Bundesamt für Sicherheit in der Informationstechnik

B 1.17 Cloud-Nutzung

Logo Baustein Allgemeine Anwendungen

Beschreibung

Mit Cloud Services nutzen Institutionen die Möglichkeit, IT -Infrastrukturen (zum Beispiel Rechenleistung, Speicherkapazitäten), IT -Plattformen (zum Beispiel Datenbanken, Applikations-Server) oder IT -Anwendungen (zum Beispiel Auftragssteuerung, Groupware) nach ihren spezifischen Bedürfnissen als Dienst über ein Netz zu beziehen. Dabei kann die Leistung sowohl in den Räumlichkeiten des Auftraggebers als auch bei einem externen Cloud-Diensteanbieter erbracht werden.

Die so ermöglichte bedarfsgerechte, skalierbare und flexible Nutzung von IT -Diensten wird unterstützt durch neuartige Geschäftsmodelle, bei denen die Abrechnung je nach Funktionsumfang, Nutzungsdauer und Anzahl der Benutzer erfolgen kann.

Nicht zuletzt aufgrund der genannten Eigenschaften erfreut sich Cloud Computing (zu Definitionen etc. siehe M 4.462 Einführung in die Cloud-Nutzung ) bereits seit einigen Jahren wachsender Beliebtheit. Zahlreiche Studien belegen die steigende Nachfrage nach Cloud Services und prognostizieren diese auch für zukünftige Jahre.

In der Praxis zeigt sich jedoch häufig, dass die Vorteile, die sich Institutionen von der Cloud-Nutzung erwarten, oftmals nicht vollständig zum Tragen kommen, weil die diesbezüglich wichtigsten kritischen Erfolgsfaktoren nicht ausreichend betrachtet worden sind. Den nachfolgenden Aspekten kommt im Zusammenhang mit der Cloud-Nutzung durch Institutionen besondere Bedeutung zu:

  • Strategische Planung des Einsatzes von Cloud-Diensten
  • Sorgfältige Definition und Vereinbarung von (Sicherheits-)Anforderungen
  • Sorgfältige Definition der Verantwortung und Schnittstellen, sowohl innerhalb einer Institution als auch nach außen
  • Bewusstsein für ein erforderliches geändertes Rollenverständnis, sowohl aufseiten der IT als auch aufseiten der Anwender

Zusätzlich spielt im Zuge der Einführung von Cloud Services eine Reihe von Governance-Themen eine wichtige Rolle. Beispiele hierfür sind die Umsetzung von Mandantenfähigkeit, die Vertragsgestaltung, die Sicherstellung von Portabilität unterschiedlicher Services, die Abrechnung genutzter Service-Leistungen, das Monitoring der Service-Erbringung, das Sicherheitsvorfallmanagement und zahlreiche Datenschutz-Aspekte.

Thematische Abgrenzung

Im Sinne der IT -Grundschutz-Vorgehensweise umfasst Cloud-Nutzung alle Aspekte, die zur Nutzung einer Cloud-Umgebung erforderlich sind. Damit schließt Cloud-Nutzung insbesondere sowohl die Anwendung des Cloud Services durch Mitarbeiter der nutzenden Institution als auch die Administration des Cloud Services durch einen Cloud-Service-Administrator aufseiten der nutzenden Institution ein.

Ziel des vorliegenden Bausteins ist, Empfehlungen für die sichere Nutzung von Cloud-Diensten zu geben. Er richtet sich daher an alle Institutionen, die bereits Cloud Services in Anspruch nehmen oder deren zukünftigen Einsatz planen. Die Gefährdungen und Maßnahmen des Bausteins gelten dabei grundsätzlich unabhängig vom genutzten Service- und Bereitstellungsmodell.

Der Baustein ist so konzipiert, dass er immer auf einen konkreten Cloud Service anzuwenden ist. Nutzt eine Institution einen Verbund von Cloud Services, so ist jeder einzelne Service mithilfe des Bausteins zu modellieren (siehe M 2.545 Modellierung der Cloud-Nutzung ). Die entstehende Schnittstelle zwischen den unterschiedlichen Services ist ebenfalls Gegenstand des Bausteins. Sie muss für alle Services betrachtet werden.

Der Baustein Cloud-Nutzung ist eng verwandt mit dem Baustein B 1.11 Outsourcing . In nahezu allen Bereitstellungsmodellen, abgesehen von der Nutzung einer Private Cloud On-Premise, stellt die Nutzung von Cloud Services eine Sonderform des Outsourcings dar. Die im Baustein Cloud-Nutzung beschriebenen Gefährdungen und Maßnahmen werden daher häufig auch im Outsourcing angewendet. Die Nutzung von Cloud Services ist jedoch durch eine Reihe von Besonderheiten gekennzeichnet, die sich in spezifischen Gefährdungen und dagegen wirkenden Maßnahmen ausschließlich in diesem Baustein wiederfinden.

Im Mittelpunkt des vorliegenden Bausteins stehen organisatorische und technische Maßnahmen, deren Umsetzung den identifizierten spezifischen Gefährdungen entgegenwirkt. Die beschriebenen Maßnahmen konzentrieren sich dabei vorwiegend auf Cloud-spezifische Aspekte. So wird es Institutionen durch Umsetzung der genannten Maßnahmen zusätzlich ermöglicht, die im Vorfeld beschriebenen kritischen Erfolgsfaktoren für die Cloud-Nutzung angemessen zu berücksichtigen.

Sicherheitsmaßnahmen, mit deren Hilfe die Erbringung der Cloud Services abgesichert wird, sind dagegen nicht Gegenstand des Bausteins, sondern sind im Baustein B 5.23 Cloud Management beschrieben. Gefährdungen und spezifische Sicherheitsmaßnahmen, die durch die Anbindung eines Cloud Services über entsprechende Schnittstellen (engl. API - Application Programming Interface) als relevant anzusehen sind, werden ebenfalls nicht im Baustein Cloud-Nutzung betrachtet. Hier sei auf den Baustein B 5.24 Web-Services verwiesen.

Gefährdungslage

Für die Cloud-Nutzung werden für den IT -Grundschutz die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

G 1.10 Ausfall eines Weitverkehrsnetzes
G 1.19 Ausfall eines Dienstleisters oder Zulieferers

Organisatorische Mängel

G 2.2 Unzureichende Kenntnis über Regelungen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.27 Fehlende oder unzureichende Dokumentation
G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister
G 2.85 Unzureichende Regelungen für das Ende eines Outsourcing- oder eines Cloud-Nutzungs-Vorhabens
G 2.86 Abhängigkeit von einem Outsourcing- oder Cloud-Dienstleister
G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen
G 2.93 Unzureichendes Notfallvorsorgekonzept bei Outsourcing oder Cloud-Nutzung
G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen
G 2.188 Unzureichende Vorgaben zum Lizenzmanagement bei Cloud-Nutzung
G 2.189 Fehlende oder unzureichende Strategie für die Cloud-Nutzung
G 2.190 Unzureichendes Administrationsmodell für die Cloud-Nutzung
G 2.191 Unzureichendes Rollen- und Berechtigungskonzept
G 2.192 Unzureichende Verfügbarkeit der erforderlichen personellen Ressourcen mit ausreichender Qualifikation
G 2.193 Fehlende Anpassung der Institution an die Nutzung von Cloud Services
G 2.194 Mangelhaftes Anforderungsmanagement bei Cloud-Nutzung
G 2.195 Mangelnde Überwachung der Service-Erbringung
G 2.196 Fehlende Kosten-Nutzen-Betrachtung der Cloud-Nutzung über den gesamten Lebenszyklus
G 2.197 Unzureichende Einbindung von Cloud Services in die eigene IT
G 2.198 Mangelnde Planung der Migration zu Cloud Services
G 2.199 Unzureichende Auswahl des Cloud-Diensteanbieters

Menschliche Fehlhandlungen

G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen
G 3.122 Fehlerhafte Nutzung eines Cloud Services

Technisches Versagen

G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
G 4.22 Software-Schwachstellen oder -Fehler
G 4.43 Undokumentierte Funktionen
G 4.97 Schwachstellen bei der Anbindung an einen Outsourcing- oder Cloud-Dienstleister
G 4.98 Ausfall von Tools zur Administration von Cloud Services bei Cloud-Nutzung

Vorsätzliche Handlungen

G 5.20 Missbrauch von Administratorrechten
G 5.28 Verhinderung von Diensten
G 5.190 Missbrauch von Services
G 5.191 Manipulation der Abrechnungsinformationen

Maßnahmenempfehlungen

Um einen Informationsverbund abzusichern, müssen gemäß den Ergebnissen der Modellierung nach IT -Grundschutz zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden.

Alle Aspekte, die im Zuständigkeitsbereich des Cloud-Diensteanbieters liegen, sind durch den vorliegenden Baustein abgedeckt. Übernimmt die eigene IT die Rolle des Cloud-Diensteanbieters, beispielsweise in Verbindung mit dem Einsatz einer Private Cloud On-Premise, ist neben dem Baustein Cloud-Nutzung daher auch der Baustein Cloud Management anzuwenden.

Erfolgt die Administration des Cloud-Dienstes durch den Cloud-Service-Administrator aufseiten der nutzenden Institution über eine Management-Software, die Webservices verwendet, ist zusätzlich der Baustein B 5.24 Web-Services anzuwenden.

Weitere Hinweise zur Modellierung beim Einsatz von Cloud Services finden sich in der Maßnahme M 2.545 Modellierung der Cloud-Nutzung .

Planung und Konzeption

Die Entscheidung einer Institution zur Nutzung von Cloud Services ist strategischer Natur. Daher sollten relevante wirtschaftliche, technische und organisatorische Randbedingungen sowie sicherheitsrelevante Aspekte betrachtet werden und in die Erstellung einer Cloud-Nutzungs-Strategie einfließen. Die Maßnahme M 2.534 Erstellung einer Cloud-Nutzungs-Strategie bietet hierzu weitere Hilfestellung.

Nachdem die Cloud-Nutzungs-Strategie festgelegt worden ist, ergeben sich konkrete Sicherheitsvorgaben für die Umsetzung innerhalb der Institution. Diese sollten in ausreichend detaillierter Form in einer Sicherheitsrichtlinie für die Cloud-Nutzung (siehe hierzu Maßnahme M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung ) dokumentiert werden.

Die ermittelten Anforderungen der Institution hinsichtlich Sicherheitsvorgaben, relevanten Schnittstellen und benötigten Service-Leveln sollten die Grundlage für die Service-Definition des zu verwendenden Cloud-Dienstes bilden. Nähere Angaben hierzu finden sich in der Maßnahme M 2.536 Service-Definition für Cloud-Dienste durch den Anwender .

Ist der zu nutzende Cloud-Dienst abschließend definiert, sind in der Folge umfangreiche Planungsmaßnahmen durchzuführen, um einen sicheren, fortlaufenden Betrieb von Cloud Services gewährleisten zu können. Ein besonderes Augenmerk sollte hierbei auf die Planung der sicheren Migration (siehe hierzu Maßnahme M 2.537 Planung der sicheren Migration zu einem Cloud Service ) und die Planung der sicheren Einbindung von Cloud Services gerichtet werden (siehe Maßnahme M 2.538 Planung der sicheren Einbindung von Cloud Services ). Diese Maßnahme konzentriert sich dabei auf unterschiedliche Aspekte, die über die Migrationsplanung hinaus betrachtet werden sollten.

Im Rahmen der geplanten sicheren Migration zu einem Cloud Service sollte die Institution ein Migrationskonzept erstellen, welches als Teil des Sicherheitskonzeptes für die Cloud-Nutzung auszulegen ist (siehe Maßnahme M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung ). Dabei sind verschiedene Cloud-spezifische Besonderheiten und Voraussetzungen zu beachten und entsprechend im Migrationskonzept darzustellen.

Sofern eine Institution besondere Anforderungen an einen Cloud Service hat, beispielsweise hinsichtlich der Vertraulichkeit der Informationen oder des problemlosen Zusammenspiels beim Einsatz mehrerer Services, sollten zusätzliche Sicherheitsmaßnahmen umgesetzt werden. Hier empfiehlt sich, die Vorgaben aus den Maßnahmen M 4.459 Einsatz von Verschlüsselung bei Cloud-Nutzung und M 4.461 Portabilität von Cloud Services umzusetzen.

Ebenfalls im Rahmen der Planungs- und Konzeptionsphase sind die Maßnahmen M 2.40 Rechtzeitige Beteiligung des Personal-/Betriebsrates sowie M 2.42 Festlegung der möglichen Kommunikationspartner zu beachten und umzusetzen.

Beschaffung

Voraussetzung für die Auswahl eines geeigneten Cloud-Diensteanbieters ist ein möglichst detailliert erstelltes Anforderungsprofil. Die zuvor ermittelten Sicherheitsanforderungen sowie die erfolgte Definition der einzusetzenden Cloud Services liefern in Kombination mit einer durchgeführten Anforderungsanalyse die Basis für die Erstellung eines Lastenheftes. Dieses ist mit verfügbaren beziehungsweise angeforderten Angeboten von Cloud-Diensteanbietern abzugleichen. Nähere Angaben zu einer geeigneten Vorgehensweise bei der Auswahl eines Diensteanbieters finden sich in Maßnahme M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters , in der auch mögliche Fallstricke vermerkt sind.

