Bundesamt für Sicherheit in der Informationstechnik

Was ist der Anforderungskatalog?

Der Anforderungskatalog fasst aus Sicht des BSI Anforderungen zusammen, die Cloud-Anbieter unabhängig von Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste gegenüber Ihrer Kunden zu gewährleisten. Beim Anforderungskatalog handelt es sich um einen Prüfstandard. Er beinhaltet daher nur prüfbare Anforderungen und schreibt nicht vor, durch welche Maßnahmen diese zu erfüllen sind. Damit unterscheidet sich der Anforderungskatalog grundlegend von anderen Katalogen, wie z. B. den IT-Grundschutz-Katalogen, die konkrete Maßnahmen zur Umsetzung beinhalten.

An wen richtet sich der Anforderungskatalog?

Der Katalog adressiert in erster Linie Cloud-Anbieter und Prüfer, aber auch Cloud-Kunden. Der Anbieter hat die Anforderungen umzusetzen und der Prüfer die Konformität nachzuweisen. Da der Begriff Cloud in vielfältiger Weise genutzt wird, kann der Katalog auch für IT-Dienstleistungen herangezogen werden, die nicht explizit "Cloud" im Titel führen, aber eine Nähe zu Cloud-Diensten haben.

Für einen Cloud-Kunden stellt der Katalog eine große Erleichterung in der Auswahl eines geeigneten Cloud-Anbieters dar. Die grundlegenden Sicherheitsanforderungen sind über den Katalog abgedeckt, sodass der Kunde sich verstärkt seinen individuellen Anforderungen und deren Umsetzung bzw. eigenen Anforderungen, die über das Basisniveau des Anforderungskatalogs hinausgehen, widmen kann.

Die Anforderungen sind nicht auf bestimmte Branchen beschränkt.

Wie ist der Anforderungskatalog aufgebaut?

Der Katalog selbst besteht aus 114 Anforderungen, die sich in 17 Themengebieten gliedern (siehe Abschnitt 5). Die Anforderungen sind in Tabellenform erfasst, die neben den Standardanforderungen teilweise auch höherwertige Anforderungen enthalten. Wo nötig, sind Hinweise zur Interpretation der einzelnen Anforderungen hinzugefügt. Die sogenannten Umfeldparameter (siehe Abschnitt 4) sorgen für eine hohe Transparenz der Randbedingungen des Cloud-Dienstes.

In Abschnitt 3 werden Randbedingungen an eine konkrete Prüfung der Anforderungen durch Wirtschaftsprüfer aufgestellt, welche Kompetenzen das Prüfteam besitzen sollte und was ein an Kunden gerichteter Prüfbericht beinhalten muss.

Woher kommen die Anforderungen?

Der Anforderungskatalog basiert auf etablierten Standards, wie ISO/IEC 27001:2013, CSA CCM 3.01, ANSSI Référentiel secure cloud v. 2.0, AICPA - Trust Service Principles Criteria 2014, IDW ERS FAIT 5 (4.11.2014) und auf den Anforderungen des BSI wie z. B. aus dem IT-Grundschutz (15. EL) und den SaaS-Sicherheitsprofilen. Leitende Maßgabe bei der Erstellung des Kataloges war, dass grundsätzlich bestehende Anforderungen aus den gerade genannten Standards übernommen werden sollten. Wo es angebracht war, wurden diese Anforderungen geschärft und nur wo es keine vergleichbaren Anforderungen in der konkreten Ausformulierung gab wurden neue erstellt.

Und wie wurden die Anforderungen umgesetzt?

Alle Anforderungen sind so formuliert, dass sie überprüfbar sind. Sie sind technikneutral, d. h. wie die Anforderungen erfüllt werden ist dem Cloud-Anbieter überlassen. Zu einigen Anforderungen gibt es zusätzlich höherwertige Anforderungen, die einer erhöhten Sicherheit in Bezug auf Vertraulichkeit und/oder Verfügbarkeit Rechnung tragen.

Was sind Umfeldparameter?

Die sogenannten Umfeldparameter sind eine Besonderheit des Anforderungskatalogs. Sie dienen vor allem der Transparenz des angebotenen Cloud-Dienstes und sind deshalb keine Anforderungen. Der Cloud-Anbieter muss im Rahmen einer Prüfung Folgendes offen legen: eine detaillierte Systembeschreibung, Angabe zu Gerichtsbarkeit und Ort der Datenverarbeitung, Offenbarungs- und Ermittlungsbefugnisse an diesen Orten, sowie die für den Cloud-Dienst bereits erteilten Zertifikate bzw. Nachweise.

Diese Transparenz hilft dem Cloud-Nutzer, unabhängig vom Nachweis der Sicherheit zu entscheiden, ob seine grundlegenden Anforderungen durch den Cloud-Anbieter erfüllt werden (z. B. für die Lokalisation der Daten).

Wie geht der Anforderungskatalog mit Unterauftragnehmern um?

Ein Cloud-Anbieter, der alle Dienste selbst erbringt und keine Services von anderen Anbietern nutzt, ist eher die Ausnahme. Der Anforderungskatalog behandelt die Nutzung von externen IT-Services zur Erbringung des eigenen Cloud-Dienstes. In diesem Fall muss der Cloud-Anbieter alle Anforderungen des Kataloges (inklusive der Transparenzforderungen aus den Umfeldparametern) an seine Unterauftragnehmer weitergeben und sie zu deren Einhaltung (bzw. bei den Umfeldparametern zu deren Dokumentation) verpflichten.

Bei der Überprüfung der Einhaltung der Anforderungen beim Unterauftragnehmer gibt es mehrere Möglichkeiten. Der Cloud-Anbieter kann durch einen Wirtschaftsprüfer beim Unterauftragnehmer prüfen lassen, sofern dieser das erlaubt. In der Regel wird der Cloud-Anbieter mit dem Unterauftragnehmer vereinbaren, dass sich dieser regelmäßig durch Wirtschaftsprüfer prüfen lässt und den Prüfbericht dem Cloud-Anbieter vorlegt. So ist geregelt, dass für die ganze Service-Kette die gleichen Anforderungen gelten, unabhängig davon, ob der Cloud-Dienst komplett von einem Anbieter oder auch zum Teil von Unterauftragnehmern erbracht wird.

Sind die Anforderungen generell verpflichtend?

Nein, denn das BSI kann nur sehr beschränkt verpflichtende Anforderungen erlassen. Der Anforderungskatalog hat für Cloud-Kunden und Cloud-Anbieter empfehlenden Charakter. Er stellt eine wichtige Referenz des BSI für sicheres Cloud Computing dar und kann helfen Vertrauen zwischen Cloud-Kunden und Cloud-Anbietern aufzubauen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK