Suchen

Richtlinien und Zertifikate für sichere Cloud-Nutzung Welche Cloud-Sicherheits-Checks gibt es?

Der Sicherheit kommt eine entscheidende Bedeutung im Cloud Computing bei, das steht außer Frage. Wie die Cloud-Sicherheit genau aussehen soll, das ist allerdings weniger klar. Dabei fehlt es nicht an Vorgaben und Checks, davon gibt es viele. Wir geben einen Überblick zu wichtigen Cloud-Sicherheits-Checks.

Firmen zum Thema

Cloud-Sicherheit und -Datenschutz sind eigentlich von elementarer Bedeutung für die Nutzung, doch eine einheitliche Datenschutzzertifizierung fehlt bisher.
Cloud-Sicherheit und -Datenschutz sind eigentlich von elementarer Bedeutung für die Nutzung, doch eine einheitliche Datenschutzzertifizierung fehlt bisher.
(Bild: ©Sergey Nivens - stock.adobe.com)

Wer Cloud-Anwendungen nutzt oder damit plant, macht verschiedene Kriterien bei der Auswahl eines Cloud-Dienstleisters zur Voraussetzung. Die Konformität mit der Datenschutz-Grundverordnung ist dabei am wichtigsten, fast alle Unternehmen (96 Prozent) geben dies in dem Cloud-Monitor 2020 von Bitkom und KPMG an. Für 88 Prozent ist eine transparente Sicherheitsarchitektur eine Grundvoraussetzung, mehr als drei Viertel (77 Prozent) bestehen auf die Möglichkeit, Cloud-Daten verschlüsseln zu können. Unternehmen ohne Public-Cloud-Lösungen haben vor allem Sicherheitsbedenken. Sieben von zehn Nichtnutzern (70 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten.

Hier zeigt sich erneut: Cloud-Sicherheit und Cloud-Datenschutz sind von elementarer Bedeutung für die Nutzung und den Erfolg von Cloud Computing. Was aber ist erforderlich, damit eine Cloud sicher genug ist? Wie prüft man die Cloud-Sicherheit? Noch gibt es zum Beispiel keine Datenschutzzertifizierung nach Datenschutz-Grundverordnung (DSGVO), die man als Nachweis eines angemessenen Niveaus der Datensicherheit in einer Cloud heranziehen könnte, wie es in der DSGVO beschrieben ist.

Cloud-Sicherheit überprüfen, aber wie?

Als Entscheider muss man deshalb die Cloud-Sicherheit selbst in den Blick nehmen. Dabei stellt sich die Frage, worauf man dabei achten soll. Von den Datenschutzaufsichtsbehörden zum Beispiel gibt es bereits seit Jahren eine Orientierungshilfe zum Cloud Computing. Darin findet man auch viele Hinweise zur notwendigen Cloud-Sicherheit, die auch in Zeiten der DSGVO noch ihre Berechtigung haben. Zudem verweist die Orientierungshilfe darauf: Die Umsetzung von IT-Sicherheitsmaßnahmen in Cloud-Umgebungen wird in verschiedenen Publikationen behandelt, u.a. in den Bausteinen Cloud-Management und Cloud-Nutzung des BSI und der Norm ISO 27018.

Offensichtlich gibt es eine ganze Reihe von Sicherheitsleitlinien und auch Sicherheitsschecks für die Cloud. An dieser Stelle sei auf einige wichtige Cloud-Sicherheits-Checks verwiesen, die jedoch nicht ohne weiteres als Anforderungen für eine DSGVO-Zertifizierung gesehen werden können, hierzu fehlen insbesondere noch die in der DSGVO vorgesehenen Akkreditierungen der Zertifizierer.

Cloud-Anforderungen und -Leitlinien des BSI

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat mehrere Anforderungskataloge und Leitlinien veröffentlicht, die als Grundlage für einen Cloud-Sicherheitscheck dienen können. In aller Regel werden die Cloud-Nutzer nicht selbst die Prüfungen vornehmen können, aber sie können zum einen die BSI-Anforderungen als Prüfungsleitlinie vereinbaren, zum anderen gibt es auch das C5-Gütesiegel, allerdings nicht zu verwechseln mit einer DSGVO-Zertifizierung:

  • Mindeststandards des BSI zur Nutzung und Mitnutzung externer Cloud-Dienste: Für die Inanspruchnahme von externen Cloud-Diensten hat das BSI mit der Nutzung und Mitnutzung zwei grundsätzliche Anwendungsbereiche identifiziert und für diese zielgerichtete Sicherheitsanforderungen als jeweils eigenständige Mindeststandards veröffentlicht (Mindeststandards nach § 8 Abs. 1 BSIG).
  • Kriterienkatalog Cloud Computing C5: Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden.

