Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

08. Januar 2023

Mindeststandard für externe Cloud-Dienste

BSI veröffentlicht Mindeststandards für externe Cloud-Dienste
Bild: iStock.com / just-super
5,00 (2)
Inhalte in diesem Beitrag
Vorgaben des BSI
Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben höchstes fachliches Niveau. Deshalb sollten Sie den neuen Mindeststandard des BSI zur Nutzung externer Cloud-Dienste unbedingt kennen. Sonst drohen gravierende Versäumnisse.

➧ Das hat sich ereignet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 15.12.2022 eine Neufassung des „Mindeststandard des BSI zur Nutzung externer Cloud-Dienste“ veröffentlicht. Für Bundesbehörden handelt es sich dabei um Vorgaben, die sie verbindlich zu beachten haben. Das ergibt sich aus § 8 Absatz 1 Satz 1 BSI- Gesetz.

➧ Deshalb ist es für alle DSB wichtig

Cloud-Dienste nutzen inzwischen fast alle Unternehmen. Datenschutzbeauftragte (DSB) sollten deshalb die Anforderungen des Mindeststandards thematisieren. Denn der Sache nach sind die Vorgaben des BSI auch in der Privatwirtschaft zwingend.

Private Unternehmen, die Bundesbehörden Cloud-Dienste anbieten wollen, müssen dies auf der Basis des BSI-Mindeststandards tun. Andere Unternehmen der Privatwirtschaft können nur theoretisch geringere Anforderungen zugrunde legen, wenn sie Cloud-Dienste in Anspruch nehmen. Vor allem im Schadensfall wird dies nämlich zu Nachfragen von Aufsichtsgremienführen, beispielsweise von Aufsichtsräten.

➧ Das versteht das BSI-Papier unter „Cloud Computing“

Das Papier definiert den Begriff so: „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen („Cloud-Dienste“) erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der in diesem Rahmen angebotenen Cloud-Dienste umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Anwendungen.“ (Seite 5 des Papiers).

Unter externen Cloud-Diensten versteht das Papier „Cloud-Dienste, die von Anbietern der Wirtschaft außerhalb der öffentlichen Verwaltung des Bundes erbracht werden.“ (Seite 5 des Papiers).

➧ So unterscheidet das Papier bei den Sicherheitsanforderungen

Bei den Sicherheitsanforderungen differenziert das Papier zwischen Planungsphase, Beschaffungsphase, Einsatzphase und Beendigungsphase des Cloud-Dienstes (Seite 8 des Papiers). Jede dieser Phasen ist mit spezifischen Anforderungen verbunden. Beispiele hierfür:

  • Schon in der Planungsphase müssen die erfassten Daten in vier Kategorien einsortiert werden (Seite 8 des Papiers). Kategorie 1 besteht aus strafrechtlich geschützten Daten (etwa medizinische Daten gemäß § 203 Strafgesetzbuch). Kategorie 2 erfasst die personenbezogenen Daten gemäß DSGVO. In Kategorie 3 fallen „Verschlusssachen“. Kategorie 4 deckt alle Daten ab, die in keiner der anderen drei Kategorien fallen.
  • In der Beschaffungsphase ist dafür zu sorgen, dass der Cloud-Diensteanbieter alle Unterauftragnehmer vollständig benennt (Seite 11 des Papiers).
  • In der Einsatzphase ist dafür zu sorgen, dass der Cloud-Diensteanbieter stets allen vertraglichen Informationspflichten nachkommt. Als Beispiel nennt das Papier die Information über den Austausch von Unterauftragnehmern (Seite 13 des Papiers).
  • In der Beendigungsphase ist der Nachweis entscheidend, dass der Cloud-Diensteanbieter vorhandene Daten gelöscht hat (Seite 14 des Papiers).

➧ Das Dokument ist hier abrufbar

Das Dokument in der Version 2.1 vom 15.12.2022 hat einen Umfang von 18 Seiten und ist hier abrufbar: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Externe_Cloud-Dienste/Externe_Cloud-Dienste_node.html.

Auf dieser Seite finden sich auch weitere nützliche Hinweise, insbesondere ein Papier mit dem Titel „Umsetzungshinweise zum Mindeststandard des BSI zur Nutzung externer Cloud-Dienste 2.1“ in der Version 2.1 vom 15.12.2022. Sein Umfang beträgt 30 Seiten.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen und Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON

Kommentar abgeben

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.