Im Hintergrund zwei weiße Fahnen am Fahnenmast mit BWI Logo. Im Vordergrund rechts eine Stahl Stehle mit BWI Logo. Eingang zu Liegenschaft fotografiert.© BWI GmbH

Cloud-Dienste: Sicherer und transparenter dank BSI-Anforderungskatalog

4 min
24. März 2016

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich des Themas Cloud Computing angenommen. Um die Informationssicherheit und die Transparenz von Cloud-Diensten zuverlässig beurteilen zu können, veröffentlichte das BSI am 14. März 2016 einen Anforderungskatalog. Bei der CeBIT in Hannover stellte sie ihn vor.

2006 wurde Cloud Computing erstmals theoretisch behandelt. Seitdem ist der Einsatz von Cloud-Technologien bei IT-Dienstleistungen zu einer bedeutsamen Größe geworden. Doch während sich standardisierte Prozesse und Infrastrukturen herausgebildet haben, wie eine Cloud zu betreiben ist, sieht das bei der Sicherheit noch etwas anders aus. „Beim Cloud-Computing existiert noch kein etabliertes Mindestmaß an Sicherheit, sondern ein Potpourri an Standards und Zertifikaten, die beim Kunden für Verwirrung sorgen“, bemängelte Präsentator vom BSI bei der CeBIT. Das BSI wolle dem effektiv entgegenwirken, indem es in einem Katalog klare und prüfbare Anforderungen vorgebe.

 

114 Anforderungen sollen Klarheit schaffen

Das BSI bediente sich bei der Erstellung seines Anforderungskatalogs überwiegend aus bereits vorhandenen Standards und konkretisierte dort, wo dies sinnvoll bzw. notwendig erschien. Erfüllen Cloud-Dienstleister die 114 Anforderungen, dann erlangen sie ein international anerkanntes Testat. Der Katalog hält neben den Basisanforderungen gegebenenfalls weiterführende Anforderungen bereit. So können unterschiedliche Sicherheitsbedürfnisse berücksichtigt und bescheinigt werden. Etwa wenn physikalische Zutrittskontrollen in Rechenzentren einer sogenannten Zwei-Faktor-Authentifizierung unterliegen.

 

Wirtschaftsprüfer untersuchen Wirksamkeit der Maßnahmen

Die Prüfung durchführen und das Ergebnis bestätigen sollen Wirtschaftsprüfer. Das BSI entschied sich zu dieser Vorgabe, da viele Unternehmen ohnehin gesetzlich dazu verpflichtet seien, ihre Jahresabschlussprüfung von Wirtschaftsprüfern durchführen zu lassen. Da dies auch die Prüfung der IT-Systeme umfasse, könnten Synergieeffekte genutzt werden. Der Wirtschaftsprüfer habe vor allem darauf zu achten, dass sicherheitsrelevante Prozesse bei Cloud Anbietern nicht nur vorhanden und etabliert seien, sondern vor allem wirksam. Der klar formulierte Anforderungskatalog setze dem Prüfer bei seiner Bewertung des Cloud-Dienstleisters im Übrigen enge Grenzen. Letztlich müssten seine Prüfergebnisse einer gerichtlichen Überprüfung standhalten können.

 

Umfeldparameter sorgen für Transparenz 

Das Ziel des BSI ist es, ein vertrauenswürdiges Sicherheitsniveau zu erlangen. Um eine kundenfreundliche Transparenz herzustellen, sind im Anforderungskatalog sogenannte Umfeldparameter enthalten. Sie tragen eine Fülle an Details zusammen. Etwa, wo die Daten tatsächlich vorgehalten werden, wie der Dienst konkret erbracht wird, wo der Gerichtsstand ist, welche Zertifizierungen bereits erlangt wurden und wie die Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen sind. Die Offenlegung solcher Informationen soll Cloud-Dienste transparenter machen. Unterauftragnehmer sind entweder komplett durch den Wirtschaftsprüfer mitzuprüfen oder der Cloud-Anbieter vereinbart mit dem Unterauftragnehmer, dass sich dieser regelmäßig in einem separaten Verfahren durch einen Wirtschaftsprüfer testieren lässt.

 

Das könnte Sie auch interessieren:
 

 
BSI-Lagebericht: „Cyberangriffe sind ein Dauerstresstest“
4 min
8. Februar 2021

BSI-Lagebericht: „Cyberangriffe sind ein Dauerstresstest“

#e-Government

Laut Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Gefährdungslage durch Cyberangriffe in Deutschland hoch. Cyberkriminelle setzen unter anderem auf Schadprogramme und bringen Organisationen aller Größen und…
4 min
8. Februar 2021
 
Digitale Souveränität: Balance zwischen Selbstbestimmung und Abhängigkeit
4 min
25. März 2020

Digitale Souveränität: Balance zwischen Selbstbestimmung und Abhängigkeit

#e-Government

#Digitale Souveränität

Die Corona-Krise zeigt, wie wichtig die Handlungsfähigkeit eines Staates auch und gerade in Ausnahmesituationen ist. Behörden sind gefordert, ihre Bürger zu schützen, Versorgung und Lieferketten zu sichern, aber auch Daten und Technologien souverän…
4 min
25. März 2020