Cloud Computing ermöglicht Organisationen jeder Größe und Branche, Rechenleistung, Speicherkapazitäten und Software aus dem Internet zu beziehen. So können Unternehmen ihre Infrastruktur hochflexibel aufstellen und jederzeit an neue Anforderungen anpassen. Damit unsere Kunden von den Möglichkeiten der Cloud profitieren können, erfüllen wir mehr als 90 nationale und internationale Datenschutz-, Sicherheits- und Compliance-Zertifizierungen. Welche das sind und warum sie wichtig sind, erklären wir in diesem Beitrag aus unserer Reihe „Im Daten-Dschungel“.
Hin und wieder stelle ich mir vor, wie es wohl wäre, wenn alle unsere Kunden zu Besuch kämen, um die Rechenzentren zu besichtigen, mit denen wir die drei Microsoft-Clouds Office bzw. Microsoft 365, Azure und Dynamics 365 betreiben. Eines ist sicher: Es wäre ziemlich voll und eng – und würde sich nicht mit den hohen Sicherheitsstandards vertragen, die in unseren Rechenzentren gelten, extreme Zugangsbeschränkungen inklusive. Wie können unsere Kunden dennoch sichergehen, dass bei uns alles mit rechten Dingen zugeht? Schließlich heißt es ja: „Vertrauen ist gut, Kontrolle ist besser“. Die Lösung: verbindliche internationale sowie regionale bzw. nationale Standards und Zertifizierungen, deren Gültigkeiten regelmäßig von Expert*innen überprüft werden.
Weltweit ist Microsoft der Cloudanbieter mit der größten Anzahl solcher Zertifizierungen. Mehr als 50 internationale Standards sind damit abgedeckt. Jede Menge Industriestandards kommen noch mit hinzu, zu denen in Deutschland beispielsweise TISAX gehört, oder aber nationale Standards wie der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegte Kriterienkatalog C5 (Cloud Computing Compliance Controls Catalogue). Dahinter verbirgt sich ein Regelwerk, das den Mindeststandard für eine sichere Cloud-Computing-Umgebung definiert und das wir für alle unsere Rechenzentrumsregionen weltweit anwenden. Eine Übersicht über alle Zertifizierungen der Microsoft Cloud gibt es hier.
Weitere wichtige internationale Standards sind beispielsweise ISO 27001 oder ISO 27018. Der erste Standard beschreibt, wie ein Information Security Management System auszusehen hat. Der zweite Standard regelt den Umgang mit personenbezogenen Daten bei einer Auftragsverarbeitung in der Cloud – datenschutzrechtlich geht es da also um die Kronjuwelen. Noch ziemlich neu in dieser Reihe ist ISO27701. Dieser Standard legt fest, wie ein Privacy Management System auszusehen hat – sich der Datenschutz in einer Organisation also gewährleisten lässt. Und es gibt noch BAIT – einen Standard, der die bankenaufsichtlichen Vorgaben zusammenfasst, die die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) an den IT-Betrieb stellt. Vorgaben leiten sich darüber hinaus auch aus KRITIS ab, den Regelungen für Unternehmen, die Teil der kritischen Infrastruktur Deutschlands sind.
Welche Rollen spielen Auditor*innen und Zertifizierungen?
Doch wie werden aus diesen Standards und Zertifizierungen Sicherheiten? Damit ein Anbieter eine Zertifizierung für den Betrieb seines Rechenzentrums erhält, muss er die Maßnahmen, die er selbst für den Betrieb des Rechenzentrums festgelegt hat, mit den Vorgaben aus den Anforderungskatalogen der jeweiligen Standards in Einklang bringen. Das, was der Anbieter leistet, muss also mit dem übereinstimmen, was für die Zertifizierung des Standards erforderlich ist. Unabhängige Prüfer*innen, die Auditoren*innen, prüfen dies. Sie beurteilen zudem, ob die jeweiligen Maßnahmen nicht nur auf dem Papier existieren, sondern auch wirklich umgesetzt werden. Allein im Fall des C5-Testats des BSI geht es dabei um mehr als 100 einzelne Anforderungen, die Controls. Sie reichen von der Organisation der Informationssicherheit über den Regelbetrieb, das Berechtigungsmanagement und den Einsatz von Kryptografie und Verschlüsselung bis hin zum Umgang mit möglichen Sicherheitsverstößen.
Das bedeutet: Unsere Kunden müssen nicht blind vertrauen, sondern können faktenbasiert urteilen und das – je nach Zertifizierung/Attestierung – auch im Auditbericht nachlesen. Sie profitieren zudem selbst davon, weil sie durch unsere zertifizierten Produkte nicht Gefahr laufen, ihre eigene Konformität zu schwächen. Obendrein wissen sie durch die Zertifizierung, dass die Produkte dem Stand der Technik entsprechen und können damit auch gegenüber ihren eigenen Kunden werben – weil sie auf die Cloud-Dienstleistungen eines zertifizierten, vertrauenswürdigen Partners setzen.
Regelmäßig schauen die Prüfer*innen vorbei
Manch eine*r könnte jetzt sagen, dass Papier geduldig ist. Doch die Zertifizierungen sind keine einmal ausgestellten Persilscheine. Viele von ihnen werden halbjährlich geprüft, andere müssen alle zwei bis drei Jahre wiederholt werden. Schließlich kommen auch immer neue Services und Produkte hinzu. Wir müssen somit immer wieder den Nachweis antreten, dass unsere Systeme und Prozesse den Standards genügen. Viele der Prüfungen erstecken sich über den Zeitraum seit der letzten Prüfung, daher müssen die Maßnahmen kontinuierlich befolgt werden. Und auch wenn nicht jeder unserer Kunden unsere Rechenzentren regelmäßig besuchen kann – die Auditor*innen machen es, stellvertretend für alle anderen. So sorgen sie dafür, dass das Vertrauen nicht ohne Kontrollen auskommen muss.
Weitere Informationen zu Zertifizierungen, Compliance-Fragen und Datenschutz findet ihr zum Nachlesen im Microsoft Trust Center.
Weitere Beiträge der Serie
Alle Beiträge unserer Reihe „Im Daten-Dschungel – Datenschutz von A bis Z“ gibt es hier.
Ein Beitrag von Ralf Wigand
National IT-Compliance Officer bei Microsoft Deutschland
