ISO 27018 und BSI C5 – die Standards für Cloud-Anbieter

Was sagen diese Normen aus?

Die ISO 27018 ist eine im August 2014 geschaffene Subnorm aus der ISO 27000-Reihe, die von der International Organization for Standardization entwickelt wurde. Inhaltlich regelt sie insbesondere den Umgang mit personenbezogenen Daten in einer Cloud.

Sie ist daher im Gegensatz zu den meisten anderen ISO 27000-Normen weniger ein technisch-organisatorischer Standard. Stattdessen stellt sie konzeptionelle Anforderungen an die Umsetzung des Schutzes personenbezogener Daten. Dabei werden wesentliche Punkte der ISO 27002 für anwendbar erklärt und durch spezifische Vorkehrungen zur Gewährleistung des Datenschutzes ergänzt.

Hingegen ist der BSI C5 ein Kriterienkatalog, welcher sich primär mit der Cloud-Sicherheit befasst. Er hat damit keinen direkten Bezug zum Datenschutzrecht, sondern regelt vielmehr die technischen und organisatorischen Maßnahmen (TOM) zur Sicherheit in der Cloud. Diese Maßnahmen sind wichtig bei der datenschutzrechtlichen Bewertung des Einsatzes einer Cloud-Lösung.

Welche Regelungen beinhalten die Normen?

Die wichtigsten Regelungen der ISO 27018 sind:

• Personenbezogene Daten des Kunden dürfen ausschließlich nach dessen Weisung verarbeitet werden.
• Der Cloud-Anbieter muss seine Kunden verbindlich und abschließend über den Standort der Datenverarbeitung informieren.
• Cloud-Anbieter haben den Kunden über jede Verarbeitung der Daten durch Dritte zu informieren.
• Der Kunde muss jederzeit Zugriff auf seine Daten haben und ihm müssen Möglichkeiten bereitgestellt werden, um die Daten unmittelbar zu ändern, zu löschen oder zu korrigieren.
• Cloud-Anbieter dürfen Daten des Kunden nur an Strafverfolgungsbehörden herausgeben, sofern dazu eine gesetzliche Verpflichtung besteht. Zudem müssen die Kunden in diesem Fall über die Herausgabe informiert werden, außer die Informierung ist gesetzlich verboten.
• Sollten Unbefugte Zugriff auf personenbezogene Daten des Kunden bekommen, so ist dieser umgehend darüber in Kenntnis zu setzen.
• Es müssen verbindliche Regeln über Rückgabe, Transfer und Vernichtung der Daten des Kunden festgelegt werden.
• Es müssen vertragliche Regelungen für die Vorgehensweise bei einer Datenpanne aufgenommen werden.

Wer sich im Datenschutzrecht ein wenig auskennt, wird merken, dass viele dieser Anforderungen sich mittlerweile auch in Art. 28 DSGVO (Datenschutz-Grundverordnung) wiederfinden.

Der Kriterienkatalog BSI C5 enthält hingegen 17 Themengebiete, die als Basiskriterien, Zusatzkriterien und ergänzende Informationen bezeichnet werden. Einige der enthaltenen Regelungen sind:

• Organisation der Informationssicherheit,
• Kriterien hinsichtlich des eingesetzten Personals,
• Einhaltung der physischen Sicherheit,
• Einbindung kryptographischer Maßnahmen und das Schlüsselmanagement,
• Beschaffung, Entwicklung und Änderung von Informationssystemen und
• der Umgang mit Sicherheitsvorfällen.

Es fällt direkt auf, dass an dieser Stelle eine deutliche Anlehnung an den Katalog der ISO 27002 erfolgte. Die Besonderheit des BSI C5 ist, dass die enthaltenen Anforderungen speziell auf das Cloud-Umfeld angepasst wurden.

Ist eine Standarisierung nach den Normen sinnvoll?

Eine Standarisierung nach ISO 27018 deckt vieles von dem ab, was das europäische Datenschutzrecht und die Aufsichtsbehörden ohnehin von Cloud-Anbietern verlangen. Gerade im Hinblick auf die Datenschutz-Grundverordnung ist die Übernahme der Standards sinnvoll, da dort viele Voraussetzungen an die Zulässigkeit der Datenverarbeitung gestellt werden, die auch für eine Entsprechung der Vorgaben von ISO 27018 erfüllt sein müssen.

Hinzu kommt der Wettbewerbsvorteil, den ein Unternehmen durch die Übernahme des Standards erhält. Denn obwohl die technischen Möglichkeiten im Rahmen des Outsourcings bereits jetzt beinahe unbegrenzt sind, wird die externe Datenverarbeitung vielfach noch kritisch beäugt. Das Vertrauen in die Auslagerung von Daten ist seit dem NSA-Skandal noch nicht wieder vollständig vorhanden. Daher stellt die Einhaltung von Best Practices gemäß eines internationalen Standards für viele Unternehmen das ausschlaggebende Kriterium bei der Auswahl eines Cloud-Anbieters dar.

Gerade wenn es sich um Anbieter aus Deutschland handelt, dann kann dieser Standard in der Erfüllung des BSI-C5-Kriterienkatalogs liegen. Durch diese speziellen Vorgaben kann gezeigt werden, dass nicht nur die datenschutzrechtlichen Vorgaben selbst, sondern auch die Anforderungen an die technischen und organisatorischen Maßnahmen erfüllt werden.

Ein weiterer Wettbewerbsvorteil liegt in der Erfolgsquote bei der Teilnahme an Ausschreibungen von Bundesbehörden. Diese haben sich bei der Auswahl eines Cloud-Anbieters am BSI-Mindeststandard Nutzung externer Cloud-Dienste zu orientieren und fordern deshalb bei der Informationssicherheit des Cloud-Anbieters zumindest die Erfüllung der Kriterien des BSI C5 ein.

Der Kriterienkatalog BSI C5 ist zudem auch für (potentielle) Kunden von Cloud-Anbietern vorteilhaft. So sind auch die (potentiellen) Kunden in der Pflicht, bei der Auswahl ihrer Dienstleister ein kundeneigenes Risikomanagement durchzuführen. Insofern kann der Kriterienkatalog als Grundlage für die Prüfung von – ausdrücklich auch mittelständischen und kleineren – Anbietern als Orientierungshilfe dienen.

Da der Einsatz von Cloud-Diensten immer auch ein gewisses Risiko mit sich bringt, ist ein Risikomanagement des Kunden auch nach der Auswahl des Dienstleisters notwendig vorzunehmen: Hat sich ein Kunde für einen Cloud-Anbieter entschieden, kann der Kriterienkatalog bei der Steuerung und Überwachung dieses Anbieters herangezogen werden. Dafür sollte der Kunde den C5-Prüfbericht zunächst initial und dann regelmäßig jährlich anfordern und auswerten. Das Risiko einer Weitergabe der Informationen an Dritte kann durch eine entsprechende Vertraulichkeitsvereinbarung minimiert werden.

Wie kann sich ein Unternehmen nach den Normen zertifizieren lassen?

Vielfach ist jetzt die Rede von einer „Zertifizierung nach ISO 27018“. Dies ist leider reichlich irreführend. Die ISO 27018 ist lediglich eine Subnorm der ISO 27002. Sicher kann prinzipiell jede Stelle nach ISO 27018 prüfen und ein Dokument über diese Prüfung ausstellen. Selbst die Bezeichnung als „Zertifikat“ wäre (in den Grenzen des Wettbewerbsrechts) denkbar.

Eine „echte“ Zertifizierung mit Segen einer Akkreditierungsstelle (wie etwa der DAkkS) ist aber nur nach der ISO 27001 möglich. Bedauerlich ist hierbei, dass dann im Zertifikat noch nicht einmal ersichtlich ist, dass das Unternehmen sich die Mühe gemacht hat, die ISO 27018 umzusetzen.

Auch eine Zertifizierung nach dem BSI-C5-Kriterienkatalog ist nicht möglich. Bei erfolgreicher Prüfung erhält der Cloud-Anbieter lediglich ein Testat. Hintergrund ist, dass das BSI die Internationalität des Cloud-Computings erkannt hat und deshalb kein neues lokales Zertifikat etablieren möchte. Jedoch hat auch dieses Testat im informierten Kreis eine ähnliche Wirkung, da dieses lediglich nach einer erfolgreichen Prüfung erteilt wird. International hingegen wird in der Regel ein Zertifikat erwartet.

Fazit

In der Theorie würde eine Erfüllung beider Standards dem Optimum entsprechen, was ein Cloud-Anbieter aktuell anbieten kann. Allerdings stehen dem in der Praxis Hürden entgegen, bei dem der Aufwand dem Nutzen nicht mehr entspricht. Konkret müsste zunächst eine ISO-27001-Zertifizierung erzielt werden, welche dann um die ISO 27018 erweitert wird. Nur dann liegt eine aussagekräftige Zertifizierung durch eine akkreditierte Stelle vor. Im Anschluss müsste dann die BSI-C5-Prüfung durchgeführt werden, welche an die ISO 27002 angelegt ist und „lediglich“ ein Testat hervorbringt.

Aus diesem Grund haben in der Regel nur größere Anbieter eine Zertifizierung nach ISO 27018 und ein BSI-C5-Testat. Diese Kombination verschwindet jedoch meist hinter der prestigeträchtigeren ISO 27001 und wird nur von Kennern der Materie wahrgenommen.

In diesem Kontext kann die Prüfung nach BSI C5 einen wirklichen Mehrwert bieten. Der Dienstleister kann sich ein speziell auf den Cloud-Markt ausgerichtetes Testat erstellen lassen, welches den Kernbereich der Leistung beschreibt. Zudem sind damit die technischen und organisatorischen Maßnahmen größtenteils gewährleistet, so dass der Anbieter in diesen Bereich datenschutzrechtlich gut aufgestellt ist. Wie beschrieben sind die Punkte der ISO 27018 größtenteils auch im Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO enthalten, so dass diese Anforderungen auch vertraglich zugesichert werden können. Viel mehr wird durch die ISO 27018 auch nicht geleistet. Ein tatsächlicher Mehrwert ist dann aus der ISO 27018 nicht mehr abzuleiten.

Zusammenfassend lässt sich sagen, dass durch den BSI-C5-Kriterienkatalog die Vorgaben der ISO 27002 speziell auf den Cloud Kontext abgeprüft werden und somit eine treffendere Aussage liefern. Der Inhalt der ISO 27018 wird dann durch einen Auftragsverarbeitungsvertrag abgebildet.

Es zeigt sich also, dass der BSI-C5-Katalog tatsächlich eine Daseinsberechtigung haben kann. Ob sich dieser jedoch in der Praxis durchsetzen wird, ist aufgrund der nationalen Begrenzung wohl eher nicht zu erwarten. Daher bleibt einem international agierenden Unternehmen wohl nur die ISO-27001-Zertifizierung. Diese hat einen derart hohen Stellenwert, dass praktisch nicht hinterfragt wird, ob es für einen Cloud-Anbieter auch passendere Auszeichnungen gibt. Ein zusätzliches BSI-C5-Testat bietet praktisch keinen Mehrwert mehr.