Bundesamt für Sicherheit in der Informationstechnik

M 2.545 Modellierung der Cloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Allgemeine Hinweise zur Anwendung des Bausteins

Der Baustein B 1.17 Cloud-Nutzung richtet sich an alle Institutionen, die bereits Cloud Services in Anspruch nehmen oder deren zukünftigen Einsatz planen. Die Gefährdungen und Maßnahmen des Bausteins gelten dabei grundsätzlich unabhängig vom genutzten Service- und Bereitstellungsmodell.

Sofern in Abhängigkeit eines spezifischen Service- oder Bereitstellungsmodells Besonderheiten auftreten sollten, sind diese in der entsprechenden Gefährdung beziehungsweise Maßnahme gesondert vermerkt. Nähere Informationen zu den genannten Service-Begriffen sowie weitere grundlegende Definitionen und Erläuterungen finden sich in Maßnahme M 4.462 Einführung in die Cloud-Nutzung .

Der Baustein B 1.17 Cloud-Nutzung ist immer auf einen konkreten Cloud Service anzuwenden. Nutzt eine Institution einen Verbund von Cloud Services, so sind alle Services einzeln zu modellieren. Die Schnittstelle zwischen den Services ist ebenfalls Gegenstand des Bausteins und muss für alle Services betrachtet werden.

Cloud-Nutzung umfasst alle Themengebiete, die zur Nutzung einer Cloud-Umgebung erforderlich sind. Insbesondere sind damit die folgenden Punkte durch die Inhalte des Bausteins abgedeckt:

  • Anwendung des Cloud Services durch Mitarbeiter der nutzenden Institution
  • Administration des Cloud Services durch Mitarbeiter der nutzenden Institution

Schnittstellen zu anderen Bausteinen

Der Baustein Cloud-Nutzung ist eng verwandt mit dem Baustein B 1.11 Outsourcing . In nahezu allen Bereitstellungsmodellen, abgesehen von der Nutzung einer Private Cloud On-Premise, stellt die Nutzung von Cloud Services eine Sonderform des Outsourcings dar.

Um die Lesbarkeit und Anwendbarkeit des Bausteins zu verbessern, wurden relevante bestehende Gefährdungen aus dem Bereich des Outsourcings auch in den Baustein Cloud-Nutzung aufgenommen. Ergänzend findet sich eine Reihe spezifischer Gefährdungen, die gezielt Besonderheiten bei der Nutzung von Cloud Services betrachten.

Eine Reihe der neu konzipierten Maßnahmen des Bausteins Cloud-Nutzung weist Redundanzen zu bereits bestehenden Maßnahmen des Bausteins Outsourcing auf. Die komplette Neuerstellung wurde dabei der bloßen Ergänzung bestehender Maßnahmen um Cloud-spezifische Aspekte bewusst vorgezogen. Durch die gewählte Gestaltung der Bausteininhalte kann der Baustein Cloud-Nutzung eigenständig betrachtet werden, was auch dem starken Interesse an der Thematik Cloud-Nutzung Rechnung trägt.

Neben den genannten Schnittstellen zum Outsourcing weisen weitere Bausteine Berührungspunkte mit dem Baustein Cloud-Nutzung auf. Einige Gefährdungen und Maßnahmen aus dem Bereich des Cloud Managements (siehe Baustein B 5.23 Cloud Management ) sprechen ähnliche Aspekte an, wie sie auch bei der Cloud-Nutzung relevant sind. Ein Beispiel hierfür stellt die Gefährdung G 2.176 Mangelnde Kommunikation zwischen Cloud-Diensteanbieter und Cloud-Anwender dar, die in beiden Bausteinen Anwendung findet. Übernimmt die eigene IT die Rolle des Cloud-Diensteanbieters, beispielsweise in Verbindung mit dem Einsatz einer Private Cloud On-Premise, ist neben dem Baustein Cloud-Nutzung auch der Baustein Cloud Management anzuwenden.

Erfolgt die Administration des Cloud-Dienstes durch den Cloud Service Administrator aufseiten der nutzenden Institution über eine Management-Software, die Webservices verwendet, ist zusätzlich der Baustein B 5.24 Web-Services anzuwenden.

Abgrenzungen zu anderen Bausteinen

Alle Aspekte, die im Zuständigkeitsbereich des Cloud-Diensteanbieters liegen, sind durch den Baustein B 5.23 Cloud Management abgedeckt.

Eine Besonderheit stellen Cloud Services dar, die über die Bereitstellung einer entsprechenden API (Application Programming Interface) durch den Cloud-Diensteanbieter angebunden werden. Zur Betrachtung aller relevanten Gefährdungen und Maßnahmen im Zusammenhang mit der entstehenden Schnittstelle ist der Baustein B 5.24 Web-Services anzuwenden.

Bestehende Bausteine der IT-Grundschutz-Kataloge, die auch im Rahmen der Cloud-Nutzung relevant sind, werden im Baustein nicht neu betrachtet. Hierzu zählen insbesondere die Themen Netze ( LAN , Internet, VPN ) sowie Gebäude beziehungsweise Infrastrukturen. Diese sind auf Basis der IT-Grundschutzvorgehensweise und anhand der Hinweise aus Kapitel 2 Schichtenmodell und Modellierung der IT-Grundschutz-Kataloge anzuwenden.

Sofern sich für diese Themengebiete besondere Aspekte aus der Cloud-Nutzung ergeben, werden diese im Rahmen des Bausteins Cloud-Nutzung betrachtet. Ein Beispiel für eine solche gesonderte Betrachtung ist die steigende Wichtigkeit der Internetanbindung, wenn kritische Unternehmensprozesse in Cloud Services abgebildet werden.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK