Bundesamt für Sicherheit in der Informationstechnik

M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Aus der Strategie zur Cloud-Nutzung (siehe M 2.534 Erstellung einer Cloud-Nutzungs-Strategie ) ergeben sich, je nach Detaillierungsgrad, bereits Sicherheitsvorgaben für die Nutzung von Cloud-Diensten. Diese müssen in der Sicherheitsrichtlinie weiter verfeinert werden, sodass darauf ein gewünschter Cloud Service umfassend definiert (siehe hierzu Maßnahme M 2.536 Service-Definition für Cloud-Dienste durch den Anwender ) und ein geeigneter Cloud-Diensteanbieter ausgewählt werden kann (siehe Maßnahme M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters ).

Grundsätzlich müssen in diesem Zusammenhang möglichst alle Sicherheitsanforderungen betrachtet werden, die sich aus den ermittelten Schnittstellen sowie den organisatorischen, technischen und rechtlichen Rahmenbedingungen ergeben. Neben den Sicherheitsanforderungen an die eingesetzte Technik, einschließlich der benötigten Kommunikationswege und -dienste, ist daher zum Beispiel auch notwendig Datenschutzaspekte sowie Aspekte zur Informationsklassifizierung für alle ausgelagerten Daten zu berücksichtigen. Auch organisatorische Auswirkungen wie beispielsweise notwendige Schulungsmaßnahmen für Administratoren und Benutzer sollten bereits in der Sicherheitsrichtlinie berücksichtigt werden.

Weiterhin sollten insbesondere die nachfolgend beschriebenen Aspekte Eingang in die Sicherheitsrichtlinie für die Cloud-Nutzung finden:

  • Sicherheitsanforderungen an den Cloud-Diensteanbieter sollten die benötigte technische Verfügbarkeit des angebotenen Services sowie Vorgaben zum Standort der Leistungserbringung des Cloud-Diensteanbieters berücksichtigen, sofern dieser ein eigenes Rechenzentrum betreibt. Zudem sollten Anforderungen hinsichtlich bestehender organisatorischer Regelungen und gelebter Prozesse beim Cloud-Diensteanbieter (beispielsweise die Einhaltung des Vier-Augen-Prinzips bei der Administration) festgelegt sein. Auch Regelungen für den Einsatz von Fremdpersonal fallen unter mögliche Sicherheitsanforderungen an den Cloud-Diensteanbieter (siehe hier Maßnahme M 2.226 Regelungen für den Einsatz von Fremdpersonal ). Weitere Beispiele für Sicherheitsanforderungen an den Cloud-Diensteanbieter sind konkrete Vorgaben zur Datenablage, Datenverarbeitung und Datenlöschung. Auch geforderte Zertifizierungen des Dienstleisters (vorzugsweise nach IT -Grundschutz) sollten bereits in der Sicherheitsrichtlinie dokumentiert werden.
  • Sicherheitsanforderungen in Abhängigkeit vom Bereitstellungsmodell. Setzt eine Institution Cloud Services ein, die mithilfe einer Hybrid Cloud oder einer Private Cloud On-Premise, die von einem Dienstleister betrieben wird, erbracht werden, ist unter anderem festzulegen, welche Nutzungsrechte (zum Beispiel Zutrittsrechte, Zugangsrechte, Zugriffsrechte auf Daten und Systeme) dem Cloud-Diensteanbieter vom Auftraggeber eingeräumt werden.
  • Sicherheitsanforderungen aus relevanten Gesetzen und Vorschriften. Ein besonderes Augenmerk sollte hierbei auf länderübergreifende oder international agierende Cloud-Diensteanbieter gelegt werden, die unter Umständen unterschiedlichen gesetzlichen Anforderungen und Bestimmungen unterliegen.

Die Sicherheitsanforderungen an die eigene Institution sind in einem Sicherheitskonzept für die Cloud-Nutzung festzulegen, wie in der Maßnahme M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung beschrieben ist. Der Institution bietet sich hierbei die Möglichkeit, ein eigenes Konzept für jeden spezifischen Nutzungsfall zu erstellen oder sich für ein Gesamtkonzept zu entscheiden, mit dessen Hilfe alle beziehungsweise mehrere Nutzungsfälle abgedeckt werden.

Prüffragen:

  • Beinhaltet die Sicherheitsrichtlinie konkrete und ausreichend detaillierte Sicherheitsvorgaben für die Umsetzung innerhalb der Institution?

  • Sind spezifische Sicherheitsanforderungen an den Cloud-Diensteanbieter dokumentiert?

  • Ist der festgelegte Schutzbedarf für den Einsatz von Cloud Services hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit dokumentiert?

  • Sind länderspezifische Anforderungen beziehungsweise gesetzliche Bestimmungen bei Nutzung von Cloud Services internationaler Cloud-Diensteanbieter bekannt?

Stand: 14. EL Stand 2014