Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Eckpunktepapier zum Thema Informationssicherheit beim Cloud Computing vorgelegt und zur Diskussion gestellt. Es legt Mindestsicherheitsanforderungen für Anbieter von Cloud-Lösungen fest. Das BSI lädt Anbieter und Anwender zum Dialog.
Dafür hat das BSI die Betrachtung der Cloud-basierten Verarbeitung von Informationen, deren Vertraulichkeit einen normalen bis hohen Schutz erfordert, in den Vordergrund gestellt – wie etwa firmenvertrauliche Informationen oder schützenswerte personenbezogene Daten. Informationen mit einer höheren Sicherheitseinstufung, wie etwa als Verschlusssache, wurden von der Untersuchung ausgenommen. Die Kategorisierung der Daten im Hinblick auf ihren Schutzbedarf erfolgte nach den Hinweisen des BSI-Standards 100-2. Als Verfügbarkeitsanspruch der angeforderten Dienstleistungen wurde ein normaler bis hoher Bedarf zu Grunde gelegt.
Die genannten Anforderungen werden drei Kategorien zugeordnet:
-
Die Kategorie B (=Basisanforderung) umfasst die Basisanforderungen, die an jeden Cloud-Anbieter gestellt werden.
-
Die Kategorie Vt+ (=Vertraulichkeit hoch) umfasst zusätzliche Anforderungen, die vom Cloud-Anbieter realisiert werden müssen, wenn Daten mit dem Vertraulichkeitsbedarf „hoch“ verarbeitet werden sollen.
-
Die Kategorie Vf+ (=Verfügbarkeit hoch) umfasst zusätzliche Anforderungen, die vom Cloud-Anbieter realisiert werden müssen, wenn Dienstleistungen mit dem Verfügbarkeitsbedarf „hoch“ in Anspruch genommen werden sollen
Die genannten Anforderungen gelten für IaaS, PaaS und SaaS. Aufgrund der hohen Dynamik im Cloud-Umfeld rät das BSI, die Einhaltung der in den einzelnen Kategorien aufgeführten Mindestanforderungen periodisch zu überprüfen. Das Papier listet in 16 Kategorien alle Maßnahmen auf, die nach Einschätzung des BSI auf Seiten der Cloud-Anbieter nötig sind, um eine sichere Informationsverarbeitung zu gewährleisten. Sie reichen von Sicherheits-, Netzwerk- und Rechenzentrums-Management über Monitoring, Portabilität, Incident- und Notfallmanagement bis hin zu Datenschutz/Compliance, Transparenz, Zertifizierung und Zusatzanforderungen an Public-Cloud-Anbieter für die Bundesverwaltung.
"Wir stehen in engem Kontakt zu den Anbietern. Die großen Cloud-Dienstleister sind schon heute in der Lage, praktisch alle im Eckpunktepapier aufgeführten Anforderungen zu erfüllen", sagt Isabel Münch. Sie ist beim BSI als Referatsleiterin IT-Sicherheitsmanagement und -Grundschutz auch für Cloud-Sicherheit zuständig. „Allerdings gehören nicht immer alle Sicherheits-Features zum allgemeinen Standard“, fügt sie hinzu. Denn obwohl im Papier von Mindestanforderungen die Rede ist, ergibt sich in der Gesamtheit ein sehr umfangreicher Katalog.
Umfassende Cloud-Zertifizierungen fehlen noch
„Das Papier ist als Diskussionsgrundlage ausgelegt und in die Zukunft gerichtet. Wir haben alles aufgeführt, was nach unserer Auffassung heute technisch möglich ist.“ Es gebe aber auch Punkte, die weiterer Klärung bedürfen. Als Beispiel nennt die BSI-Referatsleiterin den Bereich Zertifizierung: „Es gibt bisher noch keine umfassenden Cloud-Zertifizierungen, sondern lediglich Zertifikate für Teilbereiche.“ Allerdings arbeite das BSI daran, Cloud-Dienste in den BSI-Grundschutz aufzunehmen und so die Voraussetzung für eine ISO-Zertifizierung zu schaffen. „Auf jeden Fall aber gibt das vorliegende Eckpunktepapier den Cloud-Providern einen umfassenden Kriterienkatalog an die Hand, der herangezogen werden kann, um ihre Cloud Computing Plattformen sicher zu betreiben“, resümiert BSI-Expertin Münch.
Anbieter und Anwender von Cloud-Lösungen, sowie auch andere fachlich Interessierte haben bis zum 3. Januar 2011 die Gelegenheit, den Entwurf des BSI zu den Mindestsicherheitsanforderungen beim Cloud Computing zu diskutieren und zu kommentieren. Dies kann entweder im direkten Dialog mit dem BSI per E-Mail unter cloudsecurity@bsi.bund.de oder im Online-Netzwerk XING geschehen. Dort hat das BSI das Forum "Cloud Security" in der Diskussionsgruppe "IT-Grundschutz" angelegt.
Das Eckpunktepapier ist auf der Webseite des BSI abrufbar.