Bundesamt für Sicherheit in der Informationstechnik

M 4.459 Einsatz von Verschlüsselung bei Cloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Grundsätzlich ist bei Cloud-Nutzung hinsichtlich der Verschlüsselung von Daten auf dem Transportweg (engl.: data in motion) und der Verschlüsselung von Daten an deren Ablageort (engl.: data at rest) zu unterscheiden.

Die Verschlüsselung auf dem Transportweg wird dabei im Zusammenhang mit der Nutzung von Cloud Services immer gefordert, außer es handelt sich um einen Cloud-Dienst einer Private Cloud, der über das abgesicherte lokale Netz genutzt wird. Die Anmeldung an einem Cloud Service muss in jedem Fall verschlüsselt erfolgen, auch im Falle der Nutzung einer Private Cloud. Vorgaben beziehungsweise Empfehlungen hierzu finden sich daher in den Maßnahmen zur Service-Definition (siehe M 2.536 Service-Definition für Cloud-Dienste durch den Anwender ) und zur Vertragsgestaltung mit dem Cloud-Diensteanbieter (siehe M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter ). Deshalb wird in dieser Maßnahme nicht näher auf die Möglichkeiten zur Umsetzung einer Verschlüsselung in Motion eingegangen und auf M 5.66 Clientseitige Verwendung von SSL/TLS bzw. M 5.177 Serverseitige Verwendung von SSL/TLS verwiesen.

Bei der Verschlüsselung der Daten an ihrem Speicher- beziehungsweise Verarbeitungsort sind zwei Varianten zu unterscheiden. Zum einen kann die Verschlüsselung im Vorfeld einer Datenübertragung an den Cloud-Diensteanbieter direkt durch die nutzende Institution vorgenommen werden. Bei der zweiten Variante erfolgt die Verschlüsselung der übertragenen Daten erst auf den Systemen des Cloud-Diensteanbieters.

Sofern die Verschlüsselung durch den Cloud-Diensteanbieter vorgenommen wird, sind hierzu entsprechende vertragliche Regelungen zu treffen, die unter anderem Vorgaben zur Auswahl sicherer Verschlüsselungsmechanismen und zum Einsatz geeigneter Schlüssellängen beinhalten. Darüber hinaus sollte vereinbart werden, dass der Cloud-Anwender bei Bedarf die Neuvergabe von Schlüsseln anstoßen kann und er Einfluss auf die Lebenszyklen der Schlüssel nehmen kann. Es ist zu beachten, dass bei der Verschlüsselung durch den Cloud-Diensteanbieter die Verantwortung für das Schlüsselmanagement auch bei ihm liegt. Mitarbeiter des Cloud-Diensteanbieters, die Kenntnis von den entsprechenden Schlüsseln haben, können so auf die Daten der Institution zugreifen.

Alternativ zur Verschlüsselung der Daten durch den Cloud-Diensteanbieter kann, abhängig vom Cloud Service, für die Institution die Möglichkeit bestehen, eigene Verschlüsselungsmechanismen einzusetzen. Das sichere Schlüsselmanagement liegt dann in ihrer Hand. In diesem Zusammenhang hat sich der Einsatz sogenannter Hardware-Security-Module (HSM) zur Unterstützung einer sicheren Erzeugung und Speicherung der Schlüssel als hilfreich erwiesen. Beim Einsatz eines HSM ist es in der Folge unerheblich, wo die Verschlüsselung stattfindet, in der Cloud oder auf den Systemen der Institution, der Cloud-Diensteanbieter kann nicht auf die Schlüssel zugreifen.

Es gilt zu beachten, dass eine Verschlüsselung durch die Institution nicht in jedem Fall realisierbar ist. Als eine Besonderheit im Zusammenhang mit der Nutzung von Cloud-Diensten ist hier die Abhängigkeit vom genutzten Service-Modell zu berücksichtigen. So ist beispielsweise bei der Nutzung von Software as a Service eine eigene Verschlüsselung in Verbindung mit der Nutzung von Anwendungen über eine API (zum Beispiel CRM-Datenbankverschlüsselung) in vielen Fällen nicht möglich. Sollte aber eine Verschlüsselung gefordert werden und der Cloud-Diensteanbieter kann diese nicht bereitstellen, so kann man, je nach Cloud Service, auch auf Drittanbieter zurückgreifen, die eine solche Verschlüsselung anbieten. Sofern eine Institution den Einsatz eigener Verschlüsselungsmechanismen plant oder einen Drittanbieter nutzt, empfiehlt sich eine enge Abstimmung mit dem Cloud-Diensteanbieter, um mögliche Probleme im laufenden Betrieb möglichst frühzeitig ausschließen zu können.

Bei der Umsetzung dieser Maßnahme ist zusätzlich der Baustein B 1.7 Kryptokonzept zu berücksichtigen.

Prüffragen:

  • Existieren bei Verschlüsselung durch den Cloud-Diensteanbieter vertragliche Regelungen, die diesem Vorgaben zur Auswahl sicherer Verschlüsselungsmechanismen und zum Einsatz geeigneter Schlüssellängen machen?

  • Wird beim Einsatz eigener Verschlüsselungsmechanismen die Umsetzung eines geeigneten Schlüsselmanagements sichergestellt?

  • Werden Besonderheiten der Cloud-Nutzung hinsichtlich des gewählten Service-Modells bei der Umsetzung von Verschlüsselung berücksichtigt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK