ISO 27018: Was bringt der neue Sicherheitsstandard bei Microsoft?

16.03.2015

Die meistgestellte Frage rund um die Cloud lautet schlichtweg: Wie sicher sind meine Daten? Die Anbieter werden zwar nicht müde, höchste Sicherheitsstandards zu predigen. Was das genau heißt, müssen sich Kunden dann meist selbst zusammenreimen.

Microsoft geht mit seinen Cloud Diensten Office 365 und Dynamics CRM Online deshalb einen neuen Weg. ISO 27018 lautet hier die Antwort auf die Fragen zur Sicherheit. Der neue Standard macht klare Vorgaben, auch bei Anfragen durch Behörden, gilt bei Microsoft vorerst aber nur für gewerbliche Kunden.

Zertifiziert wurden die Microsoft-Dienste vom British Standards Institute (BSI). Das Institut war maßgeblich an der Entwicklung von ISO 27018 beteiligt. Norm und Datenschutzpflichten basieren auf den beiden ISO 27001 und 27002. Sie wurden zusammengefasst und erweitert. Das Ergebnis dient unter anderem als Grundlage für die europäische Datenschutzgrundverordnung. Von daher sollte man davon ausgehen, dass der Standard Hand und Fuß hat.

Um das Zertifikat führen zu dürfen, müssen personenbezogene Daten exakt so verarbeitet werden, wie es die Kunden vorgeben. Darüber hinaus sind Cloud-Anbieter verpflichtet, Nutzern mitzuteilen, wo genau die Daten gespeichert und verarbeitet werden, und müssen ihnen Tools zur Verfügung stellen, mit denen die Daten korrigiert, geändert und gelöscht werden können. Sollten die Informationen durch Dritte verarbeitet werden, muss der Kunde auch darüber informiert werden. Gleiches gilt selbstverständlich, wenn Unbefugte sich Zugang zu den Daten verschafft haben. Und: Sofern Microsoft damit nicht gegen geltendes Recht verstößt, werden Cloud-Kunden umgehend in Kenntnis gesetzt, wenn Strafverfolgungsbehörden sich für die Daten interessieren und Zugriff darauf verlangen.

Aber: US-Behörden haben das Recht, von den Cloud-Dienstleistern absolute Geheimhaltung zu verlangen. Dabei können sie sich unter anderem auf die Nationale Security Letters berufen. Die Bemühungen von Microsoft, das zu verhindern – insbesondere auf gerichtlichem Weg –, verlaufen bislang im Sand. Ob der neue internationale Standard ISO 27018 etwas daran ändert, bleibt abzuwarten. Experten sehen in der Norm daher eher ein Werkzeug für den europäischen Markt.