Home > Datensicherheit > Sicherheitsstandards

Die Sicherheitsstandards beim Cloud Computing

Für den Bereich der Datensicherheit gibt es internationale und nationale Standards, welche Regeln für IT Sicherheit aufstellen.  In Deutschland gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Standards heraus.

Das BSI hat im April ein Eckpunktepapier zum Cloud Computing veröffentlicht, das eine Orientierung für anstehende Sicherheitsfragen gibt. Die bestehenden Standards des BSI sollen außerdem um den Aspekt Cloud Computing ergänzt werden. Auf internationaler Ebene gibt es einen ISO-Standard nach dem auch Anbieter von Cloud Computing zertifiziert werden können.

Die amtlichen deutschen Standards im IT-Bereich

Speziell für den Bereich des Cloud Computing gibt es das Eckpunktepapier „Sicherheitsempfehlungen für  Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)“. Dort gibt es Informationen beispielsweise darüber, welche Zugriffsrechte die Kunden bei verschiedenen Service-Modellen haben und wieweit sie eigene Schutzmaßnahmen betreiben können.

Die dort ausgesprochenen Empfehlungen für Cloud Anbieter umfassen praktisch alle Aspekte der Datensicherheit. Sie lassen sich natürlich auch Punkt für Punkt lesen als Prüfkatalog, anhand dessen ein Kunde mögliche Anbieter in punkto Sicherheit bewerten kann.

Eine internationale und zertifizierbare Norm: ISO/IEC 27001

ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“ ist eine internationale Norm zur Sicherheit im IT-Bereich. Sie spezifiziert Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informations-Sicherheits-Management-Systems (Information Security Management System, kurz ISMS) unter Berücksichtigung der Risiken innerhalb des gesamten Unternehmens, das IT-Dienste anbietet.

Dieser Standard ist zertifizierbar, das heißt die darin enthaltenen Anforderungen können überprüft und ein entsprechendes Zertifikat kann beispielsweise auch von einem Cloud-Anbieter als Nachweis seiner Sicherheitsstandards genutzt werden. Die Norm liegt auch als DIN-Norm unter der Bezeichnung DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor.