Cloudflare erlangt wichtige Cloud Computing-Zertifizierungen –  und das ist erst der Anfang

Als das Internet noch in den Kinderschuhen steckte, war die Hardware, auf der die Daten gespeichert wurden, noch sichtbar. Man wusste, wo sich die eigenen Daten befanden und welche Maßnahmen zu ihrem Schutz eingesetzt wurden. Ein paar Jahrzehnte später befinden sich sämtliche Daten „in der Cloud“. Somit muss man heute darauf vertrauen, dass der eigene Cloud-Dienstanbieter die gleichen Sicherheitsvorkehrungen getroffen hat, die man selbst ergriffen hätte, wenn die Daten immer noch auf der eigenen Hardware gespeichert würden. Die gute Nachricht ist, dass Sie sich jetzt nicht mehr blind auf ihren Provider verlassen müssen. Denn heute können Cloud-Dienstleister Belege für robusten Datenschutz und solide Sicherheitsmaßnahmen vorlegen.

Wir freuen uns, heute mitteilen zu können, dass Cloudflare drei wichtige Schritte unternommen hat, um einen Nachweis über die Sicherheits- und Datenschutzmaßnahmen für die Kunden unserer Cloud-Services zu erbringen: Wir haben die wichtige Cloud-Service-Zertifizierung ISO/IEC 27018:2019 erlangt und darüber hinaus nach Abschluss eines unabhängigen Audits unser Cloud Computing Compliance Criteria Catalog („C5“)-Testat erhalten. Außerdem sind wir der General Assembly des EU Cloud of Code of Conduct beigetreten, um diesem vertrauenswürdigen Cloud-Ökosystem noch größeren Einfluss zu verschaffen und mehr Unternehmen zur Nutzung DSGVO-konformer Cloud-Services zu ermutigen.

Cloudflare hat sich seit Unternehmensgründung dem Datenschutz und der Datensicherheit verpflichtet, und es ist uns wichtig, dies auch belegen zu können. Mit dieser Zertifizierung haben unsere Kunden die Gewissheit, dass die Erfüllung der Standards durch Cloudflare von einer unabhängigen dritten Stelle überprüft wurde.

ISO/IEC 27018:2019 – Cloud-Dienst-Zertifizierung

Für Fans der Zahl „zwei“ ist 2022 ein großartiges Jahr: Am 22. Februar 2022 um 20:22:02 Uhr war die zweite Sekunde der zweiundzwanzigsten Minute der zwanzigsten Stunde des zweiundzwanzigsten Tages des zweiten Monats des Jahres zwanzigzweiundzwanzig! Auf einer alten LCD-Uhr aus den 80er-Jahren war das Datum nicht nur ein Palindrom (also etwas, das vorwärts und rückwärts gleich gelesen werden kann), sondern Datum und Uhrzeit konnten auch als Ambigramm (etwas, das sowohl auf dem Kopf als auch richtig herum gelesen werden kann) geschrieben werden:

Unser Team war am 22.02.2022 mit dem Abschluss unseres zweiten jährlichen Audits zur Zertifizierung nach ISO/IEC 27701:2019 beschäftigt. Wir zählten zu den Ersten in unserer Branche, die diese neue ISO-Datenschutzzertifizierung im Jahr 2021 erhalten haben, und waren das erste Internet-Performance- und Sicherheitsunternehmen, das nach dieser Norm zertifiziert wurde. Nun ist Cloudflare auch nach einer zweiten internationalen Datenschutznorm für die Verarbeitung personenbezogener Daten zertifiziert: ISO/IEC 27018:2019.1

Dabei handelt es sich um eine Erweiterung der weit verbreiteten Branchennormen ISO/IEC 27001 und ISO/IEC 27002, die beschreiben, wie man ein Verwaltungssystem für Informationssicherheit erstellt und betreibt. Mit ISO 27018 werden diese Normen zu einem Verhaltenskodex für den Schutz personenbezogener Daten bei der Verarbeitung in einer Public Cloud wie der von Cloudflare erweitert.

Welche Bedeutung hat ISO 27018:2019 für Cloudflare-Kunden?

Einfach ausgedrückt: Mit den Zertifizierungen nach ISO 27701 und ISO 27018 können Kunden sicher sein, dass Cloudflare über ein Datenschutzkonzept verfügt, das den DSGVO-konformen Branchenstandards entspricht, und dass wir die in unserem Netzwerk verarbeiteten personenbezogenen Daten im Rahmen dieses Konzepts schützen.

Diese Zertifizierungen, die wir unseren Kunden zusätzlich zu unserem Zusatz zur Datenverarbeitung („ZDV“) zur Verfügung stellen, bieten ihnen auf mehreren Ebenen die Sicherheit, dass die Handhabung sämtlicher durch Cloudflare in ihrem Auftrag verarbeiteten personenbezogenen Daten den Anforderungen der DSGVO entspricht.

Die Norm ISO 27018 umfasst Erweiterungen der bestehenden ISO 27002-Regelungen und weitere 25 Regelungen für Auftragsverarbeiter personenbezogener Daten. Bei den Regelungen handelt es sich im Wesentlichen um eine Reihe bewährter Praktiken, die Auftragsverarbeiter unter anderem in Bezug auf ihren Umgang mit Daten und die Transparenz im Hinblick auf diesen Umgang, den Schutz und die Verschlüsselung der verarbeiteten personenbezogenen Daten sowie den Umgang mit den Rechten der betroffenen Person einhalten müssen. So besagt eine der Anforderungen der Norm ISO 27018 zum Beispiel:

Wird das Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt, dürfen diese nicht ohne vorherige Zustimmung der betroffenen Person für Marketing- und Werbezwecke verwendet werden. Eine solche Zustimmung kann nicht zur Bedingung für die Bereitstellung der Dienstleistung gemacht werden.

Wenn Cloudflare als Auftragsverarbeiter für die Daten unserer Kunden fungiert, sind diese Daten (und alle personenbezogenen Daten, die darin enthalten sein können) nicht unser Eigentum, sondern das unserer Kunden. Cloudflare wendet kein Tracking der Daten der Endnutzer unserer Kunden für Marketing- oder Werbezwecke an und wird dies auch nie tun. Wir sind sogar über die ISO-Vorgabe hinausgegangen und haben diese Zusage in unseren ZDV für Kunden aufgenommen:

„… Cloudflare darf die personenbezogenen Daten nicht für Marketing- oder Werbezwecke nutzen …“
Nachtrag zur Datenverarbeitung von Cloudflare, 3.1(b)

Cloudflare erlangt ISO 27018:2019-Zertifizierung

Dem Audit für die Zertifizierung nach ISO 27018 hat sich Cloudflare von Dezember 2021 bis Februar 2022 unterzogen. Durchgeführt wurde es von einem externen Prüfer, der Firma Schellman. Die Zertifizierung nach einer ISO-Datenschutznorm erfolgt in einem mehrstufigen Prozess, der ein internes und ein externes Audit durch einen unabhängigen Prüfer umfasst. Die neue gemeinsame Zertifizierung von Cloudflare, die die Normen ISO 27001:2013, ISO 27018:2019 und ISO 27701:2019 abdeckt, kann ab sofort über das Cloudflare-Dashboard  heruntergeladen werden.

Kriterienkatalog „Cloud Computing C5:2020“

Neben der Zertifizierung nach ISO 27018 haben wir noch eine weitere Neuigkeit zu verkünden: Wie bereits im Februar in einem Blogbeitrag mitgeteilt, hat sich Cloudflare auch einem separaten unabhängigen Audit zur Zertifizierung gemäß dem Cloud Computing Compliance Criteria Catalog (Kriterienkatalog Cloud Computing C5) unterzogen, der vom Bundesamt für Sicherheit in der Informationstechnik („BSI“) im Jahr 2016 eingeführt und 2020 aktualisiert wurde. Dieser bewertet das Sicherheitskonzept eines Unternehmens anhand solider Cloud-Sicherheitsstandards. Sowohl deutsche Behörden als auch Privatunternehmen legen großen Wert darauf, ihre Cloud Computing-Anforderungen mit diesen Standards in Einklang zu bringen. Mehr über den Kriterienkatalog C5 erfahren Sie hier.

Wir freuen uns, heute bekannt geben zu können, dass wir unser unabhängiges Audit abgeschlossen und das C5-Testat von unseren externen Prüfern erhalten haben. Bestands- und Neukunden können den Begleitbericht jetzt über das Cloudflare-Dashboard herunterladen.

Das ist aber noch nicht alles …

In Artikel 40 der diese Woche vor vier Jahren verabschiedeten richtungsweisenden Datenschutz-Grundverordnung („DSGVO“) der Europäischen Union wird dazu aufgefordert:

„… die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen, [zu fördern].“

Der „EU Cloud Code of Conduct“ wurde letztes Wochenende vor einem Jahr von der Europäischen Union als erster Kodex überhaupt als DSGVO-konform anerkannt. Diese Verhaltensregeln sollen Anbietern von Cloud-Diensten beim Nachweis des Schutzes der personenbezogenen Daten helfen, die sie im Auftrag ihrer Kunden verarbeiten. Er gilt für sämtliche Cloud-Dienst-Ebenen und seine Einhaltung wird von der akkreditierten Aufsichtsstelle SCOPE Europe überwacht. Zunächst treten die Anbieter von Cloud-Diensten der General Assembly (Generalversammlung) des Kodex bei. Anschließend müssen sie sich einem Audit unterziehen, um bestätigen zu lassen, dass sie den Kodex auch wirklich einhalten.

Wir möchten heute mitteilen, dass Cloudflare der Generalversammlung des EU Cloud Code of Conduct beigetreten ist. Wir freuen uns auf die zweite Phase dieses Prozesses, die Durchführung unseres Audits und die öffentliche Bestätigung, dass wir als Auftragsverarbeiter personenbezogener Daten die DSGVO einhalten.

Zertifizierungen von Cloudflare

Bestandskunden können nun über das Cloudflare-Dashboard eine Kopie der Zertifizierungen und Berichte von Cloudflare anfordern, Neukunden erhalten diese auf Anfrage von Ihrem Ansprechpartner im Vertrieb. Die neuesten Informationen zu unseren Zertifizierungen und Berichten finden Sie auf unserem Trust Hub.

...
1Die Internationale Organisation für Normung („ISO“) ist eine internationale, nichtstaatliche Organisation, die sich aus nationalen Normungsgremien zusammensetzt und eine breite Spanne von proprietären, industriellen und kommerziellen Standards entwickelt und veröffentlicht.