Microsoft Azure Deutschland erfüllt internationale Zertifizierungsnorm für Informationssicherheitsmanagementsysteme

Azure_-840x480Die TÜV NORD CERT GmbH, ein Unternehmen der TÜV NORD Gruppe, bestätigt der Microsoft Deutschland MCIO GmbH die Konformität ihres Informationssicherheits-Managementsystems nach ISO/IEC 27001:2013 für die Public-Cloud-Dienste von Microsoft Azure Deutschland. Die Zertifizierung nach ISO/IEC 27001 bestätigt Microsoft, dass sie insbesondere die eigenen hohen Sicherheitsstandards und darüber hinaus zahlreiche regulatorische und gesetzliche Anforderungen in Bezug auf die Informationssicherheit einhalten. Aufgrund der internationalen Akzeptanz und Anwendbarkeit von ISO/IEC 27001 hat Microsoft die Zertifizierung nach diesem Standard zu einer Grundlage für den Ansatz zur Informationssicherheit erhoben.
Zusätzlich wurde für die Aktivitäten der überprüften Microsoft-Cloud-Dienste die Konformität nach ISO/IEC 27018:2014 festgestellt. ISO/IEC 27018 fordert den Schutz von personenbezogenen Daten (PII) in Public-Clouds.

Gegenstand der Zertifizierung ist das Management ausgewählter Dienste von Microsoft Azure Deutschland durch die Betreibergesellschaft Microsoft Deutschland MCIO GmbH. Microsoft hat hierfür ein eigenständiges Audit des Informationssicherheitsmanagements durch die unabhängige Prüfgesellschaft TÜV NORD CERT beauftragt. Bestandteil des Audits war insbesondere die Überprüfung des Datentreuhand-Modells, inklusive der Zugangskontrollen zu den Kundendaten (Role-Based-Access-Control) durch den Datentreuhänder.

Laut der neuen Studie „Digitaler Aufbruch“ (Crisp Research im Auftrag von Microsoft) ist die Konformität nach ISO/IEC 27018 für mehr als 30 Prozent der Entscheider und Experten des öffentlichen Sektors in Deutschland eine zentrale Anforderung an Public-Cloud-Anbieter. Mehr als 50 Prozent erwarten zudem, dass sich die Rechenzentren ausschließlich in Deutschland befinden und der Betrieb den deutschen Datenschutz- und Compliance-Anforderungen entspricht.

Datenspeicherung in Deutschland mit deutschem Datentreuhänder
Über die Microsoft Cloud Deutschland stellt Microsoft Geschäftskunden Public-Cloud-Dienste, wie Azure, aus deutschen Rechenzentren in Frankfurt/Main und Magdeburg bereit. Die Kundendaten werden in Deutschland verarbeitet und gespeichert. Der Zugang zu den Kundendaten liegt beim Datentreuhänder T-Systems International: Ohne Zustimmung des Datentreuhänders oder des Kunden erhält Microsoft keinen Zugriff. Wird diese Zustimmung durch den Datentreuhänder erteilt, greift Microsoft nur unter dessen Aufsicht zeitlich begrenzt auf die Kundendaten zu.

Kostenfreies Microsoft Compliance-Handbuch
Zusätzlich zum Abschluss des Audits hat Microsoft Deutschland auch eine überarbeitete, deutsche Version des „IT Grundschutz Compliance Workbook Microsoft Azure Germany” erstellt. Das Handbuch unterstützt Kunden mit Empfehlungen, wie sie für Anwendungen, die auf Microsoft-Azure basieren, ein „IT Grundschutz“-Zertifikat erhalten können. Die deutsche Version steht ab 24. Januar 2017 zum kostenlosen Download zur Verfügung