Bundesamt für Sicherheit in der Informationstechnik

M 2.543 Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Nach der erfolgreich abgeschlossenen Migration zu einem Cloud Service muss die Aufrechterhaltung der Informationssicherheit im laufenden Betrieb gewährleistet werden. Hierzu sind eine Reihe von Maßnahmen zu ergreifen, die im Folgenden näher beschrieben sind.

Die regelmäßige Aktualisierung von Dokumentationen und Richtlinien innerhalb der Institution ist sicherzustellen. Dies gilt beispielsweise für Betriebshandbücher, Nutzungsanweisungen oder Anleitungen.

Weiterhin ist sicherzustellen, dass regelmäßige Kontrollen durchgeführt werden, die sich über möglichst viele Bereiche der Cloud-Nutzung erstrecken. Es sind zumindest folgende Aspekte zu betrachten und in regelmäßige Kontrollen einzubeziehen:

  • Sicherstellung der ordnungsgemäßen Administration von Cloud Services.
    Im Rahmen der Maßnahme M 3.11 Schulung des Wartungs- und Administrationspersonals werden grundlegende Vorgaben zu den Anforderungen an Administratoren beschrieben. Es ist sicherzustellen, dass alle Administratoren von Cloud Services diese Anforderungen kennen und dazu befähigt werden, diese zu erfüllen. Regelmäßige Reviews der vergebenen Berechtigungen können ebenfalls zur Sicherstellung der ordnungsgemäßen Administration von Cloud Services beitragen. Sofern dies im Rahmen der Planungsmaßnahmen als notwendig angesehen und dokumentiert wurde, ist an dieser Stelle auch auf die Einhaltung des 4-Augen-Prinzips zu achten.
  • Regelmäßige Kontrolle der Service-Erbringung.
    In diesem Bereich sind die für die Service-Erbringung unabdingbaren Parameter zu überprüfen, neben den im Vertrag (SLA) mit dem Cloud-Diensteanbieter vereinbarten Kennzahlen (zum Beispiel Verfügbarkeit, maximale Anzahl gleichzeitiger Benutzer, Schnelligkeit der Einrichtung neuer Benutzer oder neuer Ressourcen, um nur einige zu nennen). Hinzu kommen weitere Parameter, die Leistungen der eigenen Institution oder von Dritten beschreiben, wie beispielsweise die Performance der Netzanbindung und -verbindungen.
  • Regelmäßige Service-Reviews zwischen Cloud-Diensteanbieter und Anwender.
    Ein wichtiger Aspekt der Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb ist die regelmäßige Durchführung von Service-Reviews zwischen dem beauftragten Cloud-Diensteanbieter und der Institution. Dabei sollten die vereinbarten und die tatsächlich erreichten Service-Level gegenübergestellt werden. Die Behandlung von Ausnahmesituationen, wie beispielsweise eines groß angelegten Angriffs oder eines globalen Netzausfalls, sollte ebenfalls Inhalt der Reviews sein. Die Forderung nach regelmäßigen Service-Reviews unter Beteiligung von Auftraggeber und Auftragnehmer ist in der Praxis nicht für jeden Cloud-Dienst umsetzbar. Das Service-Review kann daher auch zunächst vom Auftraggeber allein vorgenommen werden. Nur bei ermittelten Problemen oder bei hohem Schutzbedarf sollte eine entsprechende Abstimmung mit dem Cloud-Diensteanbieter erfolgen.
  • Sicherstellung der Interoperabilität von Cloud Services.
    Um bei Nutzung mehrerer Cloud Services deren Interoperabilität sicherstellen zu können, empfiehlt sich die Durchführung von Interoperabilitätstests.
  • Erbringung von Sicherheitsnachweisen durch den Cloud-Diensteanbieter.
    Die Institution sollte regelmäßig die vorhandene Dokumentation aufseiten des Cloud-Diensteanbieters zur Einsicht einfordern. Ebenso sollte der Cloud-Diensteanbieter in der Lage sein, Nachweise über die Zertifizierung von internen Kontrollsystemen für seine Prozesse und Services zu erbringen, sofern dies vertraglich vereinbart ist.
  • Die ordnungsgemäße Durchführung von Datensicherungen.
  • Die Sicherstellung der Einhaltung vorgesehener und vereinbarter Prozesse.
  • Die Kontrolle der technischen Maßnahmen zur Verhinderung der Nutzung nicht "erlaubter" Services, beispielsweise mithilfe des Einsatzes von Proxys.
  • Die Durchführung von Audits, Sicherheitsprüfungen, Penetrationstests oder Schwachstellenanalysen.

Neben den bereits beschriebenen Maßnahmen bietet die Durchführung regelmäßiger Abstimmungsrunden zwischen Cloud-Diensteanbieter und nutzender Institution weitere Möglichkeiten zur Gewährleistung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb. In diesem Zusammenhang können Abstimmungen zu unterschiedlichen Themen von Interesse sein. Aktuelle Informationen bezüglich des Änderungsmanagements bieten sich beispielsweise ebenso an wie Änderungen hinsichtlich der Personalsituation aufseiten des Cloud-Diensteanbieters. Auch eine Diskussion über die Kundenzufriedenheit und mögliche Verbesserungspotenziale könnten Inhalt einer solchen Abstimmungsrunde sein.

Die Planung und Durchführung von Übungen und Tests leistet einen wichtigen Beitrag, um die Informationssicherheit aufrecht zu erhalten. Dabei ist, mit Schwerpunkt auf der Kommunikation zwischen Institution und Cloud-Diensteanbieter, vor allem die Reaktion auf Systemausfälle (Teilausfall und Totalausfall) zu planen und zu überprüfen. Weiterhin müssen Planungen hinsichtlich des Wiedereinspielens von Datensicherungen vorgenommen und dokumentiert werden. Generell sind Vorgaben zum Sicherheitsvorfallsmanagement bei Cloud-Nutzung festzuhalten.

Prüffragen:

  • Werden Dokumentationen und Richtlinien (zum Beispiel Betriebshandbücher und Nutzungsanweisungen) regelmäßig aktualisiert?

  • Wird die Service-Erbringung regelmäßig kontrolliert?

  • Wurden Sicherheitsnachweise durch den Cloud-Diensteanbieter erbracht?

  • Werden regelmäßige Abstimmungsrunden zwischen Cloud-Diensteanbieter und nutzender Institution durchgeführt?

  • Werden Übungen und Tests zur Reaktion auf Systemausfälle geplant und durchgeführt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK