungs- und Pharmabranche für Cloud-Lösungen interessieren – hier sind zertifizierte Prozesse eine Grundvoraussetzung.

_ _ _

 

 

Wodurch ist ISO 27001 inhaltlich geeignet, um Cloud Services nachhaltig abzusichern?

 

Fabasoft: ISO 27001 definiert die Anforderungen an das Sicherheitsmanagement von Cloud-Services, während sich ISO 20000 auf das Management von IT-Service-Prozessen fokussiert,
also auf den zuverlässigen Betrieb von Cloud-Services mit messbaren Service-Levels.

 

POOL4TOOL: Durch die sich ständig ändernden Systeme braucht man zur Absicherung von Cloud Services ein hoch flexibles Managementsystem. Ein ISMS nach ISO 27001 ermöglicht mit dem Ansatz der ständigen Prozessverbesserung eine sehr gute Anpassung an den ständigen technologischen Wandel. Jährliche Re-Zertifizierungen gewährleisten langfristig bestmögliche Sicherheit.

_ _ _

 

 

Werden Sie in den kommenden 3-5 Jahren über ISO 27001 hinaus auch noch eine spezifische Cloud-Zertifizierung benötigen oder anstreben?

 

Fabasoft:  Neben den Zertifizierungen gemäß ISO 27001 und ISO 20000 hat Fabasoft auch bereits die Prüfung gemäß ISAE 3402 und die Prüfung auf revisionssichere Archivierung absolviert. Darüber hinaus ist Fabasoft zertifiziert nach MoReq2 für Dokumenten-, Prozess- und Aktenmanagement. Wir wünschen uns aber dennoch in naher Zukunft ein Zertifizierungsverfahren für Cloud-Dienste europäischer Prägung, unter EU-Schirmherrschaft. Beispielsweise gibt die Public Cloud von Fabasoft den Kunden die Wahlfreiheit und die Gewissheit, in welchen Ländern die Speicherung ihrer Cloud-Daten erfolgt: in Deutschland, in Österreich oder in der Schweiz. Diese Cloud-Merkmale haben in Europa zentrale Bedeutung, sind aber aktuell durch keine Zertifizierungen erfasst.

 

POOL4TOOL: Wir werden auch in den nächsten Jahren in das Thema Sicherheit investieren - das ISO-20000-Zertifikat ist beispielsweise eines, das wir zukünftig anstreben. Der Bedarf einer spezifischen Cloud-Zertifizierung ist derzeit aber nicht absehbar.

_ _ _

 

 

Wie hoch bewerten Sie die inhaltlichen Synergien mit anderen Standards?

 

Fabasoft: Der Anforderungskatalog „Cloud Computing Information Assurance Framework“ der Organisation ENISA (European Network and Information Security Agency, www.enisa.eu), der unter vielen anderen ein möglicher Rahmen einer europäischen Cloud-Zertifizierung sein könnte, definiert 10 Hauptgruppen:
1. Personnel Security
2. Supply Chain Assurance
3. Operational Security
4. Identity and Access Management
5. Asset Management
6. Data and Services Portability
7. Business Continuity Management
8. Physical Security
9. Environmental Controls
10. Legal Requirements
Die Hauptgruppen 1, 3, 4, 5, 7, 8 und 9 haben nach meinem Eindruck auch bei ISO 27001 und ISO 20000 Eingang gefunden. Die Hauptgruppen 2, 6 und 10 betreffen primär Cloud-spezifische Merkmale. Also scheint die inhaltliche Synergie tatsächlich sehr hoch zu sein. Wobei es viele andere Ansatzpunkte für eine europäische Zertifizierung gäbe, die möglicherweise ein anderes Bild zeichnen.

 

POOL4TOOL: Die verschiedenen Zertifikate und Datenschutzaudits überschneiden sich grundsätzlich, was sich für uns sehr positiv auswirkt. Ein erlangtes Zertifikat erhöht automatisch das Niveau auf dem Prozesse gestaltet sind und hilft damit automatisch bei der Erfüllung weiterer Standards. Bereits 2004 haben wir durch unseren ersten großen Kunden Alcan ein Security-Audit nach SOX-Kriterien durchgeführt, worauf die nachfolgenden Überprüfungen aufbauen konnten.
_ _ _

 

 

Ist noch eine ISO-20000-Zertifizierung im Zusammenhang mit Cloud Services geplant – aus welchen konkreten Gründen?

 

POOL4TOOL: Als Cloud-Anbieter versuchen wir in Punkto Sicherheit immer einen Schritt voraus zu sein und sind bestrebt, unsere Standards stetig weiterzuentwickeln – als Ausdruck einer starken Selbstverpflichtung. Daher streben wir zukünftig auch die ISO-20000-Zertifizierung an.
_ _ _

 

 

Welche IT-Dienste bieten Sie als Cloud Services an?

 

Fabasoft: Fabasoft bietet mit Folio Cloud eine Software-as-a-Service in einer Public Cloud für Dokumenten-, Prozess- und Geschäftsfall-Management sowie B2B Collaboration. Das Fabasoft-Tochterunternehmen Mindbreeze stellt mit Mindbreeze InSite ein Cloud-Service zur Verfügung, das alle Informationen und Dokumente auf Web-Portalen, Websites, Blogs und Social-Media-Kanälen in einer semantischen Website-Suche erschließt. Darüber hinaus nutzen Entwicklungspartner die Fabasoft Cloud Plattform (Platform-as-a-Service) für die modellbasierte Umsetzung von grenzenlosen Businesslösungen in der Cloud (Cloud Apps).

 

POOL4TOOL: Alle unsere Lösungen zur Einkaufsoptimierung werden als Cloud Services angeboten. Wir unterstützen mit unserem Produktportfolio die Prozesskette von der Produktentstehung über den strategischen und operativen Einkauf bis hin zur EDI-Kommunikation mit den Lieferanten sowie die globale Produktkosten-Kalkulation – im Detail: Supplier Relationship Management/SRM, Sourcing, eProcurement, Purchase Order Management/POM, VMI, Qualitätsmanagement, Lieferantenbewertung und Produktkosten-Kalkulation.

 

 

*1) Bericht über Gartner-Prognose: http://www.computerworld.ch/marktanalysen/studien-analysen/artikel/10-gartner-trends-bis-2017-60584/2/

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB