Zertifizierung von RZ-Infrastrukturen

Ein Siegel für die Cloud

22. Juni 2016, 06:00 Uhr   |  Volker Rauscher, Head of Service Management bei 1&1 Internet, www.1und1.info./wg

Ein Siegel für die Cloud

Zertifizierte IT-Systeme steigern das Vertrauen in deren Betreiber. Dadurch ergeben sich neue Optionen für die Anbieter von Cloud-Infrastrukturen. Das Ausmaß, in dem sich eine Cloud-Infrastruktur zertifizieren lässt, ist allerdings nach wie vor noch im Aufbau begriffen.

Der digitale Wandel schreitet stetig voran und hinterlässt seine Spuren in Wirtschaft und Gesellschaft. Unternehmen sehen sich der Herausforderung gegenüber, ihre Geschäftsprozesse an diese tiefgreifenden Veränderungen anzupassen oder sie laufen auf lange Sicht Gefahr, den Anschluss an den Wettbewerb zu verlieren. Den jüngsten Erkenntnissen des Bitkom zufolge werden die Unternehmen sich dessen zunehmend bewusst: 64 Prozent der befragten Vorstände und Geschäftsführer bestätigen inzwischen, dass sich im Zuge der Digitalisierung ihr Geschäftsmodell geändert habe. Damit steht die Digitalisierung an der zweitwichtigsten Stelle innerhalb der allgemeinen Unternehmenszielsetzungen.
Mit der Verlagerung zahlreicher Geschäftstätigkeiten ins Internet - Stichwort "digitaler Wandel" - entstehen große Datenvorräte, die in Teilen empfindliche Informationen wie beispielsweise Kundendaten enthalten. Diese gilt es sowohl vor unbefugtem Zugriff als auch technisch bedingtem Verlust zu schützen. Entsprechend sind die Ansprüche von Unternehmen wie auch Endanwendern an den Schutz ihrer Daten gestiegen, wissen sie doch um deren Wert. Ihre Bereitschaft, einem Provider ihre Daten auszuhändigen, hängt im Wesentlichen davon ab, wie sie das jeweilige Unternehmen aufbewahrt, verwaltet und deren Verfügbarkeit sicherstellt.
Viele Nutzer beäugen vor allem Cloud-Angebote kritisch, denn nach wie vor haftet diesen das Vorurteil an, weniger sicher als lokal installierte Systeme zu sein. Datenverlust, Sicherheitslücken und unzureichender Datenschutz sind Ängste, die viele Interessenten vor der Cloud zurückschrecken lassen. Deshalb gilt es für ein Unternehmen, das seine Dienste über die Cloud bereitstellt, sich Gewissheit darüber verschaffen, dass sein Rechenzentrum modernsten Anforderungen an Technik sowie Sicherheit genügt. Nur so kann es diese Qualitätsmerkmale an Kunden, Partner oder andere Stakeholder vermitteln.
 
Zertifizierte IT-Sicherheit
Eine Möglichkeit ist hierbei eine Zertifizierung der Sicherheit der eigenen Infrastruktur. Kredit- und Versicherungsinstitute beispielsweise stellen bestimmte Ansprüche an IT-Security und Verfügbarkeit als Bedingung für die Vergabe von Krediten oder Prämienleistungen. Daher ist es für IT-Verantwortliche empfehlenswert, sich mit diesem Thema eingehend zu beschäftigen. Doch innerhalb dieser Zertifikate gibt es Unterschiede hinsichtlich des Ausmaßes der Sicherheit, die sie bescheinigen. So bestimmt eine Zertifizierung nach ISO/IEC 27001:2013 Richtlinien hinsichtlich der "Errichtung, Einführung, Aufrechterhaltung und kontinuierliche[n] Verbesserung eines Informationssicherheits-Management-Systems" (ISMS). [1] Ein ISMS umfasst einen frei festlegbaren Geltungsbereich, in dem dieses wirksam ist. Dieser dient als Orientierungsgrundlage, um festzustellen, was im Einzelnen zertifiziert wurde.
Das ISMS beinhaltet allgemein gehaltene Sicherheitsbestimmungen, die jedoch nichts über den Grad der Datensicherheit aussagen. Denn das Unternehmen analysiert in der Phase der Zertifikatsbewerbung eigene Gefahrenherde und erstellt auf Basis der dabei gewonnenen Erkenntnisse einen bedarfsorientierten Maßnahmenkatalog. Erst zusammen mit den definierten Maßnahmen kann man eine verlässliche Aussage über das Maß der umgesetzten Informationssicherheit treffen. ISO/IEC 27001:2013 bescheinigt aber nur, dass das jeweilige Unternehmen gewissenhaft mit Datensicherheit umgeht - welche konkreten Auswirkungen dies hat, bleibt für den Außenstehenden unklar. Für diejenigen also, die sich die Sicherheit ihrer Cloud-basierten Infrastruktur zertifizieren lassen wollen, kann die ISO/IEC 27001:2013 nur als Basis für weitergehende Maßnahmen dienen.
Welche Optionen stehen nun diesen Unternehmen offen und was sollten sie bei einem Zertifizierungs-Audit beachten? Seit 2014 gibt es den Standard ISO/IEC 27018:2014, der sich speziell damit auseinandersetzt, wie personenbezogene Daten mittels Cloud Computing reguliert und verarbeitet werden. Dieser Sicherheitsstandard mit Blick auf die Cloud ist die Weiterführung der Umsetzungshinweise aus ISO/IEC 27002:2013, die konkretisieren, wie eine Organisation Daten erhebt, verarbeitet, speichert und löscht. [2] Er versetzt Unternehmen, deren Geschäftsprozesse auf Cloud-Technik basieren, nun in die Lage, ein Argument gegen das noch immer weit verbreitete Vorurteil der unsicheren Cloud vorbringen zu können. Das Resultat ist die Festigung des Vertrauens auf Kundenseite. Doch bevor ein Unternehmen Schritte in diese Richtung unternehmen kann, muss es erst einmal die Zertifizierung nach ISO/IEC 27001:2013 erlangen.
 
Zertifizierung nach ISO/IEC 27001:2013
Der Hauptteil des Audits setzt sich aus der Kontrolle zweier wesentlicher Komponenten zusammen: des normativen Teils und des sogenannten Anhangs A. Innerhalb des normativen Parts muss ein Unternehmen insgesamt 59 Anforderungen erfüllen und im Bedarfsfall nach Prüfung realisieren, um das Zertifikat erhalten zu können. Über diesen obligatorischen Richtlinienkatalog hinaus stehen ihm im Anhang A 114 weitere Sicherheitsmaßnahmen zur Auswahl. Hier muss es in einem sogenannten "Statement of Applicability" präzise Argumente vorbringen, warum es die einen Maßnahmen ergreifen will und warum es möglicherweise manche von ihnen als nicht relevant ansieht. Aus den infolge dieser Risikoanalyse zusammengetragenen Daten werden Sicherheitsmaßnahmen abgeleitet, an denen eine Prüfstelle das Unternehmen misst, damit es eine Zertifizierung nach ISO/IEC 27001:2013 erhalten kann.
Organisationen, die sich so zertifizieren lassen möchten, sollten bereits zu Beginn des Audits strukturiert an die Risikoanalyse und Umsetzung der entsprechenden Maßnahmen herangehen. Das erworbene Zertifikat ist drei Jahre lang gültig. Innerhalb dieser Zeitspanne erfolgen jährlich Überprüfungen durch die Prüfstelle, um sicherzustellen, dass die zuvor definierten Sicherheitsmaßnahmen bestehen bleiben. Hat ein Unternehmen also erst einmal eine solche Bescheinigung erworben, muss es kontinuierlich am Erhalt dieser Maßnahmen arbeiten. Nach drei Jahren ist dann eine Rezertifizierung des ISMS notwendig.
 
ISO/IEC 27018:2014
Für diejenigen, die sich via Cloud erbrachte Dienste zertifizieren lassen wollen, gibt es noch keine vergleichbare Bescheinigung. Es existieren bisher lediglich Handlungsempfehlungen, die unter ISO/IEC 27018:2014 gefasst sind. Darin werden ausgewählte Optionen aus Anhang A der Zertifizierung nach ISO/IEC 27001:2013 für die Anwendung in der Cloud konkretisiert und um zusätzliche Cloud-spezifische Richtlinien ergänzt.
Somit kann man sich auf Basis von ISO/IEC 27001 eine Konformitätserklärung für ISO/IEC 27018:2014 ausstellen lassen, die aber kein offizielles Zertifikat darstellt. Sie belegt nur, dass ein Unternehmen zusätzliche Maßnahmen trifft, um die Sicherheit der Verarbeitung personenbezogener Daten in der Cloud zu gewährleisten. ISO/IEC 27018:2014 bildet allein dieses kleine Feld der IT-Sicherheit ab. Die Vertraulichkeit nicht-personenbezogener Daten, der Schutz vor DDoS-Angriffen (Distributed Denial of Service) oder die Absicherung der Verfügbarkeit von Cloud-Diensten bleiben gänzlich unberücksichtigt.
Weitergehende Anstrengungen um die Erstellung eines umfassenden Kriterienkatalogs bezüglich eines Qualitätssiegels für Cloud-Services unternimmt gegenwärtig die Initiative "Trusted Cloud". Initiator des Projekts ist das Bundesministerium für Wirtschaft und Energie (BMWi). Dahinter verbirgt sich eine Vereinigung aus Branchenvertretern wie Bitkom oder Bitmi mit wissenschaftlichen und öffentlichen Einrichtungen.
Die Initiative legt einen besonderen Fokus auf kleine und mittelständische Unternehmen (KMU), mit dem Ziel, ihnen das Potenzial von Cloud-Diensten nahezubringen und ihr Vertrauen in die Technik zu stärken. Dies möchte Trusted Cloud durch den Schulterschluss von Cloud-Anbietern und -Anwendern erreichen.
 
Fazit
Die Möglichkeiten für Hoster und Service-Provider, die ihre Cloud-Infrastruktur zertifizieren lassen wollen, sind momentan noch stark begrenzt. Dennoh sollte eine Mindestzertifizierung nach ISO/IEC 27001:2013 erfolgen, um grundlegende Schutzmaßnahmen für die Datensicherheit nachweisen zu können. Der Cloud-Markt birgt weltweit ein enormes Wachstumspotenzial und Cloud-Technik wird früher oder später mit darüber entscheiden, wer im Wettbewerb die Nase vorn behält. Daher sind die Bemühungen offizieller Initiativen wie Trusted Cloud sehr förderlich, um gemeinsam auf einen Zertifizierungsprozess für Cloud-Anbieter hinzuarbeiten. Auf diese Weise gewinnen Anwender zunehmend Transparenz inmitten der Fülle von Cloud-Angeboten. Hosting-Anbieter und Service-Provider wiederum können Kunden damit besser von der Qualität und Sicherheit ihrer Dienste überzeugen.

Der Bitkom bietet einen "Kompass" für IT-Sicherheitsstandards. Bild: Bitkom
Ablauf der Zertifizierung gemäß ISO/IEC 27001:2013. Bild: 1&1 Internet

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Performance-Management für die Hybrid Cloud

Verwandte Artikel

Cloud

Cloud-Services

Zertifizierung