Mit der Verlagerung von Daten und Prozessen in die Cloud steigen die Anforderungen an Informationssicherheit und Datenschutz. Die Cloud-Nutzung verändert Verantwortlichkeiten (wer schützt was?) und bringt zusätzlich Risiken rund um Multi-Tenancy, Konfiguration, Logging, Identitätsmanagement und Datenverarbeitung mit sich. Genau hier unterstützen zwei internationale Standards ISO/IEC 27017 (Cloud Security) und ISO/IEC 27018 (Schutz personenbezogener Daten). Beide ergänzen ein etabliertes ISMS (beispielsweise nach ISO/IEC 27001) mit cloud-spezifischen Leitlinien und Kontrollen.

ISO/IEC 27017: Cloud-spezifische Sicherheitskontrollen und klare Verantwortlichkeiten

ISO/IEC 27017 liefert zusätzliche Leitlinien für Sicherheitskontrollen auf Basis von ISO/IEC 27002 - konkret für die Bereitstellung und Nutzung von Cloud-Services. Der Standard ergänzt bestehende Controls mit dem Cloud-Kontext (beispielsweise Mandantentrennung, Cloud-Administration, Virtualisierung) und enthält zusätzlich cloud-spezifische Controls.

Ein zentraler Nutzen des Standards ist die die Klärung von Verantwortlichkeiten:

• Cloud Service Provider (CSP): Welche Massnahmen stellt der Provider bereit (beispielsweise Plattformsicherheit, physische Sicherheit, bestimmte Logging-/Monitoring-Bausteine)?
• Cloud Service Customer (CSC): Welche Massnahmen muss der Kunde selbst umsetzen (beispielsweise Identity & Access, Secure Configuration, Datenklassifikation, Schlüsselmanagement)?

Damit unterstützt ISO/IEC 27017 die Umsetzung der geteilten Verantwortung (Shared Responsibility Model) und hilft dabei, Rollen und Verantwortlichkeiten bei der Cloud-Nutzung klar festzulegen und zu dokumentieren, um Unklarheiten zwischen CSP und CSC zu vermeiden.

ISO/IEC 27018: Schutz personenbezogener Daten (PII) in der Public Cloud

Sobald personenbezogene Daten (PII) in der Cloud verarbeitet werden, geht es nicht nur um Security, sondern auch um Privacy-by-Design, Transparenz und zweckgebundene Verarbeitung.

ISO/IEC 27018 ist ein Code of Practice mit Kontrollzielen, Controls und Leitlinien zum Schutz von PII in Public-Cloud-Umgebungen – ausgerichtet an den Privacy-Prinzipien von ISO/IEC 29100. Der Standard richtet sich primär an Cloud Provider, die als PII-Processor (Datenverarbeiter) agieren.

Typische, für Kunden relevante Zusicherungen aus dem ISO/IEC-27018 sind unter anderem:

• Transparenz: Nachvollziehbarkeit, wie und wo PII verarbeitet werden.
• Zweckbindung: Verarbeitung von PII gemäss Kundeninstruktionen; keine Zweitnutzung (beispielsweise für Marketing/Ads) ohne Zustimmung.
• Geeignete Kontrollen: Nachweisbare Massnahmen zum Schutz der PII in der Cloud-Umgebung.

Wichtig: ISO/IEC 27018 ist nicht dafür gedacht, rechtliche Anforderungen (beispielsweise die des Datenschutzgesetzes) zu ersetzen. Der Standard hilft dabei, Privacy Anforderungen strukturiert und prüfbar umzusetzen und gegenüber Kunden und Partnern glaubwürdig zu belegen.

Warum ISO/IEC 27017 und 27018 für Ihr Unternehmen wichtig sind

Die Implementierung der Richtlinien aus ISO 27017 und ISO 27018 bietet Ihrem Unternehmen handfeste Vorteile:

• Gestärkte Sicherheit: Durch die spezifischen Cloud-Kontrollen senken Sie Ihr Risiko und steigern Ihre Cyber-Maturität.
• Erhöhtes Vertrauen: Sie zeigen Ihren Kunden und Partnern, dass Sie Cloud Security und Datenschutz auf höchstem Niveau managen.
• Compliance-Erleichterung: Die Standards helfen Ihnen dabei, die Anforderungen globaler Datenschutzbestimmungen in der Cloud zu erfüllen.

Unsere Unterstützung: Von der Analyse bis zur Zertifizierungsreife

Viele Unternehmen haben bereits fundierte Prozesse definiert, sind sich aber unsicher, ob diese den komplexen Cloud-Standards gerecht werden und ob sie compliant sind. Genau hier setzen wir an, um Ihre Prozesse zu validieren und Sie sicher auf den Weg zur Compliance zu bringen.

Als Security Consultancy bieten wir Ihnen passende Leistungen:

• Gap-Analyse und Dokumentenreview: Wir bewerten Ihre bestehenden Cloud-Prozesse und Dokumentation gegenüber den Anforderungen von ISO 27017 und 27018.
• Readiness Check: Wir prüfen Ihre Implementierung auf Herz und Nieren und stellen Ihre Zertifizierungsreife fest.
• Begleitung bei der Erstellung von Guidelines: Wir unterstützen Sie bei der Formulierung klarer, anwendbarer Cloud Security und Datenschutz-Richtlinien.
• Implementierung Consulting: Wenn gewünscht, schreiben wir für Sie Entwürfe für notwendige Dokumente, die Sie validieren und in Ihre Organisation integrieren.

Haben Sie Fragen oder benötigen Sie Unterstützung beim erfolgreichen und sicheren Weg in die Cloud? Wir freuen uns über Ihre Kontaktaufnahme, um Ihre Cyber-Maturität zu stärken und Ihre Cloud-Umgebung weniger verwundbar zu machen.