Transparenz und Sicherheit für die Cloud: BSI legt Mindeststandards für Nutzung von Public Clouds fest

Das BSI hat Mindeststandards für die Informationssicherheit von Cloud-Services definiert. Behörden müssen deren Einhaltung prüfen, bevor sie externe Dienste nutzen, für Unternehmen sollen sie eine Empfehlung darstellen.

(Foto: maxsim / Fotolia)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard zur Nutzung externer Cloud-Dienste (PDF) gemäß §8 des BSI-Gesetzes (BSIG) veröffentlicht. Dieser deckt von der vorab vorzunehmenden Datenkategorisierung und Risikoanalyse über die Beschaffung und Nutzung bis zur Beendigungsphase den kompletten Lebenszyklus eines Cloud-Services ab. Grundlage ist der »Cloud Computing Compliance Controls Catalogue« des BSI, kurz »C5« genannt. Bundesbehörden müssen künftig sicherstellen, dass mindestens dessen Basisanforderungen erfüllt sind und das BSI jährlich über die eigene Nutzung von Cloud-Diensten informieren. Den Behörden der Länder und Kommunen sowie Unternehmen sollen die Mindeststandards als Leitfaden dienen.

»Nach der Veröffentlichung des C5 setzen wir mit diesem Mindeststandard erneut ein klares Signal an den Cloud-Markt«, sagt BSI-Präsident Arne Schönbohm. »Cloud-Dienste basieren auf einem hohen Maß an Vertrauen in den Cloud-Anbieter, denn die Details der Cloud bleiben den Kunden meist verborgen. Der neue Mindeststandard sorgt insgesamt für mehr Transparenz und ermöglicht, mit den Anbietern auf Augenhöhe über ein definiertes Mindestniveau an Informationssicherheit zu sprechen.«

Der C5 ist in 17 thematische Bereiche unterteilt, etwa physische Sicherheit oder Anforderungen an das Personal, und orientiert sich an anerkannten Sicherheitsstandards wie ISO/IEC 27001, der Cloud Controls Matrix der Cloud Security Alliance sowie früheren BSI-Empfehlungen. Ergänzend dazu hat das BSI aber auch sogenannte Umfeldparameter integriert. Sie geben Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen und Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen und enthalten eine Systembeschreibung. Sie sollen für Transparenz sorgen und potenziellen Kunden helfen einzuschätzen, ob der Dienst den gesetzlichen Vorschriften und eigenen Richtlinien entspricht.

Cloud-Anbieter können durch einen »SOC 2«-Bericht, der auf dem von Wirtschaftsprüfern verwendeten »ISAE 3000«-Standard basiert, nachweisen, dass sie die Anforderungen des Katalogs einhalten. Bei der Prüfung des Jahresabschlusses seien die Wirtschaftsprüfer bereits vor Ort und eine Auditierung nach dem C5 könne ohne großen Mehraufwand durchgeführt werden, so das BSI.