Bundesamt für Sicherheit in der Informationstechnik

M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Entscheidet sich eine Institution zur Nutzung von Cloud Services, ist hierfür ein Sicherheitskonzept zu erstellen.

IT-Sicherheitskonzepte für Cloud-Nutzungs-Vorhaben unterscheiden sich dabei in der Regel nur wenig von Sicherheitskonzepten für IT -Systeme, die durch die Institution selbst betrieben werden. Das Sicherheitskonzept sollte möglichst auf der Basis der IT -Grundschutz-Vorgehensweise erstellt werden.

Eine der wenigen Besonderheiten im Zusammenhang mit der Nutzung von Cloud Services stellt die Beteiligung mehrerer Parteien dar. Dies ist auch bei der Erstellung des Sicherheitskonzeptes zu berücksichtigen. In der Regel sind mindestens die nachfolgenden drei Parteien an einem Cloud-Nutzungs-Vorhaben beteiligt:

  • Auftraggeber der Cloud Services (nutzende Institution)
  • Anbieter von Cloud Services (Cloud-Diensteanbieter)
  • ein (oder mehrere) Netzprovider

Grundsätzlich ist die Erstellung eines Sicherheitskonzeptes durch jeden der genannten Beteiligten vorzunehmen. Sofern der Bedarf nach einen Sicherheitskonzept des Netzproviders besteht, sind hierzu in der Regel vorab entsprechende Vereinbarungen mit ihm zu treffen. Die nutzende Institution muss sich das Recht einräumen lassen, das Sicherheitskonzept des Cloud-Diensteanbieters mithilfe eines Audits überprüfen zu können, das ggf. auch durch einen unabhängigen, qualifizierten Dritten erfolgen kann.

Die Erstellung des Sicherheitskonzeptes dient der Dokumentation der notwendigen Sicherheitsmaßnahmen im Zusammenhang mit der Nutzung von Cloud Services. Die Grundlage für diese Dokumentation bilden dabei jene Anforderungen, die sich aus der Erstellung der Sicherheitsrichtlinie zur Cloud-Nutzung (siehe M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung ) für einen konkreten Anwendungsfall beziehungsweise einen konkreten Cloud Service ableiten lassen.

Das Sicherheitskonzept für einen Cloud Service sollte sich an den Sicherheitsanforderungen und Sicherheitsmaßnahmen für einen klassischen IT -Service orientieren. Die sich hieraus ergebenen Maßnahmen sollten die Basis für die Betrachtung des Cloud Service darstellen.

Im Sicherheitskonzept für die Cloud-Nutzung sollte zusätzlich die besondere Gefährdungslage durch die Erbringung als Cloud Service beschrieben werden. Hierbei sollten insbesondere folgende Punkte betrachtet werden:

  • Vorzeitige oder zwangsweise Vertragsbeendigung
  • Fehlende Portabilität von Daten (insbesondere bei Software as a Service), Anwendungen (insbesondere bei Platform as a Service) und Systemen (insbesondere bei Infrastructure as a Service) für den Fall, dass der gewählte Cloud-Dienst von etablierten Standards abweicht
  • Abhängigkeit von einem Cloud-Diensteanbieter durch fehlende Möglichkeit, den Anbieter zu wechseln (Vendor-Lock-in)
  • Nutzung proprietärer Datenformate kann die Integrität der Informationen gefährden und den Wechsel des Anbieters erschweren
  • Gemeinsame Nutzung der Cloud-Infrastruktur durch mehrere Institutionen (multi-tenancy)
  • Fehlende Kenntnis über den Speicherort von Informationen
  • In der Regel hohe Mobilität der Informationen
  • Unbefugter Zugriff auf Informationen, zum Beispiel durch Administratoren des Cloud-Diensteanbieters oder Dritte

Abgeleitet aus diesen spezifischen Gefährdungen für den konkreten Cloud Service müssen konkrete Sicherheitsmaßnahmen festgelegt werden. Diese sollten in jedem Fall im Rahmen der Vertragsgestaltung mit dem Cloud-Diensteanbieter verbindlich vereinbart werden. Hierbei sollten insbesondere folgende Punkte betrachtet werden:

  • Vorgaben zur sicheren Administration des Cloud Services (zum Beispiel 4-Augen-Prinzip für bestimmte, besonders kritische administrative Tätigkeiten wie das Kopieren einzelner Datenbestände oder Systeme)
  • Vorgaben zu Betriebsprozessen und Prozessen im Sicherheitsmanagement (Schnittstellen zum Beispiel für das Change-, Incident-, Sicherheitsvorfalls- und Risikomanagement)
  • Regelungen zur Überwachung der Service-Erbringung und zum Berichtswesen
  • Verschlüsselung der Informationen
  • Vergabe und Entzug von Berechtigungen
  • Durchführung von Datensicherungen, sowohl durch den Cloud-Diensteanbieter als auch durch die Institution

Prüffragen:

  • Existiert ein Sicherheitskonzept für die Cloud-Nutzung basierend auf den identifizierten Sicherheitsanforderungen?

  • Wurden Regelungen für die Erstellung eines Sicherheitskonzeptes durch den Netzprovider getroffen?

  • Werden Existenz und Umsetzung des Sicherheitskonzeptes aufseiten des Cloud-Diensteanbieters durch den Auftraggeber oder unabhängige Dritte überprüft?

Stand: 14. EL Stand 2014