TL;DR 

ISO 27017 und 27018 sind Cloud-fokussierte Erweiterungen der ISO 27001.

27017 = Sicherheitskontrollen für die geteilte Verantwortung in der Cloud-Infrastruktur (CSPs + Kunden).

27018 = Umgang mit personenbezogenen Daten (PII) in der Public Cloud.

Keine separaten Zertifikate – üblicherweise bei ISO 27001 Audits überprüft. Starkes Signal für GDPR-Konformität und sichere Cloud-Praktiken.

ISO 27017 / 27018 Scorecard-Zusammenfassung:

• Entwickelnde : Moderat (Erfordert Verständnis der Cloud-Verantwortlichkeiten, die Implementierung spezifischer Cloud-Sicherheit und gegebenenfalls die Entwicklung von Funktionen für die Verwaltung personenbezogener Daten/Rechte). Der Aufwand kommt zu ISO 27001 hinzu.
• Tooling-Kosten: Minimale zusätzliche Kosten über ISO 27001 hinaus (Nutzt bestehende ISO 27001-Tools; Kosten beziehen sich hauptsächlich auf die Implementierung spezifischer Kontrollen wie erweiterte Überwachung oder Verschlüsselung, falls noch nicht vorhanden).
• Marktauswirkungen: Hoch (Besonders für CSPs und Unternehmen, die stark auf die Cloud setzen; ISO 27018 ist entscheidend für den Nachweis des Cloud-PII-Schutzes, relevant für die DSGVO).
• Flexibilität: Moderat (Bietet spezifische Leitlinien und Kontrollen innerhalb des flexiblen ISO 27001 Frameworks).
• Prüfungsintensität: Bewertet im Rahmen eines hochintensiven ISO 27001 Audits (Fügt spezifische Bereiche hinzu, die Auditoren im Zusammenhang mit Cloud und PII genau prüfen müssen).

Was sind ISO 27017 / 27018?

ISO/IEC 27017 und ISO/IEC 27018 sind internationale Standards innerhalb der ISO 27000-Familie, die sektorspezifische Leitlinien für das Cloud Computing bereitstellen. Sie bauen auf dem allgemeinen Rahmen und den Kontrollen auf, die in ISO 27001 und ISO 27002 (welche Implementierungsleitlinien für die Kontrollen des Anhangs A bereitstellt) zu finden sind.

• ISO/IEC 27017:2015 (Leitfaden für Informationssicherheitskontrollen basierend auf ISO/IEC 27002 für Cloud-Dienste):
  
  • Bietet Leitlinien zu 37 Kontrollen in ISO 27002, die speziell für Cloud-Sicherheit relevant sind.
  • Führt 7 neue Cloud-spezifische Kontrollen ein, die nicht in ISO 27002 enthalten sind und Bereiche wie geteilte Rollen und Verantwortlichkeiten, Überwachung von Cloud-Diensten, Härtung virtueller Maschinen und Asset-Entfernung für Kunden abdecken.
  • Klärt die Rollen und Verantwortlichkeiten zwischen dem Cloud Service Provider (CSP) und dem Cloud Service Customer (CSC) für die Implementierung jeder Kontrolle.
  • Konzentriert sich umfassend auf das Informationssicherheitsmanagement in der Cloud.
• ISO/IEC 27018:2019 (Leitfaden für den Schutz personenbezogener Daten (PII) in öffentlichen Clouds, die als PII-Verarbeiter fungieren):
  
  • Konzentriert sich speziell auf den Schutz von PII, die von öffentlichen CSPs verarbeitet werden.
  • Legt Ziele fest und bietet Anleitungen zur Implementierung von Kontrollen, um die Anforderungen an den PII-Schutz zu erfüllen.
  • Umfasst Prinzipien wie Einwilligung und Wahlfreiheit, Zweckmäßigkeit, Datenminimierung, Begrenzung von Nutzung, Speicherung und Offenlegung, Genauigkeit, Sicherheitsvorkehrungen, Transparenz und Rechenschaftspflicht für PII-Verarbeiter.
  • Stimmt eng mit Datenschutzbestimmungen wie der DSGVO überein.
  • Ihre Kontrollen erweitern größtenteils bestehende ISO 27002-Kontrollen um spezifische Interpretationen für den Schutz personenbezogener Daten (PII) in der Cloud.

Entscheidend ist, dass weder ISO 27017 noch ISO 27018 Managementsystemstandards wie ISO 27001 sind. Sie werden nicht direkt nach 27017 oder 27018 zertifiziert. Stattdessen implementieren Sie deren Leitlinien innerhalb eines ISO 27001-konformen Informationssicherheits-Managementsystems (ISMS), und ein Auditor bewertet Ihre Implementierung dieser spezifischen Kontrollen während Ihres ISO 27001-Audits.

Warum sind sie wichtig?

Während Erweiterungen der ISO 27001, ISO 27017 und ISO 27018 für Organisationen, die Cloud-Dienste nutzen oder anbieten, entscheidend sind:

• Klärt Cloud : ISO 27017 befasst sich speziell mit dem oft unklaren Modell der geteilten Verantwortung der Cloud und hilft sowohl CSPs als auch Kunden zu verstehen, wer für welche Sicherheitskontrollen verantwortlich ist.
• Schafft Vertrauen in Cloud : Die Einhaltung dieser Standards garantiert Kunden, dass ein CSP die Best Practices für Cloud-Sicherheit ISO 27017) und den Schutz personenbezogener Daten (ISO 27018) befolgt.
• Behandelt spezifische Cloud-Risiken: ISO 27017 bietet Leitlinien, die auf Cloud-spezifische Bedrohungen und Schwachstellen zugeschnitten sind (z. B. Virtualisierungssicherheit, Trennung von Kundenumgebungen).
• Unterstützt Datenschutz-Compliance (DSGVO usw.): ISO 27018 bietet einen klaren Rahmen für CSPs, um die Verpflichtungen als Auftragsverarbeiter gemäß DSGVO und anderen Datenschutzgesetzen zu erfüllen, mit Fokus auf Transparenz, Einwilligung und Rechte der betroffenen Personen in Bezug auf PII.
• Wettbewerbsvorteil: Für CSPs ist der Nachweis der Einhaltung (oft durch Einbeziehung in den Audit-Umfang einer ISO 27001-Zertifizierung) ein wesentliches Marktunterscheidungsmerkmal, insbesondere im Umgang mit regulierten Branchen oder datenschutzbewussten Kunden.
• Verbesserte Sicherheitslage: Die Implementierung der zusätzlichen Kontrollen und Leitlinien stärkt die Sicherheits- und Datenschutzpraktiken in der Cloud-Umgebung wirklich.

Sie übersetzen im Wesentlichen die umfassenderen Prinzipien von ISO 27001/27002 in den spezifischen Kontext von Cloud Computing und der darin stattfindenden PII-Verarbeitung.

Was und wie implementieren (Technisch & Policy)

Die Implementierung erfolgt innerhalb eines bestehenden oder geplanten ISO 27001 ISMS:

1. Umfangsdefinition (als Teil von ISO 27001): Stellen Sie sicher, dass Ihr ISMS-Umfang die von Ihnen bereitgestellten oder genutzten Cloud-Dienste klar einschließt.
2. Risikobewertung (als Teil von ISO 27001): Spezifische Identifizierung von Cloud-bezogenen Risiken (unter Verwendung der ISO 27017-Leitlinien) und von Risiken bei der Verarbeitung personenbezogener Daten (PII) in der Cloud (unter Verwendung der ISO 27018-Leitlinien).
3. Kontrollauswahl (Anwendbarkeitserklärung – SoA):
   
   • Überprüfen Sie die ISO 27002 Kontrollen im Hinblick auf ISO 27017, unter Berücksichtigung der Cloud-spezifischen Leitlinien für CSPs und CSCs.
   • Die 7 neuen Kontrollen aus ISO 27017 implementieren, falls zutreffend und risikobasiert (z. B. Definition gemeinsamer Verantwortlichkeiten, VM-Härtung).
   • ISO 27002-Kontrollen durch die Brille von ISO 27018 überprüfen, wenn PII als öffentlicher CSP verarbeitet wird, unter Implementierung der erweiterten Kontrollziele (z. B. bezüglich Zustimmung, Datenminimierung, Transparenz, Nutzerrechten).
   • Aktualisieren Sie Ihr SoA, um die Anwendbarkeit und den Implementierungsstatus dieser Cloud-spezifischen Kontrollen widerzuspiegeln.
4. Technische und politische Kontrollen implementieren:
   
   • ISO 27017 Beispiele:
     
     • Dokumentieren Sie klar geteilte Verantwortlichkeiten mit Ihrem CSP/Kunden (A.6.1.1 Leitfaden).
     • Verfahren für die Entfernung/Rückgabe von Assets implementieren, wenn ein Cloud-Dienst beendet wird (A.8.3.1 Leitfaden, neue Kontrolle CLD.6.3.1).
     • Virtuelle Umgebungen trennen (A.13.1.3 Leitlinie, neue Kontrolle CLD.9.5.1).
     • Virtual-Machine-Images härten (neue Kontrolle CLD.9.5.2).
     • Definieren und implementieren Sie eine spezifische Cloud-Benutzersicherheitsüberwachung (A.12.4.1 Leitfaden).
   • ISO 27018 Beispiele (für CSPs, die PII verarbeiten):
     
     • Vertraglich zusichern, PII nicht für andere Zwecke als die vom Kunden angewiesenen zu verarbeiten (Leitlinie A.18.1.4).
     • Transparenz über Unterauftragsverarbeiter wahren, die PII verarbeiten (Leitlinien A.15.1.1, A.15.1.2).
     • Mechanismen implementieren, um die Compliance der Kunden bezüglich der Rechte von Datensubjekten (Zugriff, Korrektur, Löschung) zu unterstützen (A.18.1.4 Leitfaden).
     • PII bei Vertragsbeendigung sicher löschen oder zurückgeben (Anleitung A.8.3.1, A.11.2.7).
     • Verschlüsseln Sie PII, die über öffentliche Netzwerke übertragen werden (Leitlinie A.13.2.1, A.13.2.3).
     • Verfahren zur Benachrichtigung bei Datenpannen implementieren, spezifisch für PII (A.16.1 Leitfaden).
5. Schulung und Sensibilisierung: Stellen Sie sicher, dass die zuständigen Mitarbeiter Cloud-Sicherheit (ISO 27017) und den Schutz personenbezogener Daten (ISO 27018) verstehen.
6. Auditing: Beziehen Sie die implementierten ISO 27017 / ISO 27018 Kontrollen in den Umfang Ihrer internen und externen ISO 27001 Audits ein.

Der Fokus liegt auf der Anwendung spezifischer Cloud- und PII-Schutzperspektiven auf Ihre bestehenden ISMS-Kontrollen.

Häufige Fehler, die es zu vermeiden gilt

Häufige Fehler im Umgang mit ISO 27017 / 27018:

1. Sie als eigenständige Zertifizierungen betrachten: Es handelt sich um Verhaltenskodizes, die ISO 27001 ergänzen, nicht um unabhängige Zertifizierungen.
2. ISO 27001-Grundlage ignorieren: Versuchen, 27017/27018-Kontrollen ohne ein ordnungsgemäßes ISO 27001 ISMS (Risikobewertung, SoA usw.) zu implementieren.
3. Umfang nicht korrekt definiert: Relevante Cloud-Dienste oder PII-Verarbeitungsaktivitäten werden nicht in den ISMS-Umfang einbezogen.
4. Vernachlässigung der geteilten Verantwortung (ISO 27017): Annahme, dass der CSP alles übernimmt, oder Versäumnis, die Verantwortlichkeiten zwischen Anbieter und Kunde klar zu dokumentieren.
5. Unzureichender Fokus auf PII (ISO 27018): Für CSPs: Die spezifischen Anforderungen an Einwilligung, Transparenz, Unterstützung von Betroffenenrechten und Einschränkungen der PII-Nutzung nicht vollständig verstehen oder implementieren.
6. Mangelnde technische Implementierung: Die Richtlinien rein als Vorgabe zu behandeln, ohne die notwendigen technischen Kontrollen (z. B. Verschlüsselung, Zugriffskontrollen, sichere Konfigurationen speziell für die Cloud-Umgebung) zu implementieren.
7. Die Kundenrolle vergessen (ISO 27017): Cloud-Kunden haben ebenfalls in ISO 27017 definierte Verantwortlichkeiten; es ist nicht nur für Anbieter.

Was Auditoren fragen werden (Fokus Entwickelnde)

Während eines ISO 27001-Audits, das ISO 27017 / 27018 umfasst, könnten Auditoren Fragen zu Cloud-Operationen und dem Umgang mit PII stellen:

• (27017) „Wie stellen Sie die sichere Konfiguration und Härtung von virtuellen Maschinen-Images sicher, die in der Cloud bereitgestellt werden?“ (CLD.9.5.2)
• (27017) „Zeigen Sie mir die Dokumentation, die die Sicherheitsverantwortlichkeiten zwischen Ihnen (als Kunde/Anbieter) und Ihrem Cloud-Anbieter/Kunden definiert.“ (A.6.1.1 guidance)
• (27017) „Wie überwachen Sie Sicherheitsereignisse speziell in Ihrer Cloud-Umgebung?“ (A.12.4.1 guidance)
• (27017) „Welche Verfahren sind zur sicheren Entfernung Ihrer Daten/Assets bei Beendigung des Cloud-Dienstes vorhanden?“ (CLD.6.3.1)
• (27018 – für CSPs) „Wie unterstützt Ihr System die Fähigkeit Ihrer Kunden, auf Anfragen von betroffenen Personen bezüglich des Zugriffs oder der Löschung von personenbezogenen Daten (PII), die Sie verarbeiten, zu reagieren?“ (A.18.1.4 Leitfaden)
• (27018 – für CSPs) „Wie stellen Sie sicher, dass PII nicht ohne explizite Zustimmung für Marketing/Werbung verwendet wird?“ (Grundsatz der Zweckbindung)
• (27018 – für CSPs) „Welche kryptografischen Techniken werden verwendet, um PII während der Übertragung und im Ruhezustand innerhalb Ihres Cloud-Dienstes zu schützen?“ (A.10.1 / A.13.2.1 Leitfaden)
• (27018 – für CSPs) „Wie informieren Sie Kunden über Unterauftragsverarbeiter, die an der Verarbeitung ihrer PII beteiligt sind?“ (A.15.1.1 / A.15.1.2 guidance)

Sie werden nach Nachweisen suchen, dass die spezifischen Leitlinien zum Schutz von Cloud und PII innerhalb des ISMS berücksichtigt und umgesetzt wurden.

Quick Wins für Entwicklungsteams

Die Ausrichtung an den Prinzipien von ISO 27017 / 27018 kann hier beginnen:

1. Verstehen Sie die Rolle Ihres Cloud (ISO 27017): Lesen Sie Modell der geteilten Verantwortung Ihres CSP Modell der geteilten Verantwortung . Informieren Sie sich darüber, welche Sicherheitsmaßnahmen Ihr CSP übernimmt und welche Sie selbst auf der Anwendungs-/Konfigurationsebene treffen müssen.
2. VM-/Container-Images härten (ISO 27017): Verwenden Sie minimale Basis-Images, entfernen Sie unnötige Dienste und wenden Sie Sicherheitskonfigurationen vor der Bereitstellung an. (Bezieht sich auf CLD.9.5.2)
3. Nutzen Sie Cloud (ISO 27017): Nutzen Sie integrierte Tools von Cloud-Anbietern für Überwachung, Zugriffskontrolle (IAM) und Konfigurationsmanagement (wie AWS Config, Azure Policy).
4. PII-Datenflüsse abbilden (ISO 27018): Wenn Sie PII verarbeiten, verstehen Sie genau, wo sie in Ihre Cloud-Anwendung gelangen, wie sie verarbeitet, wo sie gespeichert und wer darauf zugreift.
5. PII verschlüsseln (ISO 27018): Priorisieren Sie die Verschlüsselung von PII sowohl während der Übertragung (TLS) als auch im Ruhezustand (Datenbank-/Speicherverschlüsselung).
6. Plan für Rechte betroffener Personen (ISO 27018): Beim Entwurf von Funktionen, die PII betreffen, überlegen, wie die Daten eines bestimmten Benutzers bei Bedarf technisch abgerufen, korrigiert oder gelöscht werden könnten.

Ignorieren Sie dies und... (Konsequenzen des Scheiterns)

Da ISO 27017 / 27018 im Rahmen eines ISO 27001 Audits bewertet werden, bedeutet „Scheitern“ typischerweise das Erhalten von Nichtkonformitäten während dieses Audits:

• ISO 27001 Auditfehler: Schwerwiegende Nichtkonformitäten im Zusammenhang mit nicht implementierten 27017/27018-Kontrollen (falls im Geltungsbereich) können Ihre ISO 27001-Zertifizierung selbst gefährden und zu einer Aussetzung oder einem Scheitern der Zertifizierung führen.
• Vertrauensverlust: Wenn Sie die Einhaltung der Best Practices für Cloud-Sicherheit ISO 27017) oder den Schutz personenbezogener Daten (ISO 27018) nicht nachweisen können, schadet dies dem Vertrauen Ihrer Kunden und Partner, die sich auf Ihre Cloud-Dienste verlassen.
• Vertragliche/Marktbezogene Probleme: Unfähigkeit, vertragliche Anforderungen zu erfüllen, die die Einhaltung dieser Standards vorschreiben, was potenziell zum Verlust von Geschäften oder Marktzugang führen kann.
• Erhöhtes Risiko: Das Ignorieren der Richtlinien bedeutet, dass potenziell entscheidende Cloud-spezifische Sicherheitskontrollen oder PII-Schutzmaßnahmen übersehen werden, was das Risiko von Sicherheitsverletzungen oder Datenschutzverletzungen erhöht.
• Regulatorische Non-Compliance: Bei ISO 27018 könnte die Nichteinhaltung der PII-Schutzrichtlinien zu einer Non-Compliance mit Vorschriften wie der DSGVO führen, was Bußgelder und rechtliche Schritte nach sich ziehen kann.

FAQ

Kann ich mich direkt nach ISO 27017 oder ISO 27018 zertifizieren lassen?

Nein. Es handelt sich um Verhaltenskodizes, nicht um Managementsystemstandards. Die Compliance wird im Rahmen eines ISO 27001 Zertifizierungsaudits bewertet, bei dem diese Standards im Geltungsbereich enthalten sind.

Benötige ich sowohl ISO 27017 als auch ISO 27018?

Nicht unbedingt. ISO 27017 ist für fast jede Organisation relevant, die signifikante Cloud-Dienste nutzt oder anbietet. ISO 27018 ist speziell für öffentliche Cloud Service Provider relevant, die personenbezogene Daten (PII) im Auftrag ihrer Kunden verarbeiten. Wenn Sie ein CSP sind, der PII verarbeitet, würden Sie wahrscheinlich beide in Betracht ziehen. Wenn Sie ein Cloud-Kunde sind, der keine signifikanten PII in der Cloud verarbeitet, ist möglicherweise nur ISO 27017 relevant.

Wie beziehen sich ISO 27017/27018 auf ISO 27001?

Es handelt sich um Erweiterungen, die detaillierte Implementierungsleitlinien für spezifische ISO 27001/27002-Kontrollen im Kontext von Cloud Computing (ISO 27017) und dem Schutz von PII in der Cloud (ISO 27018) bieten. Ein ISO 27001 ISMS ist als Grundlage erforderlich.

Ist ISO 27017 nur für Cloud Service Provider (CSPs)?

Nein. ISO 27017 bietet Leitlinien für sowohl Cloud Service Provider (CSPs) als auch Cloud Service Customers (CSCs) und klärt die Verantwortlichkeiten jeder Partei.

Ist ISO 27018 nur für Cloud Service Provider (CSPs)?

Primär ja. ISO 27018 konzentriert sich auf die Anforderungen an CSPs, die als PII-Verarbeiter agieren. Cloud-Kunden (PII-Verantwortliche) könnten es zur Bewertung von CSPs nutzen, aber die Implementierungslast liegt hauptsächlich beim Anbieter.

Macht die Implementierung von ISO 27018 mich DSGVO-konform?

Nicht automatisch, aber es hilft erheblich. ISO 27018 bietet CSPs einen starken Rahmen, um viele DSGVO-Anforderungen im Zusammenhang mit der Verarbeitung personenbezogener Daten (PII) (Artikel 28-Verpflichtungen) zu erfüllen, wie Sicherheit, Transparenz, Unterauftragsverarbeitung und Unterstützung bei den Rechten betroffener Personen. Es ist ein wertvolles Werkzeug, um die DSGVO-Konformität bei der Cloud-PII-Verarbeitung nachzuweisen.

Wie werden diese geprüft?

Eine akkreditierte Zertifizierungsstelle führt ein ISO 27001 Audit durch. Wenn ISO 27017 / 27018 in Ihrem ISMS-Geltungsbereich und der Erklärung zur Anwendbarkeit enthalten sind, bewertet der Auditor Ihre Implementierung der relevanten Kontrollen und Leitlinien aus diesen Standards während des ISO 27001 Auditprozesses.