Cloud-Strategie und ISO 27001

ISO 27001 & Cloud Security

Tipps und Tricks für die richtige Strategie

Tipps und Tricks für die richtige Strategie

Cloud-Strategie und ISO 27001TÜV SÜD Management Service Alexander Häußler

Die Cloud wird – nicht zuletzt durch Corona – immer populärer. Welche Gedanken sich Unternehmen bei der Providerauswahl machen sollten, und welche Hilfestellung die ISO/IEC 27001 bietet, erklärt TÜV SÜD-Experte Alexander Häußler im Interview.

Herr Häußler, welche Überlegungen sollten Unternehmen anstellen, die in die Cloud wollen?

Zunächst müssen sie sich darüber klar werden, warum sie in die Cloud wollen. Was sind die Ziele? Was ist der Anlass? Stichwort: Cloud-Strategie. Dafür müssen Unternehmen definieren, was sie wirklich ausmacht – was sind ihre Kronjuwelen? Und welchem primären Ziel folgt man: Das sind meist entweder Verfügbarkeit oder Geheimhaltung. Bei eCommerce-Anbietern steht Verfügbarkeit im Vordergrund, beim Auslagern etwa von Gesundheitsdaten überwiegt die Geheimhaltung.

Was heißt das dann für die Auswahl des Cloud-Anbieters?

Wenn ich mein Geschäft beziehungsweise Teile davon in die Cloud geben möchte, dann sollte ich diese grundsätzlichen Vorüberlegungen am Cloud-Anbieter spiegeln. Wer etwa Infos über die Cloud hochverfügbar bereitstellen möchte, geht einen anderen Weg als derjenige, der höchste Vertraulichkeit braucht. Mein Tipp ist, den Cloud-Anbieter gezielt nach solchen Nachweisen zu fragen, die zeigen, ob er die Informationsschutzziele, die mir wichtig sind, erfüllt.

Welche kommen da in Frage?

Etwa eine ISO 27001 für den Cloud-Anbieter. Betreibt ein Provider ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) mit dem entsprechenden Scope, beispielsweise „Betrieb einer Cloud-Plattform für den gesicherten Datenaustausch“, dann muss man aufseiten des auslagernden Unternehmens nicht mehr die Lupe auspacken und das im Detail prüfen. Denn das hat ja bereits ein Zertifizierer getan. Zudem gibt es natürlich noch viele weitere Standards aus der ISO 27001-Normenfamilie, die spezifischer für gewisse Cloud-Themen sind. Diese sind zwar nicht akkreditiert zertifizierbar, aber Cloud-Anbieter können sich bestätigen lassen, dass diese Überlegungen in das ISMS mit eingeflossen sind. Ein Beispiel ist die ISO 27017 für Cloud-Anbieter. In dieser Norm stehen auch gleich Anforderungen an den Cloud-Nutzer – wie die Frage nach Strategie und Intention für den Umzug in die Cloud. Zum Beispiel sollte man sich als Nutzer eines möglichen sogenannten Vendor-Lock-in bewusst sein.

Was bedeutet das?

Ein Vendor-Lock-in bedeutet, dass man sich an einen Anbieter bindet und keine Möglichkeit hat bzw. nur unter großen Umständen einen Wechsel zu einem anderen Anbieter vollziehen kann. Das betrifft auch den Rückzug aus der Cloud. Wie bekomme ich meine Daten wieder zurück in meine eigenen Systeme? Manchen Branchen ist vorgeschrieben, dass sie ein Cloud-Exit-Szenario in der Schublade haben müssen. Aber auch andere Unternehmen sollten sich Gedanken machen. Was passiert zum Beispiel mit Daten, die eine siebenjährige Aufbewahrungspflicht haben? Im schlimmsten Fall müsste man den Cloud-Dienst über diesen Zeitraum weiterlaufen lassen und bezahlen, nur um im Fall der Fälle darauf zugreifen zu können. Aber was geschieht, wenn ein Hyperscaler einem Service den Stecker zieht? Und bekomme ich nach einer Vielzahl von Updates des Dienstes überhaupt die Daten wieder so heraus, wie sie einmal eingespeist wurden? Solche Dinge sollten schon beim Einstieg mitgedacht und mit dem Anbieter geklärt und vertraglich fixiert werden.

