Bundesamt für Sicherheit in der Informationstechnik

Mindeststandards des BSI zur Nutzung und Mitnutzung externer Cloud-Dienste

Der Bedarf an sicheren Cloud-Diensten nimmt auch in der Bundesverwaltung stetig zu. Dabei können sich in der Praxis die Anwendungsbereiche stark unterscheiden, sodass auch in Abhängigkeit vom Schutzbedarf der zu verarbeitenden Daten die Informationssicherheit eine zunehmend zentrale Rolle einnimmt. Die Einforderung und Umsetzung von Sicherheitsanforderungen ist daher ein wichtiger Bestandteil bei der Inanspruchnahme von Cloud-Diensten. Vor diesem Hintergrund hat das BSI mit der sogenannten Nutzung und Mitnutzung zwei Anwendungsbereiche identifiziert, die für die Bundesverwaltung von besonderer Bedeutung sind, und für diese zielgerichtete Sicherheitsanforderungen als Mindeststandards nach § 8 Abs. 1 BSIG erarbeitet.

Nutzung externer Cloud-Dienste

In diesem Anwendungsbereich hat die Bundesbehörde (hier eine Stelle des Bundes im Sinne des § 8 Abs. 1 BSIG) einen Bedarf an einer IT-Leistung, die nicht durch eigene IT-Ressourcen, sondern über einen externen Cloud-Dienst erbracht werden soll. Hierbei handelt es sich letztendlich um eine sogenannte Make-or-Buy-Entscheidung der Bundesbehörde. Sofern sich die Bundesbehörde für die "Buy"-Option entscheidet, schließt diese mit einem Wirtschaftsunternehmen (Cloud-Anbieter) einen Vertrag über die Erbringung der IT-Leistung ab. Die Bundesbehörde nimmt somit die Rolle des Auftraggebers ein. In diesem Nutzungsszenario finden die Regelungen des Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste in der Bundesverwaltung Anwendung. Nach Einschätzung des BSI handelt es sich hierbei um den Regelfall bei der Inanspruchnahme von externen Cloud-Diensten durch Bundesbehörden.

Dieser Mindeststandard greift die Themenkomplexe Informationssicherheit, Transparenz der Cloud-Diensterbringung und Nachweis über diese Aspekte durch geeignete Prüfungen auf. Rahmenbedingungen für die Cloud-Diensterbringung werden konkretisiert. Zudem wird vorgegeben, wie die Prüfnachweise des Cloud-Anbieters für das Informationssicherheitsmanagement der jeweiligen Bundesbehörde genutzt werden sollen. Unberührt bleibt jedoch die Verantwortung für die IT-Objekte, die die Bundesbehörde im Rahmen ihrer IT-Grundschutzkonzeption innehat. Letztere wird durch die Nutzung externer Cloud-Dienste angepasst.

Mitnutzung externer Cloud-Dienste

Im Anwendungsbereich der Mitnutzung nehmen IT-Anwender einer Bundesbehörde externe Cloud-Dienste in Anspruch, ohne dass zwischen der Bundesbehörde und dem eigentlichen Cloud-Anbieter ein Vertragsverhältnis über die Mitnutzung besteht. Somit ist die Bundesbehörde in diesen Fällen nicht Auftraggeber des Cloud-Dienstes. Insbesondere wenn IT-Anwender im Rahmen von (internationalen) Projekten oder Arbeitsgruppen institutionsübergreifend zusammenarbeiten wollen, wird diese Form der Mitnutzung immer häufiger gewählt. Jedoch greifen die Sicherheitsanforderungen aus dem Mindeststandard zur Nutzung externer Cloud-Dienste - hier insbesondere zur Beschaffungsphase - regelmäßig zu weit. Daher regelt der Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Mitnutzung externer Cloud-Dienste in der Bundesverwaltung diesen Anwendungsbereich und hilft somit bei der Bewertung solcher Dienste.

Umsetzungshinweise

Als Unterstützung für IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Betriebspersonal stehen mit den Umsetzungshinweisen umfangreiche Informationen zur korrekten Interpretation und Umsetzung der beiden Mindeststandards bereit. Das Dokument geht dabei zunächst auf Gemeinsamkeiten und Unterschiede der beiden Mindeststandards ein und gibt dann detaillierte Umsetzungshinweise zu den jeweiligen Sicherheitsanforderungen. Mithilfe der Umsetzungshinweise können Verantwortliche ihren eigenen Informationssicherheitsprozess abgleichen. Darüber hinaus können die bekannten Kontaktadressen für weitere fachliche Rückfragen genutzt werden.

Informationsaustausch

Mit Veröffentlichung der Mindeststandards sind die Bundesbehörden aufgefordert, künftig an einem Austausch mit dem BSI über die Nutzung und Mitnutzung externer Cloud-Dienste teilzunehmen. Als Erhebungsstichtag ist der 31. Januar gesetzt.

Fragen und Antworten zum Informationsaustausch

Download Mindeststandards

Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste in der Bundesverwaltung (PDF, 288KB, Datei ist barrierefrei⁄barrierearm)

Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Mitnutzung externer Cloud-Dienste in der Bundesverwaltung (PDF, 420KB, Datei ist barrierefrei⁄barrierearm)

Download Umsetzungshinweise

Umsetzungshinweise zu den Mindeststandards des BSI zur Nutzung und Mitnutzung externer Cloud-Dienste nach § 8 Abs. 1 BSIG (PDF, 764KB, Datei ist barrierefrei⁄barrierearm)