Leitlinien der EU-Agentur für Cybersicherheit ENISA und von BaFin

Auch ENISA hat zahlreiche Empfehlungen und Leitlinien für ein sicheres Cloud Computing veröffentlicht, darunter das seit vielen Jahren bestehende Cloud Computing Risk Assessment und das ebenfalls schon seit Jahren verfügbare Cloud Computing Information Assurance Framework.

Für Banken und Zahlungsdienstleister hat die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) ein Merkblatt als Orientierungshilfe zu Auslagerungen an Cloud-Anbieter publiziert. Darin sagt die BaFin zur Datensicherheit:

  • Es sind Regelungen zu vereinbaren, die sicherstellen, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen eingehalten werden.
  • Der Ort der Datenspeicherung soll dem beaufsichtigten Unternehmen bekannt sein. Dies sollte den konkreten Standort der Rechenzentren umfassen. Eine Benennung des Ortes (z.B.Stadt) genügt hierfür grundsätzlich. Sollte ein beaufsichtigtes Unternehmen jedoch aus Erwägungen des Risikomanagements die genaue Anschrift des Rechenzentrums benötigen, sollte der Cloud-Anbieter sie zur Verfügung stellen.
  • Darüber hinaus sollte die Redundanz der Daten und Systeme sichergestellt sein, damit im Falle des Ausfalls eines Rechenzentrums die Aufrechterhaltung der Dienste gewährleistet ist.
  • Die Sicherheit der Daten und Systeme ist auch innerhalb der Auslagerungskette zu gewährleisten.
  • Dem beaufsichtigten Unternehmen muss es jederzeit schnell und uneingeschränkt möglich sein, auf seine beim Cloud-Anbieter gespeicherten Daten zugreifen und diese, soweit erforderlich, rücküberführen zu können. Dabei sollte sichergestellt werden, dass die gewählte Form der Rücküberführung nicht die Verwendung der Daten einschränkt oder unmöglich macht. Daher sollten, wenn möglich, plattformunabhängige Standarddatenformate vereinbart werden. Die Kompatibilität der unterschiedlichen Systeme ist zu berücksichtigen.

Publikationen von CSA (Cloud Security Alliance) und CIS (Center for Internet Security)

Auch von CIS und CSA gibt es umfangreiche Publikationen, die bei einem Cloud-Sicherheits-Check helfen können:

  • Die CSA Cloud Controls Matrix (CCM) ist ein Framework für die Cybersicherheitskontrolle für Cloud Computing, das aus 133 Kontrollzielen besteht, die in 16 Domänen strukturiert sind und alle wichtigen Aspekte der Cloud-Technologie abdecken, so die CSA. Es kann als Werkzeug für die systematische Bewertung einer Cloud-Implementierung verwendet werden und bietet Anleitungen, welche Sicherheitskontrollen von welchem Akteur in der Cloud-Lieferkette implementiert werden sollten. Die Kontrollen im CCM werden auf branchenübliche Sicherheitsstandards, Vorschriften und Kontrollrahmen abgebildet, einschließlich, aber nicht beschränkt auf: ISO 27001/27002/27017/27018, NIST SP 800-53, AICPA TSC, ENISA Information Assurance Framework, Deutsches BSI C5, PCI DSS, ISACA COBIT, NERC CIP und viele andere.
  • Das Ziel der vierten Version der CSA Security Guidance (Sicherheitsrichtlinien für kritische Schwerpunkte im Cloud Computing) besteht darin, sowohl Anleitungen als auch Anregungen zur Unterstützung der Geschäftsziele bereitzustellen und gleichzeitig die mit der Einführung der Cloud-Computing-Technologie verbundenen Risiken zu verwalten und zu mindern.
  • Die CIS Controls bieten ebenfalls umfangreiche Unterstützung bei der Kontrolle der Cloud-Sicherheit. Dazu sagt das CIS: Die CIS-Kontrollen sind international anerkannt dafür, dass sie Expertenwissen über Bedrohungen, Geschäftstechnologie und Verteidigungsoptionen zu einer effektiven, kohärenten und einfacheren Methode zur Verwaltung des Sicherheitsverbesserungsprogramms eines Unternehmens zusammenführen.

Etwas zu viel des Guten?

Es zeigt sich: An Sicherheitschecks und Sicherheitsvorgaben für die Cloud mangelt es nicht, wohl aber an offiziell anerkannten Datenschutzzertifizierungen nach DSGVO, die den Cloud-Nutzern ganz besonders wichtig wären. Mitunter könnten die vielen Vorgaben und Leitlinien sogar dazu führen, dass ein Unternehmen nicht genau sagen kann, wonach es seine Prüfungen ausrichten soll. Zu empfehlen ist es sicherlich für deutsche Cloud-Nutzer, speziell die BSI (und ENISA) Instrumente zu nutzen und auf die weitere Entwicklung bei der DSGVO-Zertifizierung zu achten.

(ID:46958116)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research