Sind Cloud-Suchende auf der sicheren Seite, wenn ein Anbieter nach ISO 27001 zertifiziert ist?

Die ISO/IEC 27001-Zertifizierung ist ein guter Indikator, aber natürlich geht es auch um eine Vielzahl an weiteren Details. Denn man will ja sicher sein, dass der Anbieter auch das tut, was sich ein Unternehmen individuell von ihm wünscht. Ein allgemeines Zertifikat zum Beispiel für den Betrieb von Infrastrukturkomponenten – das sagt relativ wenig aus. Im besten Fall hat der Anbieter eine Vollzertifizierung für den gewünschten Dienst. Und Unternehmen sind gut beraten, sich das ganz genau anzuschauen: Was benutzt der Dienstleister konkret, setzt er nativ irgendwo auf, oder gibt es noch weitere Partner oder Mittler, die beispielsweise durch Großkundenkonditionen bessere Preise anbieten können, allerdings auch noch mal eigene Software mitbringen? Mithilfe einer klaren Strategie und dem Betrachten der eigenen Kronjuwelen lassen sich Dienstleister klar dahingehend abklopfen, ob sie mit den für den Kunden zentralen Themen so umgehen wie gewünscht. Und da kommt auch die ISO 27001 ins Spiel.

Wie hilft die ISO 27001?

Die ISO 27001 fordert bewusste Entscheidungen. Es geht nicht um die punktuelle Behebung von Problemen, sondern um eine systematische Betrachtung. Sie fordert auch, sich mit den Risiken auseinanderzusetzen, die beispielsweise durch den Weg in die Cloud entstehen – und sie abzuwägen. Bewusste Entscheidungen und Akzeptieren von Risiken, dafür steht die ISO 27001. Gespiegelt auf den Cloud-Anbieter: Welche Vorteile und Funktionen will man haben, und welche Nachteile ist man bereit, dafür in Kauf zu nehmen – oder eben nicht? Passen diese überhaupt zur Unternehmensstrategie? Werden die im Rahmen der ISO 27001 definierten schützenswerte Werte vom Cloud-Anbieter entsprechend behandelt? Lassen sich die gesteckten Informationssicherheitsziele auch mit dem Cloud-Dienst erreichen? Die Cloud ist weder ein reines Kostensparmodell noch ein Selbstzweck. Sie hat umfangreiche Stärken und bietet umfassende Funktionen – aber die sollte man dann auch bewusst nutzen wollen. Eine ISO 27001 gibt einen guten Rahmen, um Chancen, Risiken und Möglichkeiten strukturiert zu erheben und abzuwägen.

Die ISO 27001 fordert auch kontinuierliche Bewertung …

Das gilt natürlich auch hinsichtlich der Cloud. Man sollte regelmäßig überprüfen, ob die anvisierten Ziele erfüllt werden. Durch die Cloud gibt es neue Schnittstellen zu den eigenen Systemen – klappt da alles so, wie es soll? Was passiert bei Vorfällen? Wie wird man vom Cloud-Anbieter informiert? Aber auch solche Themen deckt die ISO 27001 ab. Wer sich im Zuge der Cloud-Providerwahl an der ISO 27001 orientiert, stößt automatisch auf alle wichtigen Themen, über die es sich vorab Gedanken zu machen gilt. Es lohnt also, so ein etabliertes Modell vorab auf einen möglichen Cloud-Dienst anzuwenden.

Alexander Häußler, Product Compliance Manager, TÜV SÜD Management Service GmbH

Wissenswert

ISO 27001Whitepaper
White Paper

ISO/IEC 27001 White Paper

Erfahren Sie mehr über die Inhalte der ISO/IEC 27001 und über ISMS.

Download

IT Management

ISO/IEC 27001 ISMS-Zertifizierung

Ausgewiesene Informationssicherheit nach ISO/IEC 27001

Erfahren Sie mehr

IT Management

IT-MANAGEMENT ZERTIFIZIERUNG

Eine starke Basis für das Vertrauen Ihrer Kunden und Mitarbeiter

Erfahren Sie mehr

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German