Das Cloud-Computing hält Einzug in die IT-Grundschutz-Kataloge

cloud 02
Fachbeitrag

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 19.12.2014 die inzwischen 14. Ergänzungslieferung der IT-Grundschutz-Kataloge veröffentlicht und an die aktuellen Entwicklungen in der IT angepasst. So wurden insbesondere Bausteine zum Cloud-Computing (Cloud-Nutzung, Cloud Storage, Cloud Management) eingearbeitet.

Was sind IT-Grundschutz-Kataloge?

Die IT-Grundschutz-Kataloge beinhalten eine Sammlung von Dokumenten, welche dazu genutzt werden sollten, sicherheitsrelevante Schwachstellen in einer IT-Infrastruktur zu entdecken und zu bekämpfen. Sie dienen damit der Verwirklichung eines effektiven Informationssicherheitsmanagement. Die Kataloge gliedern sich im Wesentlichen in drei Bereiche:

  1. Bausteinkataloge (B)
  2. Gefährdungskataloge (G)
  3. Maßnahmenkataloge (M)

In den einzelnen Bausteinen (B) erfolgt zunächst eine allgemeine Beschreibung, bevor die möglichen Gefährdungslagen nach dem Gefährdungskatalog (G) (elementare Gefährdungen, höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen, vorsätzliche Handlungen) aufgelistet werden.

Anschließend folgt eine Auflistung der zu ergreifenden Maßnahmen(M), um den Anforderungen des IT-Grundschutz zu genügen und die Gefährdungen einzuschränken.

Die 3 Bausteine des Cloud-Computings

Das Cloud-Computing unterteilt sich in den Katalogen in drei neue Bausteine, die jeweils in den Katalogen behandelt werden.

1. Cloud-Nutzung

Der Baustein B 1.17 Cloud-Nutzung richtet sich an Nutzer von Cloud-Diensten und behandelt zwei Szenarien:

  1. Im ersten Szenario stellt ein Unternehmen seinen Mitarbeitern Cloud-Dienste zur Verfügung, die entweder vom Unternehmen selbst erbracht oder von Dritten bezogen werden.
  2. Im zweiten Szenario nutzt ein Unternehmen Cloud-Dienste von Dritten und muss diese in die eigene IT-Landschaft integrieren. Die Anforderungen die bei diesen Szenarien an die Informationssicherheit und an das Informationssicherheitsmanagement gestellt werden, werden in diesem Baustein behandelt.

2. Speicherlösungen / Cloud Storage

Der Baustein B 3.303 Speicherlösungen / Cloud Storage findet dann Anwendung, wenn zentrale Speicherlösungen eingesetzt werden. Typische Zielobjekte für diesen Baustein sind NAS-Systeme (Network Attached Storage), SAN-Systeme (Storage Area Networks), Hybrid Storage, Objekt Storage und Cloud Storage.

3. Cloud Management

Der Baustein B 5.23 Cloud Management richtet sich an Cloud-Diensteanbieter (Cloud Service Provider). Wichtig ist dabei, dass der Baustein auf jeden Server des Informationsverbunds anzuwenden ist, der zur Verwaltung der Cloud Computing Plattform eingesetzt wird.

Laut BSI bilden die Sicherheitsaspekte, die mit den originären Eigenschaften von Cloud-Computing in Verbindung stehen, den Mittelpunkt des neuen Bausteins, wie beispielsweise Mandantenfähigkeit, Orchestrierung und Automatisierung von Prozessen sowie Provisionierung bzw. De-Provisionierung von IT-Ressourcen.

Maßnahmen für die Cloud-Nutzung

Auf Grund der Fülle an Informationen und Anforderungen kann hier nicht auf jeden der drei Bereiche eingegangen werden. Die für die Praxis wichtigsten Informationen finden sich letztlich in den Maßnahmenkatalogen. Darin wird beschrieben, wie die Anforderungen eingehalten werden können. Als Beispiel soll im Folgenden einmal der Auszug des Maßnahmenkataloges für die Cloud-Nutzung dienen.

Planung und Konzeption

  • M 2.40 (A) Rechtzeitige Beteiligung des Personal-/Betriebsrates
  • M 2.42 (A) Festlegung der möglichen Kommunikationspartner
  • M 2.534 (A) Erstellung einer Cloud-Nutzungs-Strategie
  • M 2.535 (A) Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung
  • M 2.536 (A) Service-Definition für Cloud-Dienste durch den Anwender
  • M 2.537 (A) Planung der sicheren Migration zu einem Cloud Service
  • M 2.538 (A) Planung der sicheren Einbindung von Cloud Services
  • M 2.539 (A) Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung
  • M 2.545 (W) Modellierung der Cloud-Nutzung
  • M 4.459 (Z) Einsatz von Verschlüsselung bei Cloud-Nutzung
  • M 4.461 (Z) Portabilität von Cloud Services

Beschaffung

  • M 2.540 (A) Sorgfältige Auswahl eines Cloud-Diensteanbieters

Umsetzung

  • M 2.541 (A) Vertragsgestaltung mit dem Cloud-Diensteanbieter
  • M 2.542 (A) Sichere Migration zu einem Cloud Service

Betrieb

  • M 2.543 (A) Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb
  • M 2.544 (C) Auditierung bei Cloud-Nutzung
  • M 4.460 (Z) Einsatz von Federation Services
  • M 4.462 (W) Einführung in die Cloud-Nutzung

Aussonderung

  • M 2.307 (A) Geordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses

Notfallvorsorge

  • M 6.155 (A) Erstellung eines Notfallkonzeptes für einen Cloud Service
  • M 6.156 (Z) Durchführung eigener Datensicherungen

Hinweis

Mit der 14. Ergänzungslieferung zu den IT-Grundschutz-Katalogen wurde der Baustein 3.405 mit den Sicherheitsanforderungen an Smartphones, Tablets und PDAs (Mobilfunkkommunikation) grundlegend überarbeitet. Auch der Baustein 3.404 zur sicheren Mobiltelefonie wurde einer Aktualisierung unterzogen. Eine Liste aller Änderungen in den IT-Grundschutz-Katalogen lässt hat das BSI ebenfalls bereitgestellt.

Die vorgenommen Änderungen sind aus unserer Sicht sehr zu begrüßen und bieten externen und internen Datenschutzbeauftragten nun die Möglichkeit konkrete und vor allem annerkannte Maßnahmenempfehlungen zu Cloud-Compting zu geben. Die IT-Grundschutz-Kataloge sind auf den Seiten des BSI auch in einer online-Version abrufbar. So lässt sich bequem in den Empfehlungen stöbern.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Auswahl eines Cloud Anbieters nach Aspekten des Datenschutzes
  • Einhaltung gesetzlicher Anforderungen bei Beauftragung internationaler Cloud Anbieter
  • Datenschutzvereinbarungen und Zertifizierungen für Cloud Anbieter

Informieren Sie sich hier über unser Leistungsspektrum: Outsourcing mit Cloud-Diensten

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.