Umsetzung

Nach der Auswahl eines Cloud-Diensteanbieters sollten alle relevanten Aspekte des Cloud-Nutzungs-Vorhabens vertraglich festgehalten und geregelt werden. Der Vertrag sollte neben Aussagen zu IT -Sicherheitsanforderungen und Kriterien zur Messung von Servicequalität und Sicherheit auch Regelungen zu Auskunfts-, Mitwirkungs- und Revisionspflichten beinhalten. Alle wesentlichen Aspekte hierzu finden sich in Maßnahme M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter .

Im Rahmen der Umsetzungsphase erfolgt die Migration zu einem Cloud Service auf Basis eines Migrationskonzeptes, in dem Vorgaben zur geplanten Form der Migration (Testphase, Pilotphase etc. ) sowie zu den technischen und organisatorischen Voraussetzungen für eine Migration festgeschrieben sind (siehe hierzu Maßnahme M 2.542 Sichere Migration zu einem Cloud Service ).

Betrieb

Um die IT -Sicherheit im laufenden Cloud-Nutzungs-Betrieb aufrechtzuerhalten sind Dokumentationen und Richtlinien regelmäßig zu aktualisieren sowie regelmäßige Kontrollen, Abstimmungsrunden und die Planung und Durchführung von Übungen beziehungsweise Tests sicherzustellen. Weitere Informationen hierzu sind der Maßnahme M 2.543 Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb zu entnehmen.

Im Zusammenhang mit der Nutzung von Cloud Services wird die Durchführung von Audits als eine wichtige Maßnahme angesehen. Erfahrungen aus der Praxis haben gezeigt, dass die nutzende Institution Abweichungen zu vertraglichen Vereinbarungen, wie beispielsweise die Nicht-Einhaltung bestimmter Service-Level oder die Missachtung von Sicherheitsvorgaben häufig nur im Rahmen von Audits transparent machen kann. Die Maßnahme M 2.544 Auditierung bei Cloud-Nutzung liefert Hinweise zu relevanten Aspekten bei der Planung und Durchführung von Audits im Cloud-Umfeld.

Aussonderung

Damit ein Cloud-Nutzungs-Verhältnis geordnet beendet werden kann, müssen Eigentumsrechte an Hard- und Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdem müssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT -Systemen und IT -Anwendungen ausreichend dokumentiert sein. Informationen hierzu sind in der Maßnahme M 2.307 Geordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses zusammengefasst.

Notfallvorsorge

Als wichtige Maßnahme zur Notfallvorsorge zählt die Erstellung eines IT -Notfallkonzeptes für die internen Prozesse bei Cloud-Nutzung (siehe hierzu Maßnahme M 6.155 Erstellung eines Notfallkonzeptes für einen Cloud Service ). In diesem sollten relevante organisatorische und technische Punkte thematisiert werden.

Stellt eine Institution fest, dass besondere Gegebenheiten eigens durchgeführte Datensicherungen erforderlich machen, sind in diesem Zusammenhang die Vorgaben der Maßnahme M 6.156 Durchführung eigener Datensicherungen umzusetzen.

Nachfolgend wird das Maßnahmenbündel für den Baustein Cloud-Nutzung vorgestellt.

Planung und Konzeption

M 2.40 (A) Rechtzeitige Beteiligung des Personal-/Betriebsrates
M 2.42 (A) Festlegung der möglichen Kommunikationspartner
M 2.534 (A) Erstellung einer Cloud-Nutzungs-Strategie
M 2.535 (A) Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung
M 2.536 (A) Service-Definition für Cloud-Dienste durch den Anwender
M 2.537 (A) Planung der sicheren Migration zu einem Cloud Service
M 2.538 (A) Planung der sicheren Einbindung von Cloud Services
M 2.539 (A) Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung
M 2.545 (W) Modellierung der Cloud-Nutzung
M 4.459 (Z) Einsatz von Verschlüsselung bei Cloud-Nutzung
M 4.461 (Z) Portabilität von Cloud Services

Beschaffung

M 2.540 (A) Sorgfältige Auswahl eines Cloud-Diensteanbieters

Umsetzung

M 2.541 (A) Vertragsgestaltung mit dem Cloud-Diensteanbieter
M 2.542 (A) Sichere Migration zu einem Cloud Service

Betrieb

M 2.543 (A) Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb
M 2.544 (C) Auditierung bei Cloud-Nutzung
M 4.460 (Z) Einsatz von Federation Services
M 4.462 (W) Einführung in die Cloud-Nutzung

Aussonderung

M 2.307 (A) Geordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses

Notfallvorsorge

M 6.155 (A) Erstellung eines Notfallkonzeptes für einen Cloud Service
M 6.156 (Z) Durchführung eigener Datensicherungen

Stand: 14. EL Stand 2014