Bundesamt für Sicherheit in der Informationstechnik

Mindeststandard des BSI zur Nutzung externer Cloud-Dienste

Cloud-Dienste basieren auf einem hohen Maß an Standardisierung von Hard- und Software sowie der darauf aufbauenden Dienstleistungen. Details dieser Komplettdienstleistungen bleiben Cloud-Kunden im Regelfall verborgen. In Abhängigkeit vom Schutzbedarf der zu verarbeitenden Daten ist dabei ein hohes Maß an Vertrauen in den Cloud-Anbieter erforderlich, sodass der Informationssicherheit hier eine bedeutsame Rolle zukommt.

Grundsätzlich kann mithilfe einer gezielten strategischen Ausrichtung die Informationssicherheit der Cloud-Nutzung entscheidend verstärkt werden. Als erster strategischer Aspekt ist in diesem Zusammenhang Risiko- und Chancentransparenz zu nennen. Transparenz sorgt dafür, dass zwischen Cloud-Kunde und Cloud-Anbieter nicht nur offen über mögliche Gefahren gesprochen wird, sondern auch über mögliche Verbesserungen der Informationssicherheit. Eine klare Aufteilung der Zuständigkeiten zwischen Cloud-Kunde und Cloud-Anbieter stellt den zweiten Aspekt dar. Damit werden Risiken klar zugeordnet, sodass Rollen und Aufgaben richtig wahrgenommen werden können. Als dritter Aspekt tragen offene Standards dazu bei, Migrationen zwischen Angeboten zu ermöglichen und so Abhängigkeiten von einzelnen Cloud-Anbietern zu vermeiden. Dieser Mindeststandard richtet sich nach diesen drei Aspekten der strategischen Ausrichtung und stellt damit künftig sicher, dass Risiken identifiziert, bewertet und behandelt werden und für den Cloud-Kunden beherrschbar bleiben.

Der Mindeststandard betrachtet die Phasen Beschaffung, Einsatz und Beendigung von Cloud-Diensten. Für jeden Prozess werden entsprechende Anforderungen zur Erhöhung der Informationssicherheit aufgestellt.

Relevante Sicherheitsanforderungen wurden dabei auch anhand bereits existierender Standards, Normen und Regelungen identifiziert. Nach Auffassung des BSI stellen die IT-Grundschutz-Kataloge, der Beschluss Nr. 05/2015 des Rates der IT-Beauftragten der Ressorts und der Anforderungskatalogs Cloud Computing des BSI (C5) besonders relevante Quellen dar. So sind die IT-Grundschutzkataloge für die Stellen des Bundes zur Risikoanalyse und -bewertung im Bereich der Informationssicherheit maßgeblich. Der Beschluss Nr. 05/2015 regelt Bereiche der Informationssicherheit, des Datenschutzes und der Wirtschaftlichkeit von Cloud-Diensten.

Der C5 adressiert vorrangig Cloud-Anbieter und definiert Basisanforderungen für die Informationssicherheit, die aus Sicht des BSI nicht unterschritten werden sollten.

Stellen des Bundes haben bei einer Nutzung von externen Cloud-Diensten zu berücksichtigen, dass mindestens die Basisanforderungen des C5 vom Cloud-Anbieter erfüllt werden.

Die Basisanforderungen des C5 bilden somit eine wichtige Teilmenge dieses Mindeststandards. Die Kompatibilität der Basisanforderungen zu international anerkannten Standards stellt dabei die Akzeptanz und Praktikabilität der Umsetzung und Einhaltung aufseiten der Cloud-Anbieter sicher.

Neben Basisanforderungen an die Sicherheit von Cloud-Diensten sind jedoch auch Rahmenbedingungen, unter denen der Cloud-Dienst erbracht wird, für die sichere Nutzung relevant. Bei der Entscheidung einen Cloud-Dienst zu nutzen, benötigt die Stelle des Bundes Transparenz über die Rahmenbedingungen. Durch diese Transparenz wird die Stelle des Bundes erst in die Lage versetzt, ein Cloud-Angebot hinsichtlich seiner eigenen Anforderungen an die Informationssicherheit beurteilen zu können. Diesen Ansatz verfolgt der C5 mit den sogenannten Umfeldparametern. Diese Transparenzanforderungen erfragen relevante Angaben über die Diensterbringung, wie z. B. die Lokation der Daten oder gesetzlich eingeräumte Zugriffsbefugnisse von staatlichen Stellen im Ausland.

Ob die vom Cloud-Anbieter getroffenen Maßnahmen zur Umsetzung der Basisanforderungen angemessen und wirksam sind, wird im Rahmen von transparenten Prüfungen durch ein Prüfteam mindestens jährlich validiert. Der C5 stellt für seine Prüfung Anforderungen an Prüfteam, Audit und Prüfbericht. So wie die Anforderungen an die Informationssicherheit basieren auch die Anforderungen an Prüfteam, Audit und Prüfbericht auf etablierten internationalen Prüfungsstandards (ISAE 3000, 3402 bzw. SOC 1 und SOC 2).

Dieser Mindeststandard greift die Themenkomplexe Informationssicherheit, Transparenz der Cloud-Diensterbringung und Nachweis über diese Aspekte durch geeignete Prüfungen auf. Rahmenbedingungen für die Cloud-Diensterbringung werden konkretisiert. Zudem wird vorgegeben, wie die Prüfnachweise des Cloud-Anbieters für das Informationssicherheitsmanagement der jeweiligen Stelle des Bundes genutzt werden sollen. Daneben bleibt die Verantwortung für die IT-Objekte, die die Stelle des Bundes im Rahmen ihrer IT-Grundschutzkonzeption innehat, unberührt und wird durch die Nutzung externer Cloud-Dienste lediglich angepasst.

Hinweise zum "Informationsaustausch"

Mit der Anforderung "CD.18 Informationsaustausch" des Mindeststandards (s. Kapitel 2.2 Einsatzphase) sind die Stellen des Bundes aufgefordert künftig das BSI über die eigene Nutzung externer Cloud-Dienste jährlich zum Stichtag 31. Januar zu informieren. Diese Informationen umfassen auch Beendigung und Wechsel von externen Cloud-Diensten.

Hierfür wird ein standardisiertes Verfahren eine einfache und schnelle Mitteilung ermöglichen. Die Detailplanungen werden zurzeit vorgenommen. Informationen werden rechtzeitig hier bekannt gegeben.

Download Mindeststandard

Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste in der Bundesverwaltung (PDF, 288KB, Datei ist barrierefrei⁄barrierearm)