Microsoft erhält wohl als erster internationaler Cloud Provider die neue ISO 27018 Zertifizierung.

In den deutschen Webseiten ist dieses Zertifikat bisher wenig diskutiert worden. Ausführliche Beschreibungen habe ich lediglich auf der Computerwoche und einem Datenschutzblog gefunden. Beide Artikel beleuchten hier eine Nähe zum BDSG, wobei das Fazit in der Computerwoche sogar ist, das nach Inkraft treten der neuen europäischen Datenschutzreform, das BDSG überflüssig sein könnte. Dies liegt unter anderem daran, das nationale Gesetze nicht “höhere” Anforderungen stellen dürfen, als die EU Normen und Gesetze.

Doch worum geht es hier nun wirklich?

Die auf der ISO Seite einsehbaren Normen stellen nicht nur technische Anforderungen, sondern vor allem auch an die Prozesse und deren Umsetzung. Dabei weiß jeder, der sich damit beschäftigt, wie schwer die Umsetzung von Anforderungen in heutige Technologien ist. Auf der Webseite des BSI (Bundesamt für Sicherheit) habe ich zwei interessante PDFs gefunden. Zum einen eine Gegenüberstellung zwischen dem “IT Grundschutz zu ISO 27001” und eine generelle PDF zum Thema Cloud Zertifizierung. Etwas überrascht fand ich die Behauptung im vergleich, das der IT Grundschutz mehr technische Hilfsmittel und Anleitungen liefert als die ISO Anforderungen. Meine Frage, kann man Anforderungen, die eher mit dem BDSG vergleichbar sind, wirklich mit dem IT Grundschutz vergleichen? Ich denke eher “Nein”. Und das letzte mal wo ich es mir anschaute, wurde nebenbei Technologie empfohlen, die seit Ewigkeiten nicht mehr eingesetzt werden. Zumindest nicht in einer aktuell gepflegten on-premises Umgebung bzw. in einer Cloud Umgebung.

ISO 27018 Anforderungen (Auszug)
  • Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
  • ISO 27018 verlangt, dass Cloud-Provider Tools anbieten, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
  • Cloud-Provider haben Prozesse festzulegen, die Rückgabe, Übermittlung, Transfer und Vernichtung von personenbezogenen Daten festlegen.
  • Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss von der rechtlichen Verpflichtung in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
  • Personenbezogene Daten sind nicht für eigene Zwecke zu nutzen.
  • Bevor personenbezogene Daten für Marketing- oder Werbezwecke genutzt werden, bedarf es einer ausdrücklichen Einwilligung des Kunden.
  • Cloud-Provider habe die Länder offen zu legen, in denen eine Verarbeitung personenbezogener Daten stattfindet.
  • Cloud-Anbieter müssen dem Kunden jede Art von Verletzung der Datensicherheit anzeigen und ihm diejenigen Informationen bereitstellen, die er seinerseits benötigt, um seinen Anzeigepflichten nachzukommen.
  • Der Zeitraum für die Vornahme der Anzeigeverpflichtung ist festzulegen.
  • Zeitpunkt, Art und Konsequenzen hinsichtlich der Verletzung der Datensicherheit sind zu dokumentieren.
.

Ich gebe ganz ehrlich zu, als ich das erste Mal die deutsche Zusammenfassung las, dachte ich mir “Und nun?”….

Das liegt aber daran, das ich in den letzten Jahren sehr oft über all die vorhandenen Sicherheitsmechanismen und Prozesse in Office 365, Azure und CRM Online gesprochen habe. Doch hier ist der Unterschied:

Bisher habe ich eine Zusammenfassung aus den verschiedenen Quellen selbst zusammen getragen. Durch die ISO 27018 Zertifizierung ist aber nun eine zertifizierte und unabhängig überprüfte Bestätigung erstellt worden. Im Grunde genommen, sind also die oben dargestellten Elemente schon seit langem vertraglicher Bestandteil der Dienstbeschreibungen (Service Descriptions) und wurde unter anderem im Office 365 Trust Center beschrieben. Das lag unter anderem daran, das durch die Anforderungen der deutschen Datenschützer und im BDSG §9 schon diverse Anforderungen enthalten waren und Microsoft schon seit mehreren Jahren diese berücksichtigt. Hierzu gehören die unterschiedlichen Anforderungen aus

Das Ergebnis dieser langen Anstrengungen ist nun die ISO 27018 Zertifizierung!

Herzlichen Glückwunsch :-)

PS: Nach dem ich heut ein dem einen oder anderen Forum immer wieder die gleiche Laier gelesen habe…. Hie rmal eine kleine Übersicht, was in Deutschland als “Gesetz” verankert ist (Zusammenfassung und Anpassung einer Übersicht von Posteo):

Deutschland = sicherer Standort?
      • Der deutsche Gesetzgeber verpflichtet Telekommunikationsanbieter wie Posteo, Deutsche Telekom, 1 und 1 und weitere zur Verschwiegenheit über Auskunftsersuchen, u.a. im TKG und in den G10-Gesetzen.
      • Bestandsdaten bei einem Telekommunikationsanbieter dürfen schon beim Verdacht auf Ordnungswidrigkeiten (z.B. Falschparken oder Ruhestörung) von zahlreichen Behörden und anderen Berechtigten bei den Providern abgefragt werden. Eine inhaltliche Überprüfung oder einen Richtervorbehalt gibt es nicht. Das Gesetz erlaubt die Identifizierung von Internetnutzern zur Verfolgung von Ordnungswidrigkeiten jeder Art.
        Anbieter mit mehr als 100.000 Teilnehmern müssen Bestandsdaten automatisiert zur Abfrage bereistellen, wenn sie Daten erheben. Nach Angaben der Bundesnetzagentur wurden auf diese Weise im Jahr 2012 rund 36 Millionen Abfragen durchgeführt. (Quelle: Tätigkeitsbericht Bundesnetzagentur 2013, Seite 266)
      • Der Verband der deutschen Telekommunikationsanbieter (BITKOM) hat im Jahr 2012 folgende Stellungnahme veröffentlicht: „In der Praxis sind zahllose, auf § 113 TKG gestützte Auskunftsersuchen bekannt, die die Herausgabe von Daten zum Gegenstand haben, die gerade keine Bestandsdaten sind (z.B. logfiles, IP-Adressen, Datum und Uhrzeit des letzten Zugriffs auf einen Account, bekannte E-Mail-Adressen des Betroffenen bei anderen Providern, Identität der Behörden, die bereits nach denselben Bestandsdaten gefragt haben, etc.). Daraus folgt, dass die Anbieter bereits heute mit zahlreichen Anfragen umzugehen haben, die der Ausforschung dienen und weit über den Regelungsgehalt der Norm hinausgehen.“
      • Bei Strafverfolgungsmaßnahmen darf eine Überwachung der Telekommunikation für einen bestimmten Zeitraum angeordnet werden, wenn der begründete Verdacht einer schweren Straftat besteht (§ 100a StPO). Die Überwachung muss durch einen Richter oder – bei Gefahr im Verzug – durch die Staatsanwaltschaft angeordnet werden. In Einzelfällen kann nach § 100g StPO auch die Mitteilung der Verkehrsdaten angeordnet werden. Wann Dienste wie die Verfassungsschutzbehörden und das Amt für den Militärischen Abschirmdienst berechtigt sind, Telekommunikation zu überwachen, ist im G10-Gesetz geregelt
      • Der Betroffene einer (solchen) Überwachung muss über die durchgeführte Maßnahme (von den Behörden) unterrichtet werden, sobald der „Zweck der Maßnahme“ dies erlaubt.(eigene Anmerkung: Dies ist Auslegungssache und dürfte wohl immer erst “später” erfolgen)
      • Eine strafrechtliche Beschlagnahme eines (eMail) Postfachs muss durch einen Richter angeordnet werden (§ 94 Abs. 2 StPO, § 98 Abs. 1 S. 1 bzw. Abs. 2 S. 1 StPO). Auch eine strafrechtliche TKÜ-Anordnung zur Überwachung eines Postfachs für einen bestimmten Zeitraum kann ausschließlich bei bestimmten schweren Straftaten erwirkt werden. Jeder richterliche Beschluss muss von den Behörden bei dem Provider vorgelegt werden und wird durch Anwälte auf Umfang und formale Korrektheit geprüft, bevor der Provider ggf. Daten übergeben. Der betroffene Kunde darf über eine TKÜ-Anordnung nicht informiert werden. Damit würde der Provider sich strafbar machen.
      • Bei einer strafrechtlichen Beschlagnahme eines eMail Postfachs (§ 94 Abs. 2 StPO, § 98 Abs. 1 S. 1 bzw. Abs. 2 S. 1 StPO) ist der Provider dazu verpflichtet, alle E-Mails zu übergeben, die sich zum Zeitpunkt der Beschlagnahme in dem betroffenen E-Mailpostfach befanden.
      • Bei einer TKÜ-Anordnung zur Überwachung eines Postfachs ist der Provider / Telekommunikationsanbieter dazu verpflichtet, alle E-Mails an die berechtigten Behörden auszuleiten, die ab dem Zeitpunkt der Anordnung in dem betroffenen Postfach ein- und ausgehen. Zuvor gespeicherte E-Mails sind bei einer TKÜ nicht betroffen.

 

.

Der einzige Unterschied ist doch im Moment nur, in wie weit ein land seinen Einfluss gelten machen kann bzw. möchte. Wo kamen doch gleich die ganzen Steuerunterlagen einiger “Sünder” der letzten Jahre her?…..

The short URL of the present article is: http://wp.me/p1MQAv-13x

Tagged with:

Filed under: AzureCloudOffice365Security