|
GRUPPE:
IT-Grundschutz
AUSLÖSENDES POSTING:
Hallo zusammen,
wir sind in der Entwicklung eines voll webbasierten Systems als SaaS. Das System wird diverse personenbezogene Daten speichern. Das System läuft nicht mehr im RZ des Kunden, sondern in der Cloud (vermutlich Amazon EC2).
Nach meiner Ansicht hat SaaS in der Cloud eine große Zukunft. Aber ich bin auch ziemlich sicher, dass wir ohne Zertifizierung Probleme mit den IT-Abteilungen und den Datenschützern der Kunden bekommen werden.
Was ist das derzeit empfohlene Vorgehen, um den Kunden, die Angst vor der Cloud zu nehmen und zu einer Zertifizierung zu gelangen?
Was wird benötigt für eine Zertifizierung? Was sind die Mindestanforderungen hinsichtlich Datenschutz, die man als SaaS Anbieter erfüllen muss? ISO 27001, BSI und IT Grundschutz? TÜV? Eurocloud Gütesiegel?
Für Tipps wäre ich dankbar.
Danke und Gruß
C. O.
kronsoft POSTING:
Zweiter Versuch mit Erklärung. Die Mails, die mich erreicht haben, zeigen mir, dass mein erstes Posting dringend einer Erweiterung bedarf und mit Erläuterungen bereitgestellt werden sollte - das war mir so nicht klar.
Herr O.: Sie sehen bereits jetzt eine gewisse Problematik im Akzeptanzbereich bei Ihren späteren Kunden und haben sich deshalb mit den genannten Zertifikaten beschäftigt. Vielleicht sehen Sie auch schon, dass Ihnen Probleme aus der zweiten "Entscheider"schicht heraus entgegenkommen: Datenschutzbeauftragter, Sicherheitsbeauftragter, IT-Sicherheitsbeauftragter, Risikobeauftragter, Compliancebeauftragter, Personalvertretung,.Revision, usw.
Damit Sie den bestmöglichen Start haben, wird es notwendig sein, dass Sie das in Deutschland höchstgeschätzte und bekannteste Datenschutz-Zertifikat vorlegen und das in Deutschland am höchst geschätzten IT-Sicherheits-Zertifikat zeigen können. Das höchst geschätzte Datenschutz-Zertifikat ist das Datenschutz-Gütesiegel vom ULD Schleswig Holstein. Das in Deutschland höchstgeschätzte IT-Sicherheits-Zertifikat ist das BSI-Grundschutz-Zertikat (auf Basis 27001).
Warum habe ich mich nicht für die ISO27001 oder das Eurocloud Gütesiegel ausgesprochen? Die ISO 27001 ist ein hervorragendes Instrument zum Aufbau eines ISMS. Als solches ist sie fast perfekt. Ich liebe sie. Die Problematik, die die ISO 27001 enthalt, ist allerdings, dass der Betrachter (ihr Kaufinteressent) nicht ohne nähere Kenntnis des ISMS weiß, wie und mit welchem Aufwand an Maßnahmen die Controls implementiert wurden - ganz im Gegenteil zum BSI-Grundschutz, bei dem der Sachkundige, wenn er den Zertifizierungsgegenstand kennt, der ja veröffentlicht ist, mit Sicherheit weiß, a) welche Bausteine implementiert, b) welche Gefährdungen berücksichtigt und c) welche Maßnahmen umgesetzt wurden.
Das Eurocloud Gütesiegel wird vom Verband der Cloud-Computing-Industrie erteilt und das ist das Problem - der Nachweis der Unabhängigkeit wird auch bei größter Anstrengung und ausdrücklicher Zusammenarbeit mit dem BSI nach meiner Einschätzung nicht den Vertrauenslevel erreichen, den das ULD besitzt.
Den TÜV können Sie als Zertifizierer nehmen - es spricht nichts dagegen aber aus meiner Einschätzung auch nichts dafür, denn Sie sollen ja die Zertifikate vermarkten und nicht den Zertifizierer. Wenn wir bei diesem Punkt sind, erlaube ich mir noch den Hinweis auf Dr. Hans-Georg Häusel, der die Verkaufspsychologie untersucht und äußerst bemerkenswerte Erkenntnisse zum Thema "warum Kunden kaufen" liefert.
Mein Hinweis auf die beiden BSI-Auditoren Frau Dubois und Herr Reymann entspringt einfach der Tatsache, dass ich beide als sehr gute Auditoren kennengelernt habe und das ist das wichtige, beide bieten Ihnen auch das ULD-Zertifikat aus einer Hand an. Das hat Vorteile.
Die Hinweise von Herrn K. sind sehr wichtig, weil er einige Problemfelder der Öffentlichkeit zur Kenntnis bringt. Diese Sachverhalte werden über das Datenschutz-Zertifikat abgedeckt.
Obige Darstellungen basieren auf der Annahme, dass Sie Ihr Produkt in Deutschland vermarkten wollen. Sollten Sie zusätzlich zu Deutschland auch EU-weit oder weltweit vermarkten, sind Sie in einer prekären Lage. BSI-Grundschutz geniest leider weltweit nicht die Akzeptanz, wie die ISO27001 - Sie sehen eventuell worauf es hinausläuft - in Deutschland brauchen Sie den Grundschutz und außerhalb Deutschlands die ISO 27001. An dieser Stelle möchte ich mein "opus i" ins Spiel bringen, in dem wir es geschafft haben beide Standards zu verweben. Beide Zertifikate können gleichzeitig bearbeitet werden, wobei ich sicher bin, dass weitaus weniger als doppelter Aufwand entsteht.
Das Datenschutz-Zertifikat vom ULD wird außerhalb Deutschlands auch relativ schwerelos. Allerdings gibt es zum ULD-Gütesiegel das europäische Pendant "EuroPrise European Privacy Seal" in dem nur unabhängige Europäische Datenschutz-Institutionen (u.a. wieder das ULD) als Träger fungieren.
Soweit meine Erfahrungen zu diesem Thema.
Grüße an alle Leser
Gerhard Kron
|
