Bundesamt für Sicherheit in der Informationstechnik

BSI veröffentlicht Entwurf für den Mindeststandard zur Mitnutzung externer Cloud-Dienste

Datum 21.09.2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Entwurf für einen neuen Mindeststandard nach § 8 BSI-Gesetz (BSIG) zur Mitnutzung externer Cloud-Dienste veröffentlicht.

Cloud-Dienste erhalten auch in der Bundesverwaltung eine immer stärkere Bedeutung. Aus diesem Grund hat das BSI im April 2017 bereits einen Mindeststandard über die Nutzung externer Cloud-Dienste veröffentlicht. Dieser regelt Beschaffung, Betrieb und Beendigung von externen Cloud-Diensten. Als wesentliches Merkmal ist in diesen Fällen das bestehende Vertragsverhältnis zwischen der Behörde als Auftraggeber und der IT-Wirtschaft als Cloud-Anbieter zu sehen. Darüber hinaus existieren im Cloud-Umfeld aber noch weitere Einsatzszenarien. Insbesondere die Mitnutzung ist hierbei eine bedeutende Form. Hier greifen IT-Anwender einer Behörde auf einen externen Cloud-Dienst zu, ohne dass die Behörde ein Vertragsverhältnis mit dem Anbieter eingegangen ist. Diese Fälle sind bisher nicht durch Mindeststandards geregelt.

Daher erarbeitet das BSI aktuell einen Mindeststandard nach § 8 Abs. 1 BSIG über die Mitnutzung externer Cloud-Dienste. Dieser soll künftig die Behörden bei Inanspruchnahme von Cloud-Diensten der IT-Wirtschaft durch ihre IT-Anwender unterstützen.

Mindeststandards nach § 8 Abs. 1 BSIG definieren ein einheitliches IT-Sicherheitsniveau für die Informationstechnik des Bundes, das aus Sicht des BSI nicht unterschritten werden darf. Um alle Beteiligten bei der Entwicklung mit einzubeziehen, haben die Ressorts im Rahmen des Erstellungs- und Veröffentlichungsprozesses aktuell die Gelegenheit, den Entwurf zu kommentieren.
Fachlich fundierte Kommentierungen sind ebenso aus den öffentlichen Stellen der Länder und der Kommunen sowie aus der IT-Wirtschaft willkommen. Ihre Rückmeldungen sind ein wichtiger Bestandteil der Qualitätssicherung des Mindeststandards und dienen darüber hinaus der effektiven und effizienten Integration in die praktischen Prozesse der IT-Betriebe.

Das BSI lädt daher das interessierte Fachpublikum dazu ein, Kommentierungen und Rückmeldungen zur Mitgestaltung bis zum 27. Oktober 2017 per E-Mail an mindeststandards@bsi.bund.de zu richten.

Der Entwurf des Mindeststandards zur Mitnutzung externer Cloud-Dienste ist hier abrufbar.