Bundesamt für Sicherheit in der Informationstechnik

M 2.544 Auditierung bei Cloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Die Durchführung von Audits wird im Zusammenhang mit der Nutzung von Cloud Services als eine notwendige Maßnahme angesehen. Erfahrungen aus der Praxis haben gezeigt, dass die nutzende Institution Abweichungen zu vertraglichen Vereinbarungen, wie beispielsweise die Nichteinhaltung bestimmter Service-Level oder die Missachtung von Sicherheitsvorgaben häufig nur im Rahmen von Audits transparent machen kann.

Da der Auditierung im Cloud-Nutzungs-Umfeld eine solch große Bedeutung zukommt, sollten Audits in verschiedenen Phasen der Cloud-Nutzung thematisiert werden:

  • Bei der Auswahl des Providers im Hinblick auf die generelle Einräumung eines Audit-Rechts.
  • Bei der Vertragsgestaltung mit dem Cloud-Diensteanbieter hinsichtlich der Ausgestaltung des Audit-Rechts.
  • Bei der Festlegung von Maßnahmen zur regelmäßigen Durchführung von Audits im Cloud-Nutzungs-Betrieb.

Die nutzende Institution sollte die Umsetzung der mit dem Cloud-Diensteanbieter vereinbarten Sicherheitsmaßnahmen regelmäßig überprüfen. Zu diesem Zweck bieten sich zur Durchführung der Audits aber auch speziell ausgearbeitete Fragebögen an.

Durchführung von Audits beim Cloud-Diensteanbieter

Bei der Durchführung von Audits beim Cloud-Diensteanbieter können grundsätzlich drei Ausprägungen unterschieden werden, die von der Art der Service-Erbringung abhängig sind. Bei der Nutzung eines Services, der in Form einer Private Cloud On-Premise erbracht wird, erfolgt die Überprüfung als internes Audit. Werden andere Service-Erbringungs-Modelle genutzt, wird der Cloud-Diensteanbieter einem externen Audit unterzogen. Eine Sonderform stellen sogenannte Fremd-Audits dar. Diese werden häufig mit dem Ziel einer anschließenden Zertifizierung (zum Beispiel ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz) durchgeführt.

Die unterschiedlichen Service-Modelle bei Cloud-Nutzung bedingen verschiedene Audit-Ebenen. Die Existenz solch unterschiedlicher Ebenen stellt eine Besonderheit bei der Nutzung von Cloud-Diensten dar. Diese Besonderheit ist sowohl während der Planung als auch im Verlauf der Durchführung von Audits zu berücksichtigen. Dem Auditor muss klar sein, welche Art von Service er zu bewerten hat, da sich der Aufwand für ein Audit in Abhängigkeit der Ebene ändert.

Bei der Modellierung des IT-Verbundes nach IT-Grundschutz muss, in Abhängigkeit vom Service-Modell, die Bausteinauswahl anders getroffen werden. Während bei der Nutzung von Cloud-Diensten als Infrastructure as a Service (IaaS) hauptsächlich das Rechenzentrum und die zugehörige Infrastruktur zu betrachten sind, wird dies bei Nutzung von Cloud-Diensten als Platform as a Service (PaaS) bereits um die Betrachtung von Betriebssystemen und Middleware (zum Beispiel Webserver, Datenbanken, sonstige Anwendungen mit zugehörigen Schnittstellen) ergänzt. Bei Nutzung von Software as a Service (SaaS) ist zusätzlich die Anwendungsebene einzubeziehen.

Der Auditor muss daneben auch immer den Schutzbedarf der Informationen sowie die Abhängigkeiten zu anderen Bereichen wie Infrastruktur, Systemen, Anwendungen oder Diensten, die den Service bilden, berücksichtigen.

Prüffragen:

  • Hat sich die Institution das Recht zur Durchführung von Audits vertraglich zusichern lassen?

  • Wird die Umsetzung der mit dem Cloud-Diensteanbieter vereinbarten Sicherheitsmaßnahmen regelmäßig in Form von Audits oder durch die Beantwortung von Fragebögen überprüft?

  • Werden bei der Planung und der Durchführung von Audits die Besonderheiten der Service-Modelle IaaS, PaaS und SaaS berücksichtigt?

Stand: 14. EL Stand 2014