Visual Studio Online erfüllt ISO 27001 Norm

TeamFoundationService_2Am 15.01.2015 hat Microsoft eine Meldung veröffentlicht, die ein sehr sensibles und wichtiges Thema betrifft – Datenschutz in der Cloud. Durch die Zertifizierung der ISO 27001 Norm hat sich Microsoft nun von einer unabhängigen Instanz bestätigen lassen, dass die Sicherheitsmechanismen von Visual Studio Online den Anforderungen besagter ISO-Norm entsprechen. Darüber hinaus wurden die sogenannten „European Model Clauses“ (Klauseln zum europäischen Datenschutz) in die Vertragsbedingungen des Services aufgenommen.

Während wir als Privatperson im Zeitalter von Facebook, Instagram, Amazon oder OneDrive unsere Daten oftmals gedankenlos preisgeben und einfach darauf vertrauen, dass sie nicht missbräuchlich verwendet werden, brauchen Firmen hunderprozentige Aufklärung darüber, was mit den jeweiligen Daten geschieht und wo diese aufbewahrt werden. Besonders europäische Firmen achten sehr stark auf die Einhaltung der Datenschutzrichtlinien und stehen den Cloud-Angeboten (unabhängig vom Provider) eher zurückhaltend gegenüber. Für mich ist es daher auch nicht verwunderlich, dass die gehostete Variante des Team Foundation Servers – Visual Studio Online – nach wie vor ein Randthema für deutsche Unternehmen ist. Allzu oft habe ich Fragen zum Thema „Datensicherheit und VSO“ gehört und gestellt bekommen: „Kann ich beeinflussen wo meine Daten geographisch abgelegt werden?“ „Woher weiß ich, dass Microsoft mit meinen Daten sensibel umgeht?“, etc.

Nachdem Microsoft bereits im Oktober 2014 die Verfügbarkeit einer VS Online Instanz in der Region „West Europa“, genauer gesagt in den Niederlanden, verkündet hat und Benutzer diese Region nun bei der Erstellung eines Visual Studio Online Accounts auswählen können, wurde zumindest die Geographie-Frage geklärt. Allerdings blieb Microsoft bisher noch den Beweis für die Sicherheit der Daten und vor allem für die Einhaltung der Sicherheitsanforderungen in den jeweiligen VS Online Regionen schuldig.

Brian Harry, Corporate Vice President, hat nun vor kurzem auf seinem Blog veröffentlicht, dass Visual Studio Online seit Dezember 2014 ISO 27001 zertifiziert ist und damit einen für Microsoft wichtigen Meilenstein erreicht hat. Denn durch dieses Zertifikat ist Microsoft erstmals in der Lage, seine Anstrengungen in Richtung Datenschutz zu belegen. Außerdem wurden die Datenschutzrichtlinien der EU aus dem Jahr 2012 Vertragsbedingungen von VS Online aufgenommen.

ISO 27001 (Quelle: TÜVRheinland)

„ISO 27001 ist ein weltweit anerkannter Standard für die Bewertung der Sicherheit von Informationen und IT-Umgebungen. Der Standard beschreibt die Anforderungen an die Umsetzung sowie die Dokumentation eines Informationssicherheitsmanagement-Systems (ISMS) bis ins Detail. Mit einer ISO 27001 Zertifizierung identifizieren und beseitigen Sie IT-Risiken und etablieren IT- Sicherheitsverfahren, die zur nachhaltigen Optimierung der Qualität Ihrer Systeme beitragen.“

Natürlich kann dieses Zertifikat nicht dafür sorgen, dass Skepsis und Verunsicherung schlagartig weichen. Es ist vielmehr ein kleines Puzzle-Stück in einem langen Prozess. Microsoft und Visual Studio Online müssen sich das Vertrauen verdienen und möglichst ohne Sicherheitslecks oder Datenskandale auskommen. Die Entscheidung, die gehostete Variante des TFS zu verwenden oder nicht, wird immer auch ein großes Stück aus dem Bauchgefühl heraus getroffen werden.

Werdet Ihr in Zukunft eher auf Visual Studio Online setzen oder seht Ihr noch weitere Gründe oder Bedenken VSO nicht zu verwenden?

[1] http://www.tuv.com/de/deutschland/gk/managementsysteme/informationstechnologie/iso_27001_informationssicherheit/iso_27001.jsp

[2] http://blogs.msdn.com/b/bharry/archive/2015/01/15/visual-studio-online-iso-27001-certification-and-european-model-clauses.aspx

[3] http://blogs.msdn.com/b/bharry/archive/2014/10/28/visual-studio-online-is-in-europe.aspx

[4] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf