ISO-Norm 27018 technisch umsetzen

Mit Cloud-Zertifikaten personenbezogene Daten besser schützen

Cloud ist Vertrauenssache. Gerade Mitterständler schrecken allerdings noch häufig davor zurück, ihre Daten der Cloud anzuvertrauen. Mit Zertifikaten versuchen die Anbieter, Vertrauen zu schaffen. Hierzulande spielen dabei die ISO-Normen eine wichtige Rolle.

Die im August 2014 verabschiedete ISO-Norm ISO 27018 ist für Anwender bei der Auswahl von Cloud-Anbietern besonders wichtig. Um ihren Kunden die Sicherheit personenbezogener Daten gemäß dieser Vorgabe gewährleisten zu können, müssen Dienstleister ihr "Information Security Management System" (ISMS) im Rahmen von ISO 27001 nach der neuen Norm zertifizieren lassen. Doch um diesen Wettbewerbsvorteil zu erlangen, ist die technische Umsetzung der ISO-27018-Vorgaben zu bewältigen - eine nicht ganz triviale Aufgabe.

Die ISO 27018 ist von der ISO 27002 abgeleitet und ähnelt der ISO 27015, die Finanzdienstleister betrifft. Unter anderem enthält die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter:

  • Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.

  • Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.

  • Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.

  • Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.

  • Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.

  • Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.

  • Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.

  • Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.

Aufteilung und Trennung von Systemen

Aus diesen Vorgaben ergibt sich das Erfordernis, dass nicht nur Compliance-Vorgaben hinsichtlich der Organisation und Prozesse zu erfüllen sind, sondern auch die aktive Produktion von anbietereigenen Tools vorzunehmen ist. Solche Tools sollen den Cloud-Kunden helfen, deren Endkunden Zugang zu persönlichen Daten zu gewähren. Dafür und für die Qualität der Service-Updates muss der Anbieter die eigene IT um Entwickler, Tester und DevOps-Experten erweitern. Es werden also Entwicklungs-, Test- und Produktivsysteme zum Einsatz betrachtet. Jedes einzelne System muss ebenso wie das ISMS gesichert sein, beispielsweise durch Zugangskontrollen, IAM (Identity and Access Management) und IT-Perimeterabsicherung.

Als sinnvoll hat sich die strikte Trennung zwischen Entwicklungs-, Test- und Produktivsystemen erwiesen, denn das erschwert es Advanced Persistent Threats (APTs), von System zu System übertragen zu werden. Die Cloud-Dienste sollten monatlich mit neuen Cloud-Features aktualisiert werden, um die SLAs zu erfüllen, die solche Updates vorschreiben. Wichtig ist dabei allerdings, dass jedes Update der Cloud-Dienste mit Zero Known Defects erfolgt. Das bedeutet, dass zum Zeitpunkt des Updates in der Produktivumgebung alle beim Cloud-Anbieter gemeldeten und erfassten Defekte behoben sind.

Continuous Integration

Dies wiederum setzt voraus, dass jeder Software-Build für einen Service umfassende automatische Tests in einer Continuous-Integration-Umgebung durchläuft, damit potenzielle Defekte durch Systemänderungen zu einem möglichst frühen Zeitpunkt erkannt werden. Eine CI-Umgebung prüft automatisiert nach jeder Modifikation (in der Basis wie etwa nach Einspielen eines Sicherheits-Updates oder in der Software beim Implementieren neuer Funktionen) die Funktionsfähigkeit des Gesamtsystems. Erst nach vollständig positiven automatisierten Testdurchläufen kann eine solche Änderung produktiv verwendet werden.

Zu den automatisierten Tests gehören insbesondere "Unit Tests", die spezielle Funktionsbereiche gezielt testen, und "User Acceptance Tests", die Anwendungsszenarien aus Endanwendersicht automatisiert ausführen. Gemeinsam mit Kennzahlen wie der "Source Code Coverage", die misst, wie viel Prozent der Software durch die automatisierten Tests tatsächlich genutzt werden, und die im Idealfall 100 Prozent beträgt, kann so gewährleistet werden, dass eine Systemänderung keine negativen Auswirkungen auf die Funktionalität hat.

Continuous Deployment

In der Regel werden im Cloud-Umfeld Lösungen ohne direkte personelle Unterstützung durch den Cloud-Anbieter vor Ort beim Kunden eingeführt und genutzt. Daher sollte der Cloud-Anbieter sicherstellen, dass jeder Cloud-Endanwender über eine in die Cloud-Lösung integrierte Feedback-Möglichkeit Kontakt mit dem Provider aufnehmen kann, um so in der jeweiligen Cloud-Anwendung direkte Rückmeldungen zu Defekten, Sicherheitsfragen oder neuen Cloud-Features geben kann. Diese Rückmeldungen sollten unmittelbar in die agile Softwareentwicklung eingebracht, priorisiert und über die umgehenden Cloud-Updates rasch adressiert werden.

Betriebssicherung

Für die Sicherung des Betriebs einer Cloud-Umgebung haben ENISA und BSI Vorgaben gemacht, und die Europäische Datenschutzverordnung wird diese Vorgaben binnen zwei Jahren in nationales Recht transferieren. Ein Cloud-Anbieter sollte sich also bereits jetzt darauf einstellen, dass er nicht nur personenbezogene Daten gemäß ISO 27018 zu schützen hat, sondern auch den Betrieb der Systeme, auf denen diese Daten gespeichert, verarbeitet und übertragen werden. So ist es beispielsweise auch notwendig, den Lebenszyklus dieser Daten zu verwalten. Der Dienstleister ist verpflichtet sicherzustellen, dass solche Daten nach Ablauf der Vertragszeit - nach einer Vorankündigung an den Kunden - auf sichere Weise gelöscht werden.

Zertifizierung

Es ist ein scheinbar kleines Detail, das aber wichtige Folgen hat: Nach der Norm ISO 27018 kann nicht direkt zertifiziert werden. Zertifiziert wird stets ein ISMS gemäß ISO/IEC 27001, also ein konkretes, prüfbares IT-System. Wie lässt sich nun ISO 27018 in ein ISO 27001-konformes ISMS einbinden? Im Rahmen der Risikoanalyse werden typischerweise Maßnahmen (sogenannte "Controls") herangezogen, um Risiken zu begegnen. Diese Auswahl von Maßnahmen wird im sogenannten "Statement of Applicability" (SOA) fixiert. Das SOA bildet somit den Maßstab für das ISMS. Aus diesem Grund wird das jeweilige SOA auch im Zertifikat explizit referenziert.

Meist werden Controls aus der ISO 27002 herangezogen, aber es lassen sich auch andere einschlägige Standards anwenden - beispielsweise ISO/IEC 27018. Dadurch, dass diese Norm dann im SOA aufgeführt ist, ist sie Bestandteil einer Zertifizierung gemäß ISO/IEC 27001. Der sicherheitsbewusste Interessent zieht bevorzugt Cloud-Provider in die engere Wahl, die schon ein ISMS-Zertifikat für die ISO-Norm 27018 erhalten haben. Das nötige Audit für die Zertifizierung durch eine Prüfagentur wie etwa den TÜV ist umfangreich und kann einige Tage bis Wochen intensiver Kontrollen der Auditoren in Anspruch nehmen. Aufgrund dieses Aufwands an Zeit, Personal und Finanzen gibt es erst wenige Provider, die nach ISO 27018 zertifiziert worden sind. Nach ISO 20000 (IT-Service-Management), ISO 27001 (Informationssicherheits-Management), ISO 9001 (Qualitätsmanagement), dem ISAE 3402 (Wirksamkeit des internen Kontrollsystems) sowie dem TÜV Rheinland-Siegel "Certified Cloud Service" hat Fabasoft kürzlich auch das Audit für die ISO-Zertifizierung 27018 erfolgreich absolviert.