Österreich
Secure Your Business
 

A1 setzt auf Cloud-Zertifizierung nach ISO 27018

 

Transparenz für Cloud-Kunden und Daten-Owner: Mit der CIS-Zertifizierung nach ISO 27018 gehört A1 österreichweit zu den Vorreitern für geprüfte Datensicherheit in der Wolke.


(CIS-NL Dez 2016) - Als österreichweit erstes Telekommunikationsunternehmen erreichte A1 Ende November die international anerkannte Zertifizierung ihrer Cloud-Services nach ISO/IEC 27018. „Dieser Standard adressiert Datenschutz bei Cloud-Diensten und leitet weltweit einen neuen Zertifizierungstrend ein“, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, welche die Cloud-Services der A1 auf Herz und Nieren geprüft hat.

 

Add-On zu ISO 27001

Giganten wie Amazon, Microsoft und Dropbox waren zunächst die ersten Global Player, die ausgewählte Cloud-Services nach der jungen Norm ISO 27018 prüfen oder zertifizieren ließen. In Österreich gehören A1, die Novomatic AG und das Bundesrechenzentrum zu den Vorreitern. Veröffentlicht wurde der Standard im Jahr 2014, ursprünglich als Leitfaden für die innerbetriebliche Umsetzung von DatenschutzmaßnahmenMarcus Grausam - beigestellt von A1 - mR für Public Clouds. Eine Zertifizierung nach diesem Leitfaden ist deshalb nur möglich, wenn ein Unternehmen bereits nach dem „Basis-Standard“ für Informationssicherheit ISO 27001 zertifiziert ist, da die Auditoren bei den umgesetzten Maßnahmen auf diesen Zertifizierungsstandard referenzieren müssen. „ISO 27018 ist de facto ein Add On zur ISO 27001 und bietet unseren Kunden somit doppelte Sicherheit in der Cloud: Datenschutz gemäß ISO 27018 sowie die Vertraulichkeit, Verfügbarkeit und Integrität der verwalteten Daten gemäß ISO 27001. Das bedeutet für unsere Kunden, dass sie sich auf mess- und kontrollierbare Sicherheitsstandards beim Betrieb ihrer Applikationen verlassen können – auch bei sensiblen und geschäftskritischen Kundendaten“, betont A1 Technikvorstand Marcus Grausam.

 

Marketing-Message für Cloud-Kunden

Hauptgrund für das Zertifizierungsprojekt der A1 nach ISO 27018 war der Launch des „A1 Marketplace“, ein Portal, das für KMU maßgeschneiderte Cloud-Dienste wie Back-Up, Virtual Server, Domains und Webpräsenz sowie Office 365 anbietet. Da kleine und mittlere Unternehmen kaum Kapazitäten haben, um ihre Cloud-Provider durch aufwendige Vor-Ort-Audits unter die Lupe zu nehmen oder sich durch detailgenaue Verträge datenschutzrechtlich abzusichern, bietet die ISO-27018-Zertifizierung die laut Datenschutzgesetz erforderliche nachprüfbare Sicherheit nach internationalem Maßstab. Denn Cloud-Nutzer sind gegenüber den tatsächlichen Daten-Ownern – meist die Endkunden – für jeden Schaden an in der Wolke gespeicherten Daten haftbar, sofern Fahrlässigkeit vorliegt. Mit einer Zertifizierung nach ISO 27018 wird aufgrund der ständigen Systemverbesserungen, Protokollierungen und Dokumentationen Fahrlässigkeit weitestgehend ausgeschlossen und die Haftung minimiert. Das gilt auch, wenn im Mai 2018 die neue EU-Datenschutzgrundverordnung in den einzelnen EU-Mitgliedsstaaten in Kraft tritt, da ISO 27018 eine Ausrichtung an den jeweils geltenden Datenschutzbestimmungen fordert. Die Anpassungen eines bestehenden Managementsystems an das neue EU-Recht muss auch in externen Audits entsprechend überprüft und abgenommen werden.

 

"KMU Vertrauen in die Cloud geben"

Vielen KMU soll durch diesen Vertrauensvorsprung der Weg in die Cloud erleichtert werden. „Die klare Marketingbotschaft an die B2B-Kunden lautet: Der Schritt in die Cloud birgt keine zusätzlichen Risiken, weil zertifizierte Sicherheit geboten wird. Diese Botschaft können Cloud-Kunden wiederum an ihre Endekunden weiter transportieren“, beschreibt CIS-Geschäftsführer Erich Scheiber den doppelten Marketing-Nutzen einer ISO-27018-Zertifizierung.
Gemäß ISO 27018 müssen zertifizierte Unternehmen oder Organisationen gegenüber ihren Cloud-Nutzern völlige Transparenz an den Tag legen: Welche Daten wo gespeichert sind, welche Sub-Unternehmen wie involviert sind, dass die Daten zu 100 Prozent in Österreich oder im EU-Raum gespeichert werden und ähnliche Informationen werden gemäß ISO 27018 jedem Cloud-Nutzer vertraglich zugesichert. Ebenso hat ein zertifiziertes Unternehmen seine Cloud-Kunden bei der Einhaltung des geltenden Datenschutzrechts aktiv zu unterstützen, indem Prozesse zur Löschung, Rückgabe oder Übertragung von Daten – etwa auf Wunsch der Daten-Owner – implementiert wurden. Erich Scheiber erklärt pointiert: „Mit ISO 27018 verpflichten sich Organisationen nachweislich dazu, die Daten-Owner sozusagen ordentlich zu behandeln.“

 

Riskmanagement gilt auch für ISO 27018

Alle diese Anforderungen wurden im Rahmen eines sechs-monatigen Implementierungsprojekts inklusive eines CIS-Stage-Reviews bei A1 detailgenau erfüllt. Wichtig war dabei auch die Erkenntnis, dass das gesamte ISO-27018-System vollständig in das Riskmanagement gemäß ISO 27001 zu integrieren ist, obwohl die Riskmanagement-Thematik in der ISO 27018 nicht explizit angeführt wird.
Im Geltungsbereich der Zertifizierung befinden sich derzeit rund 50 Server inklusive Testmaschinen. Schritt für Schritt sollen nach Bedarf weitere Cloud-Services in den Scope integriert werden. Daher wurden bewusst sämtliche Richtlinien nicht spezifisch für den A1 Marketplace formuliert, sondern allgemein anwendbar gehalten. So können die Synergien mit dem bestehenden Managementsystem auch künftig gezielt genutzt werden. Bei den jährlich vorgeschriebenen Surveillance-Audits können die CIS-Auditoren neue Services entsprechend mit auditieren und den Scope bei relativ geringem Aufwand erweitern. Auf dieselbe Weise wurde zuvor auch die ISO 27001-Zertifizierung schrittweise erweitert – heute umfasst der Scope für Informationssicherheit das gesamte Unternehmen mit 8.500 Mitarbeitern.


H I N T E R G R U N D - I N F O R M A T I O N


Schwerpunkte im Scope einer ISO-27018-Zertifizierung:

  • Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
  • ISO 27018 verlangt, dass Cloud-Provider Tools anbieten, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
  • Cloud-Provider haben Prozesse festzulegen, die Rückgabe, Übermittlung, Transfer und Vernichtung von personenbezogenen Daten festlegen.
  • Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss von der rechtlichen Verpflichtung in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
  • Personenbezogene Daten sind nicht für eigene Zwecke zu nutzen.
  • Bevor personenbezogene Daten für Marketing- oder Werbezwecke genutzt werden, bedarf es einer ausdrücklichen Einwilligung des Kunden.
  • Cloud-Provider habe die Länder offen zu legen, in denen eine Verarbeitung personenbezogener Daten stattfindet.
  • Cloud-Anbieter müssen dem Kunden jede Art von Verletzung der Datensicherheit anzeigen und ihm diejenigen Informationen bereitstellen, die er seinerseits benötigt, um seinen Anzeigepflichten nachzukommen.
  • Der Zeitraum für die Vornahme der Anzeigeverpflichtung ist festzulegen.
  • Zeitpunkt, Art und Konsequenzen hinsichtlich der Verletzung der Datensicherheit sind zu dokumentieren.

_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB