Eine Publikation der Swissprofessionalmedia AG
12.02.2016

Rechenzentrum und ISO 27001

In komplexen IT-Systemen werden heute immer mehr Informationen gesammelt, verarbeitet und gespeichert. Ohne korrekte, integre und verfügbare Daten gerät jede Informationsverarbeitung ins Stocken. Besonders in Rechenzentren gilt es, die Daten unter allen Umständen gegen Ausspähung, Manipulation und Schädigung zu schützen. Das erfordert eine Reihe von Massnahmen und macht in der Praxis erhebliche Anstrengungen erforderlich.

Sicherer Umgang mit Daten
In einer globalen Informationsgesellschaft werden immer schnellere und kompliziertere Systeme weltweit miteinander vernetzt. Die Informationstechnik (IT) ist Bestandteil unserer Gesellschaft geworden und umfasst inzwischen alle Bereiche. Viele Systeme und Produkte sind für Anwender dermassen komplex, dass sie nicht ohne fundierte Fachkenntnisse zu durchschauen sind. Vertrauen in die Informationstechnik kann aber nur entstehen, wenn sich die Nutzer darauf verlassen können. Ganz besonders gilt das für die Sicherheit von Daten bezogen auf Integrität, Vertraulichkeit und Verfügbarkeit. Zur Gewährleistung des Umgangs mit Daten und informationsverarbeitenden Systemen ist es erforderlich, Sicherheitsstandards zu entwickeln und deren Einhaltung zu kontrollieren.

Zertifizierung nach ISO 27001
Informationen gehören heute zu den wichtigsten Gütern, deshalb kommt auf Rechenzentren eine besondere Verantwortung zu. Würden hier Daten kompromittiert oder gar verlorengehen, wäre der Schaden für die meisten Unternehmen sehr gross, einige würden sogar in existenzbedrohende Schwierigkeiten geraten. Wer personenbezogene Daten verarbeitet steht ausserdem in der Pflicht, die Persönlichkeitsrechte der Betroffenen zu schützen. Fehler im Umgang mit persönlichen Daten führen zu einem Imageverlust und zur Schwächung der Wettbewerbsfähigkeit.
Ein bewährtes und international anerkanntes System zum Schutz der Daten ist die ISO-Norm 27001. Hinzu kommen die Implementierungsrichtlinien ISO 27002. Diese Standards erfordern einen Prozess, in dessen Verlauf der Dienstleister ein Sicherheitssystem einrichtet und betreibt, durch das der Schutz der Daten überwacht, geprüft, verwaltet und verbessert wird. Für die Implementierung der Norm sind geschulte Experten erforderlich, und natürlich muss das durchführende Unternehmen diese Norm selber erfüllen. Besonders Rechenzentren haben die Verantwortung für die Daten ihrer Kunden. Eine Zertifizierung nach ISO 27001 gilt als objektiver Beleg für die Vertrauenswürdigkeit eines Rechenzentrums. Wie bei Mittwald, Syseleven oder it2-solutions sollte man die Zertifizierung nach ISO 27001 als ein Entscheidungsmerkmal nutzen.

Der Weg zur Zertifizierung
An einem Zertifizierungsverfahren nach ISO 27001 sind grundsätzlich ein Antragssteller, ein externer Auditor und eine Zertifizierungsstelle beteiligt. Der Antrag muss mindestens einen Monat vor Beginn des Audits vorliegen. Der Antragssteller ist der Initiator des Zertifizierungsverfahrens und unterstützt das Auditteam bei der Prüfung der Referenzdokumente. Die Audits haben das Ziel, mögliche Schwachstellen in der Datensicherheit zu identifizieren und diese abzustellen. Ein Audit zum Beispiel in einem Rechenzentrum besteht aus der Prüfungsplanung, der eigentlichen Prüfung, der Bewertung der Abweichungen, einem Schlussgespräch und einem Prüfbericht.
Die Auditoren dürfen nur Fachbereiche prüfen, für die sie die notwendige Erfahrung und das Fachwissen besitzen. Fehlt ein nötiges Spezialwissen, kann der Teamleiter zur Unterstützung der Prüftätigkeit externe Fachexperten hinzuziehen. Das Auditteam dokumentiert vor Ort seine Prüfungsergebnisse in einem Auditbericht. Zusammen mit dem Zertifizierungsantrag bildet dieser die Grundlage für ein Zertifikat nach ISO 27001. Als dritte Instanz übernimmt eine unabhängige Zertifizierungsstelle die Prüfung der Auditberichte. Die Stelle prüft anhand eines Zertifizierungsschemas, ob die Prüfungsergebnisse eine Zertifizierung nach ISO 27001 zulassen. Bei einem positiven Prüfergebnis erhält der Antragssteller ein ISO 27001-Zertifikat. Antragsteller und das Auditteam sollten bei der Planung des Verfahrens darauf achten, dass genügend Ressourcen für eventuelle Nachbesserungen oder Nachforderungen zur Verfügung stehen. 
Ein Zertifikat nach ISO 27001 bescheinigt einem Rechenzentrum, dass es einen Datenschutz implementiert hat, der ausreichend und angemessen ist und dass das Unternehmen in der Lage ist, mit Risiken umzugehen. Der Schutz der Informationen ist nicht nur gut für ein Rechenzentrum, es vermittelt den Kunden auch das Gefühl der Vertrauenswürdigkeit. 

Mittwald
Syseleven
it2-solutions



Bild: CC0 Public Domain