Press Release

OVH jetzt auch ISO 27017 konform

corporate

OVH führt neue Best Practices ein, um ISO 27017 zur Sicherheit von Cloud-Dienstleistungen gerecht zu werden. In dieser internationalen Norm sind spezifische Empfehlungen für die Anbieter von Cloud-Dienstleistungen definiert. Julien Levrard, verantwortlich für die Umsetzung der ISO 27017 bei OVH, im Gespräch über die neuen Bestimmungen und die Vorteile für die Kunden.
Was ist die Norm ISO 27017?
Die ISO/IEC 27017 ist eine internationale Norm zur Sicherheit von Cloud-Services. Dieser Standard gehört zur Norm ISO 27002(1), deren Controls sie ganz speziell im Hinblick auf Cloud-Dienstleister präzisiert. Für jeden Bereich der übergeordneten Norm werden mögliche Besonderheiten der Cloud explizit dargelegt. Durch diese Methodik können Sicherheit- und Qualitäts-Experten die Vorgaben schnell umsetzen, für alle anderen wird die Lektüre allerdings erschwert.
ISO 27017 betrifft aber nicht nur die Anbieter von Cloud-Services selbst, sondern die Sicherheit der Cloud insgesamt. Deshalb wird auch die Kundenseite miteinbezogen. Die verschiedenen Anforderungen ergänzen sich gegenseitig und ermöglichen eine Standardisierung der Beziehung zwischen Kunde und Cloud-Anbieter.
Manche Kunden fragen uns, ob wir ISO 27017 und ISO 27018 erfüllen. Kannst du uns mehr dazu sagen? Wie hängen diese beiden Normen zusammen?
Die ISO 27018 ist eine Norm zur Datenschutz- und Datensicherheit beim Cloud-Computing. Sie folgt derselben Methode wie ISO 27017, indem sie die Sicherheitsvorgaben der ISO 27002(1) in Bezug auf die Verarbeitung personenbezogener Daten präzisiert. Der Schutz von Kundendaten hat bei OVH oberste Priorität, und ganz besonders natürlich, wenn es sich um personenbezogene Daten handelt. Die Maßnahmen aus ISO 27018 sind vor allem einschlägig für die Verarbeitung personenbezogener Daten im Rahmen von SaaS-Angeboten – für unsere Infrastruktur-Dienstleistungen sind sie also eher von untergeordneter Relevanz.
Schon die Norm ISO 27001 formalisiert die Beziehung zwischen dem zertifizierten Unternehmen und den Kunden – was ist also neu an der ISO 27017?
Wir wurden 2013 zum ersten Mal nach ISO 27001 zertifiziert. In dieser Norm wird die Wichtigkeit der Kommunikation zwischen einem Unternehmen und seinen Kunden zur Erarbeitung geeigneter Security-Management-Prozesse ganz klar betont. Sie ist aber allgemeingültig, also für jede Art von Unternehmen oder Einrichtung. In der ISO 27017 wird dagegen gerade die Beziehung zwischen Kunden und Cloud-Anbietern spezifiziert. Es wird genau beschrieben, was ein Kunde von seinem Anbieter erwarten kann und was der Anbieter selbst an Informationen für den Kunden bereithalten sollte. Wenn die ISO 27017 eingehalten wird, können beide Seiten sicher sein, dass alle wichtigen Punkte in Bezug auf die Sicherheit bei dem jeweiligen Service auch berücksichtigt werden.
„Bei den nächsten Audits wird auch die Einhaltung dieser Best Practices überprüft. Damit haben wir dann eine unabhängige Evaluierung, wie diese Best Practices in unseren Prozessen umgesetzt werden.“
Ist OVH nun nach der Norm ISO-27017 zertifiziert?
Streng genommen gibt es überhaupt keine Zertifizierung nach dieser Norm. Es handelt sich lediglich um einen Katalog von Best Practices, mit denen die IT-Sicherheit eines Service optimiert werden kann. Diese Empfehlungen sind in einem zertifizierten ISO 27001 Management-System natürlich sehr gut umzusetzen. Im Rahmen der kontinuierlichen Verbesserung unseres Management-Systems haben wir jetzt auch die Vorschläge aus ISO 27017 in unsere Sicherheitsmaßnahmen integriert. Bei den nächsten Audits wird auch die Einhaltung dieser Best Practices überprüft. Damit haben wir dann eine unabhängige Evaluierung, wie diese Best Practices in unseren Prozessen umgesetzt werden.
Warum ist die Kommunikation zwischen Kunden und Cloud-Anbietern so wichtig?
Indem sie ihre IT-Systeme auf unseren Infrastrukturen hosten, vertrauen unsere Kunden uns ihre Daten an – und häufig auch sehr sensible Daten. Es ist also vollkommen legitim, wenn sie auch umfassende Informationen über unsere Infrastrukturen und unsere Betriebsabläufe haben möchten, um sich davon zu überzeugen, dass das Sicherheitsniveau bei OVH tatsächlich ihren Ansprüchen genügt. Allerdings müssen wir natürlich mit diesen Informationen sehr vorsichtig umgehen, um nicht unsere eigenen Sicherheitsmaßnahmen zu gefährden. Hier den optimalen Kompromiss zu finden ist schon eine Herausforderung für sich. Aber genau dabei helfen uns die verschiedenen Zertifizierungen.
Um welche Informationen geht es dabei?
Es geht hier um all diejenigen Informationen, die ein Kunde braucht, um sich selbst davon zu überzeugen, dass alle Risiken abgedeckt sind, von denen er vielleicht betroffen sein könnte. Der Cloud-Service-Provider muss seine Kunden über die Architektur, die eingesetzten Technologien, Sicherheitsmaßnahmen und verfügbare Funktionen informieren. So sind beispielsweise die verwendeten Verschlüsselungstechnologien und die geografische Lokalisierung der Rechenzentren selbstverständlich anzugeben.
Außerdem muss der Anbieter auch klar definieren, welche Rolle dem Kunden im Betriebsablauf zukommt, also beim Change Management, bei Updates oder Störungen. Ganz allgemein wird in der Norm betont, wie wichtig es ist, genau festzulegen, inwieweit Kunde oder Provider bei den verschiedenen sicherheitsrelevanten Themen verantwortlich sind.
„Eigentlich haben wir nur Kleinigkeiten geändert. Unsere Management-Systeme wurden ja in einem Cloud-Service-Kontext entwickelt, und die meisten der in ISO 27017 aufgeführten Maßnahmen hatten wir längst umgesetzt.“
Was hat sich für OVH nun ganz konkret geändert?
Eigentlich haben wir nur Kleinigkeiten geändert. Unsere Management-Systeme wurden ja in einem Cloud-Service-Kontext entwickelt, und die meisten der in ISO 27017 aufgeführten Maßnahmen hatten wir längst umgesetzt. Auch wird der Kommunikation mit den Kunden bei OVH schon immer eine große Bedeutung beigemessen; wir möchten, dass sie unsere Architektur und auch unsere Sicherheitsmaßnahmen nachvollziehen können. Dieser Austausch erfolgt über die allgemeinen Verträge und unsere Webseite, aber auch über Dokumente, die wir erst nach Unterzeichnung einer Verschwiegenheitserklärung ausgeben, und schließlich auch durch unseren technischen und kaufmännischen Support. Das sind sehr umfassende Prozesse, die wir auch kontinuierlich verbessern. Und in diesem Zusammenhang werden wir auch die Einhaltung aller Empfehlungen aus der Norm gewährleisten.
Und für die Kunden?
Die Norm kann Interessenten dabei helfen, wichtige Punkte zu identifizieren und sich für einen geeigneten Partner zu entscheiden. Die IT-Entscheider wünschen sich mehr Flexibilität und möchten für jeden Anwendungsfall den optimalen Anbieter auswählen können. Die Bereitstellung von IT-Services entwickelt sich dadurch von einer Versorgungskette eher zu einer Art Netzwerk. Die kaufmännischen und technischen Beziehungen vervielfachen sich, und das führt wiederum zu einer ganz neuen Komplexität, mit der man erst einmal umgehen muss. Die ISO 27017 sorgt durch ein Analyseraster und den gezielten Austausch von Informationen für eine Standardisierung der Beziehungen zwischen Kunden und Cloud-Service-Providern und erleichtert so das Management. Indem jetzt auch alle Best Practices der ISO 27017 umgesetzt werden, kann OVH seinen Kunden optimale Sicherheit garantieren. Wir planen übrigens für die kommenden Monate noch weitere Zertifizierungen, damit OVH demnächst sogar Gesundheitsdaten hosten darf.
(1) – ISO/IEC 27002 umfasst 113 Maßnahmen, sogenannte „Best Practices“, die für alle Betreiber von Informationssicherheits-Management-Systemen (ISMS) empfohlen werden. Informationssicherheit wird in dieser Norm definiert als „Gewährleistung der Vertraulichkeit, der Integrität und der Verfügbarkeit der Information“.