Cloud-Dienste: Sicherer und transparenter dank BSI-Anforderungskatalog

Bildquelle: Deutsche Messe AG

Bildquelle: Deutsche Messe AG

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich des Themas Cloud Computing angenommen. Um die Informationssicherheit und die Transparenz von Cloud-Diensten zuverlässig beurteilen zu können, veröffentlichte das BSI am 14. März 2016 einen Anforderungskatalog. Bei der CeBIT in Hannover stellte sie ihn vor.

2006 wurde Cloud Computing erstmals theoretisch behandelt. Seitdem ist der Einsatz von Cloud-Technologien bei IT-Dienstleistungen zu einer bedeutsamen Größe geworden. Doch während sich standardisierte Prozesse und Infrastrukturen herausgebildet haben, wie eine Cloud zu betreiben ist, sieht das bei der Sicherheit noch etwas anders aus. „Beim Cloud-Computing existiert noch kein etabliertes Mindestmaß an Sicherheit, sondern ein Potpourri an Standards und Zertifikaten, die beim Kunden für Verwirrung sorgen“, bemängelte Dr. Patrick Grete vom BSI bei der CeBIT. Das BSI wolle dem effektiv entgegenwirken, indem es in einem Katalog klare und prüfbare Anforderungen vorgebe.

114 Anforderungen sollen Klarheit schaffen

Das BSI bediente sich bei der Erstellung seines Anforderungskatalogs überwiegend aus bereits vorhandenen Standards und konkretisierte dort, wo dies sinnvoll bzw. notwendig erschien. Erfüllen Cloud-Dienstleister die 114 Anforderungen, dann erlangen sie ein international anerkanntes Testat. Der Katalog hält neben den Basisanforderungen gegebenenfalls weiterführende Anforderungen bereit. So können unterschiedliche Sicherheitsbedürfnisse berücksichtigt und bescheinigt werden. Etwa wenn physikalische Zutrittskontrollen in Rechenzentren einer sogenannten Zwei-Faktor-Authentifizierung unterliegen.

Wirtschaftsprüfer untersuchen Wirksamkeit der Maßnahmen

Die Prüfung durchführen und das Ergebnis bestätigen sollen Wirtschaftsprüfer. Das BSI entschied sich laut Dr. Grete zu dieser Vorgabe, da viele Unternehmen ohnehin gesetzlich dazu verpflichtet seien, ihre Jahresabschlussprüfung von Wirtschaftsprüfern durchführen zu lassen. Da dies auch die Prüfung der IT-Systeme umfasse, könnten Synergieeffekte genutzt werden. Der Wirtschaftsprüfer habe vor allem darauf zu achten, dass sicherheitsrelevante Prozesse bei Cloud Anbietern nicht nur vorhanden und etabliert seien, sondern vor allem wirksam. „Dazu werden bei der Prüfung aller Anforderungen konkrete Fälle aus der Praxis des Anbieters betrachtet“, konkretisierte Dr. Grete. Der klar formulierte Anforderungskatalog setze dem Prüfer bei seiner Bewertung des Cloud-Dienstleisters im Übrigen enge Grenzen. Letztlich müssten seine Prüfergebnisse einer gerichtlichen Überprüfung standhalten können.

Umfeldparameter sorgen für Transparenz

Das Ziel des BSI ist es, ein vertrauenswürdiges Sicherheitsniveau zu erlangen. Um eine kundenfreundliche Transparenz herzustellen, sind im Anforderungskatalog sogenannte Umfeldparameter enthalten. Sie tragen eine Fülle an Details zusammen. Etwa, wo die Daten tatsächlich vorgehalten werden, wie der Dienst konkret erbracht wird, wo der Gerichtsstand ist, welche Zertifizierungen bereits erlangt wurden und wie die Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen sind. Die Offenlegung solcher Informationen soll Cloud-Dienste transparenter machen. Unterauftragnehmer sind entweder komplett durch den Wirtschaftsprüfer mitzuprüfen oder der Cloud-Anbieter vereinbart mit dem Unterauftragnehmer, dass sich dieser regelmäßig in einem separaten Verfahren durch einen Wirtschaftsprüfer testieren lässt.

Fragenkatalog soll weiterentwickelt werden

Dr. Grete stellte bei der CeBIT abschließend klar, dass der Fragenkatalog ein lebendes Dokument darstelle, das regelmäßig fortgeschrieben und kontrolliert werde. Dabei ermunterte er ausdrücklich die Mitglieder der Cloud-Community daran mitzuwirken.

Teilen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.



(erforderlich)


*