Zertifizierungen für sichere Cloud-Services Zertifizierungen für sichere Cloud-Services - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.04.2013 :: Printausgabe 09/2013 :: pi +Premium Content

Zertifizierungen für sichere Cloud-Services

Laut Marktforscher Gartner werden bis 2016 gut 40 Prozent der Cloud-Anbieter zertifiziert sein. Am Markt gilt ISO 27001 als "Security-Siegel". Die zertifizierten Cloud-Anbieter Fabasoft und Pool4Tool berichten aus der Praxis.

© Martina Draper





Zu den großen IT-Trends zählt laut Gartner, dass Cloud-Dienstleister verstärkt Security-Zertifizierungen anstreben. Demnach gehen 40 Prozent der Unternehmen im Jahr 2016 nur unter dieser Voraussetzung Cloud-Verträge ein. Aber auch rechtlich gesehen ergibt sich diese Notwendigkeit: Laut Datenschutzgesetz müssen Firmen prüfen, ob ihre Dienstleister eine sichere Datenverarbeitung gewährleisten. Somit haftet der Cloud-Nutzer für die Auswahl seines Providers. Es stellt sich die Frage, inwieweit der Markt die internationale Security-Norm ISO/IEC 27001 als Nachweis akzeptiert oder ob spezifische Cloud-Zertifizierungen notwendig sind. Die Top-Manager zweier Cloud-Service-Anbieter mit ISO 27001-Zertifizierungen berichten aus der Praxis: Geschäftsführer Karl Mayrhofer von Fabasoft Distribution und Chief Operations Officer Michael Rösch von Pool4tool.

Computerwelt: Welche Zertifizierungen verlangen Cloud-Kunden aktuell?
Karl Mayrhofer
: Sowohl ISO 27001 für Informationssicherheit als auch ISO 20000 für IT-Services sind als Nachweis für zuverlässige Cloud-Services anerkannt. Beide haben ihre Schwerpunkte und wirken als Kombination am stärksten.
Michael Rösch: Wir sind für Informationssicherheit nach ISO 27001 sowie darüber hinaus auch für Datenschutzqualität zertifiziert, was gut angenommen wird. Kunden aus Deutschland fordern zudem Datenschutzaudits nach § 11 BDSG. Für Auftraggeber aus sensiblen Bereichen wie die Rüstungs- und Pharmabranche sind zertifizierte Prozesse eine Grundvoraussetzung.

Wodurch ist ISO 27001 geeignet, um Cloud-Services abzusichern?
Rösch:
Aufgrund der sich ständig ändernden Technologien braucht man ein hoch flexibles Managementsystem. ISO 27001 ermöglicht mit der kontinuierlichen Prozessverbesserung eine gute Anpassung – und die jährlichen Rezertifizierungen gewährleisten langfristige Sicherheit.

Werden künftig spezifische Cloud-­Zertifizierungen benötigt?
Mayrhofer:
Neben ISO 27001, ISO 20000 und MoReq2 hat Fabasoft die Prüfung nach ISAE 3402 absolviert. Dennoch wünschen wir uns eine Zertifizierung für Cloud-Dienste europäischer Prägung. Beispiel: die Public Cloud von Fabasoft gibt den Kunden Gewissheit, in welchen Ländern die Datenspeicherung erfolgt: in Deutschland, Österreich oder in der Schweiz. Diese Cloud-Merkmale haben zentrale Bedeutung, sind aber aktuell durch keine Zertifizierung erfasst.

Wie hoch bewerten Sie inhaltliche ­Synergien zwischen den Standards?
Mayrhofer:
Der Anforderungskatalog "Cloud Computing Information Assurance Framework" der ENISA definiert zehn Hauptgruppen. Sechs davon werden mit ISO 27001 und ISO 20000 gut abgedeckt – darunter Personnel, Operational und Physical Security, Identity and Access Management oder Business Continuity.
Rösch: Die Zertifikate und Datenschutz­audits überschneiden sich. Ein erlangtes Zertifikat erhöht automatisch das Niveau der Prozesse und hilft bei der Erfüllung weiterer Standards. Nachdem wir bereits 2004 ein Security-Audit nach SOX hatten, konnten wir nachfolgende Zertifizierungen darauf aufbauen.

SECURITY-SYMPOSIUM

Am 4. Juni 2013 laden die Zertifizierungsorganisationen CIS und Quality Austria in Kooperation mit der COMPUTERWELT in den Kursalon Wien ein. "Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent" lautet das Leitmotiv des Events. Der Themen­bogen spannt sich von "Datensicherheit im E-Government-Umfeld" über "Integration von Cloud-Services in Security-Policies" bis hin zu "BYOD aus rechtlicher Sicht".
 
Die Keynote hält der finnische Awareness-Forscher Mikko Siponen: "Employees  Compliance with Security Procedures." Unter www.cis-cert.com/Symposium können sich Interessierte anmelden. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • ETC - Enterprise Training Center

    ETC - Enterprise Training Center E-Learning, Datenschutz, B2B Dienste und Lösungen, Outsourcing, IT-Personalbereitstellung, Aus- und Weiterbildung mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr

Hosted by:    Security Monitoring by: