21. März 2016 - Cloud Computing

BSI veröffentlicht Anforderungskatalog für Cloud-Services

Wie findet ein Unternehmen den passenden Cloud-Anbieter? Das Bundesamt für Sicherheit in der Informationstechnik hat dazu einen Leitfaden mit Anforderungen an Cloud-Dienste online gestellt.

BSI gibt Empfehlungen für Cloud-Nutzer und -Anbieter Das BSI hat einen Anforderungskatalog für Nutzer und Betreiber von Cloud-Services veröffentlicht (Bild: AzmanJaka / iStock / Thinkstock)

Informationssicherheit ist eines der maßgeblichen Themen, wenn es um die Auslagerung von Services in die Cloud geht. Mit seiner 94-seitigen Informationsschrift Anforderungskatalog Cloud Computing – Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten will das BSI Unternehmen das nötige Wissen vermitteln, um bei der Wahl eines Cloud-Providers sicherzustellen, dass er das erwünschte Maß an Informationssicherheit gewährleistet.

Standards und mehr

Der Katalog ist in 17 Themenbereiche (z.B. Organisation der Informationssicherheit, physische Sicherheit) unterteilt. Hier bedient sich das BSI bei anerkannten Sicherheitsstandards wie der ISO/IEC 27001, der Cloud Controls Matrix der Cloud Security Alliance sowie bei BSI-Veröffentlichungen und übernimmt deren Anforderungen, wo immer es sich angeboten hat.

Erschien dem BSI eine Konkretisierung notwendig, hat es diese vorgenommen. Existierten keine Anforderungen aus anderen Standards, erstellte das BSI neu. Neben diesen Basis-Anforderungen enthält der Katalog zu vielen Themen auch weitergehende Anforderungen. Sie adressieren entweder besonders die Vertraulichkeit oder die Verfügbarkeit oder beides zugleich.

Schwerpunkte des Anforderungskatalogs

Mit der Veröffentlichung des Anforderungskatalogs zur Beurteilung der Informationssicherheit von Cloud-Diensten will das BSI eine Basislinie für Cloud Security festgelegen.

Eine allgemein anerkannte Richtlinie für Sicherheit im Cloud-Computing existiert laut BSI noch nicht. Zertifizierungen auf Basis der etablierten Standards stünden häufig nur nebeneinander und würden zum Teil mit hohem Aufwand gleichzeitig aufrechterhalten. Daher sei es für Kunden oft schwer zu beurteilen, ob ein Cloud-Dienst die nötige Sicherheit bietet.

Um Unternehmen die Beurteilung zu erleichtern, stellt der Katalog folgende Schwerpunkte heraus:

  • Nachweis der Konformität der Anforderungen durch eine unabhängige Prüfung
  • Rahmenbedingungen des Cloud-Dienstes (Umfeldparameter)
  • Anforderungsbereiche, Zielsetzungen und Anforderungen

Auch für Cloud-Anbieter geeignet

Parallel ist dieser Anforderungskatalog auch für Anbieter von Cloud-Diensten geeignet, die sich um entsprechende Zertifizierungen bemühen möchten. Für sie ist die Referenzierung des Anforderungskatalogs Cloud Computing auf internationale Standards gedacht. Sie gibt einen Überblick dazu, auf welchen Standards die im Katalog enthaltenen Anforderungen basieren und ob die Anforderungen über die Standards hinausgehen oder nicht.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln