Im Kontext der fortschreitenden Digitalisierung setzen viele Unternehmen zunehmend auf Cloud Computing. Bei der Auswahl eines Cloud-Anbieters müssen sich Anwender mangels eigener IT-Expertise oftmals auf etablierte Zertifikate verlassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit dem aktualisierten "Cloud Computing Compliance Criteria Catalogue" (C5-Katalog) eine Grundlage an die Hand, mit der Unternehmen Cloud-Sicherheit besser bemessen können.
Durch diesen Standard sollen Anbieter und Nutzer in die Lage versetzt werden, gängige Compliance-Anforderungen zu erfüllen. Cloud-Anbieter können damit die eigene Cloud-Struktur umsetzen und bewerten während Anwender den Standards nutzen können, um Angebote zu beurteilen und auszuwählen.
C5:2020 - Bündelung gängiger Zertifikate und Richtlinien
Der Kriterienkatalog C5 ist kein von Grund auf neues Werk, vielmehr nutzt und ergänzt er etablierte Prüfschemata sowie Richtlinien und deckt die nachfolgenden Zertifikate ab:
CSA Cloud Controls Matrix 3.01 der Cloud Security Alliance;
AICPA Trust Services Principles and Criteria 2014 des American Institute of Certified Public Accountants;
ANSSI Référentiel Secure Cloud v2.0 (Entwurf) der Agence nationale de la sécurité des systèmes d'information;
IDW ERS FAIT 5 (Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing);
BSI SaaS Sicherheitsprofile.
Der Kriterienkatalog C5 vereint durch die umfassende Abbildung gängiger Zertifikate diverse Mindestanforderungen für ein sicheres Cloud Computing in einem Dokument. Es richtet sich in erster Linie an professionelle Cloud-Anbieter sowie deren Prüfer und Kunden. Für die verschiedenen Anforderungsbereiche, wie beispielsweise Compliance und Datenschutz, werden konkrete Zielsetzungen formuliert und Basisanforderungen festgelegt, um die Ziele umzusetzen.
Wir haben unseren C5-Kriterienkatalog für sicheres #CloudComputing aktualisiert. Die bisherige Erfolgsgeschichte des #C5 zeigt, dass Cyber-Sicherheit 'Made in Germany' weltweit ein integrierter Bestandteil innovativer digitaler Angebote sein kann. https://t.co/eF9S0yD3rx pic.twitter.com/3nqr0ybTml
— BSI (@BSI_Bund) January 21, 2020
So müssen etwa nachvollziehbare und transparente Systembeschreibungen mit bestimmten inhaltlichen Vorgaben vorgehhalten werden. Darin sollte unter anderem festgehalten werden, welche Infrastruktur-, Netzwerk- und Systemkomponenten für Entwicklung und Betrieb des Cloud-Dienstes verwendet werden. Außerdem gilt es, Kontrollen und Maßnahmen sowie Prozesse für einen ordnungsgemäßen Betrieb und für Ausnahmen des Regelbetriebs beispielsweisebei Ausfällen oder Angriffen zu beschreiben. Ebenso muss ersichtlich sein, wie Rollen und Zuständigkeiten konzipiert und verteilt sind. Dabei sollten auch Unterauftragnehmer, die Dienste erbringen oder Hardware liefern, miteingeschlossen werden.
Cloud-Anbieter sollen zudem nachvollziehbare und transparente Angaben machen zu
Gerichtsbarkeit und Ort der Datenspeicherung, -verarbeitung und -sicherung;
Offenbarungs- und Ermittlungsbefugnissen staatlicher Stellen, die Zugriff auf Daten des Cloud-Kunden ermöglicht;
vorhandenen und gültigen Zertifizierungen oder Bescheinigungen unabhängiger Dritter.
Die Gerichtsbarkeit und staatlichen Zugriffsmöglichkeiten zu bestimmen, ist häufig nicht auf den ersten Blick möglich. Relevante Regelungen können nicht nur aus den Verträgen oder AGB zwischen Cloud-Anbieter und Cloud-Nutzer, sondern auch aus dem Vertragsverhältnis zwischen Cloud-Anbieter und dessen Unterauftragnehmern und Lieferanten folgen. Hierüber können weitere vertragliche oder regulatorische Vorgaben, beispielsweise von Aufsichtsbehörden im Datenschutz oder dem Bank- und Finanzbereich, insbesondere aber auch staatliche oder gesetzliche Besonderheiten, wie der CLOUD-Act bei Bezug zu den USA, schnell eine Rolle spielen.
Der Nachweis, dass ein Cloud-Anbieter diese Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, kann durch den Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 beziehungsweise IDW PS 951 erbracht werden.
C5-Testat - das ist neu
Nachdem sich der Kriterienkatalog C5 zum etablierten, vielfach national und international umgesetzten Standard der Cloud-Sicherheit entwickelte, wurde er im Jahr 2019 im Dialog mit Nutzern, Prüfern, Regulatoren und Cloud-Anbietern überarbeitet. Die neue Version wurde am 21. Januar 2020 vorgestellt. Nach C5 gemäß C5:2020 zu testen ist grundsätzlich den Wirtschaftsprüfungsgesellschaften vorbehalten. Die aktuelle Version des C5-Katalogs wurde auf den neuen Stand der Technik gebracht, ebenso wurden auch die Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Act integriert. Im Einzelnen können die Erneuerungen in drei Gruppen unterteilt werden:
Zwei neue Bereiche für Sicherheitskriterien
Der neue Bereich "Produktsicherheit" berücksichtigt die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Act. Anders als die anderen Teile des C5-Katalogs, bezieht er sich darauf, wie Kunden der Cloud-Provider die Dienste verwenden, und nicht auf die Sicherheit der Cloud-Plattform selbst. Der Bereich fordert, dass der Cloud-Anbieter Leitfäden zur sicheren Konfiguration des Dienstes bereitstellt. Ebenso werden Kriterien an das Session-Management formuliert, die unter anderem die Identifikation von Schwachstellen des Cloud-Dienstes, Vertraulichkeit von Authentisierungsinformationen, Rollen- und Rechtekonzepte sowie Autorisierungsmechanismen umfassen.
Darüber hinaus wurde der Bereich "Umgang mit Ermittlungsanfragen staatlicher Stellen" neu geregelt. Mit dem C5:2020 soll geregelt werden, wie mit solchen Anfragen hinsichtlich juristischer Überprüfung, Information der Cloud-Kunden und Begrenzung des Zugriffs auf oder der Offenlegung von Daten (beispielsweise durch Anonymisierung oder Pseudonymisierung, sofern möglich) angemessen umgegangen wird. Insofern müssen C5:2020-zertifizierte Cloud-Provider zwar auch weiterhin staatlichen Ermittlungsanfragen stattgeben und ihre Kunden gegebenenfalls nicht einmal über solche Anfragen informieren. Im Gegenzug sind sie aber dazu verpflichtet, nachzuweisen, dass juristische Beurteilungen kompetent und korrekt erfolgen.
Überarbeitung von Sicherheitskriterien
Die bestehenden Sicherheitskriterien wurden zum Teil grundlegend überarbeitet, um den Standard des Katalogs zu verbessern und aktuelle Entwicklungen in der Technik zu berücksichtigen. Als Beispiel nennt das BSI hier das Thema DevOps. Die Kriterien wurden zudem mit konkreten Hinweisen zur Prüfung im Rahmen von fortlaufenden Auditierungsverfahren versehen.
Eine weitere Neuerung stellt die Aufnahme sogenannter korrespondierender Kriterien dar. Hierüber soll verdeutlicht werden, welche Verantwortung und Pflichten den Cloud-Kunden selbst treffen. An den Schnittstellen von Cloud-Diensten muss auch der Kunde entsprechende Maßnahmen, etwa zur IT-Sicherheit, treffen.
Direkte Prüfung
Zu den bislang im C5:2020 vorgesehenen Prüfungsverfahren kommt die direkte IT-Prüfung. Musste der Cloud-Anbieter bisher vor einer Prüfung eigenständig eine Systembeschreibung erstellen und vorlegen, genügt es nun, wenn der Prüfer eine solche Beschreibung während des Prüfvorganges erstellt. Die Systembeschreibung umfasst dabei eine formale Beschreibung der eigenen Umgebung zusammen mit den ergriffenen Maßnahmen. Empfehlenswert ist die direkte Prüfung insbesondere für Cloud-Anbieter, die die vollständige Beschreibung des dienstleistungsbezogenen internen Kontrollsystems noch nicht abgeschlossen oder ausreichend detailliert dargestellt haben.
Cloud Security - rechtliche Aspekte im Vordergrund
Neben den rein operativen Überarbeitungen lässt sich feststellen, dass rechtliche Aspekte immer weiter in den Vordergrund rücken. Dies folgt aus den immer komplexeren und komplizierteren Voraussetzungen aus diversen Anforderungskatalogen, gesetzlichen Regulierungen und behördlichen Regelungen sowie letztendlich auch vertraglichen Vorgaben.
Am Anfang steht dabei eine solide vertragliche Grundlage sowohl seitens Cloud-Anbietern als auch Anwendern. Diese sollte unter anderem Themen wie Vertragslaufzeit, Kündigung, Haftung sowie die konkrete Leistungsbeschreibung (Service Level Agreements) abdecken. Dies ist stets abhängig von der Kritikalität der zu verarbeitenden Daten sowie den Eigenschaften und Funktionen der zu betreibenden Anwendungen.
Bereits hier müssen sich aber insbesondere Cloud-Anwender im Vorfeld Gedanken über spezifische gesetzliche oder regulatorische Grenzen machen. Ohne fundierte Kenntnis dieser Vorgaben droht der Abschluss von Vertragswerken, die nicht mit diesen Anforderungen übereinstimmen und daher sowohl von Auftraggebern als auch von Aufsichtsbehörden beanstandet werden könnten. Dies kann dazu führen, dass die Inbetriebnahme oder Fortsetzung des Betriebs einer Cloud-Anwendung untersagt wird. Je nach Fortschritt der Planungen und der Umsetzung kann es sehr teuer werden, solche Fehler zu beheben. Dieses Risiko sollte daher bereits im Vorfeld durch eine ausführliche rechtliche Analyse verringert werden.
Auch während des Betriebs von Cloud-Anwendungen muss die sich stetig weiter entwickelnde Rechtslage beobachtet werden. Der Gesetzgeber und die Verwaltung passen ihre Einschätzungen und Anforderungen regelmäßig den technischen Entwicklungen an. Nicht zuletzt sollte auch ein (noch) stärkerer Fokus auf die fortlaufende rechtliche Bewertung von Anfragen der Verwaltung, von Aufsichtsbehörden oder auch Mitarbeitern und Kunden gelegt werden. Neben der im C5:2020 erwähnten Beurteilung von staatlichen Ermittlungsanfragen sind hier insbesondere auch datenschutzrechtliche Themen wie Datenpannen, Anfragen zu Auskunft oder Löschung relevant.
- Frank Kölmel, Palo Alto Networks
"Viele verlassen sich bei der Sicherheit ihrer Daten alleine auf den Provider. Public Cloud-Anbieter wie AWS übernehmen aber natürlich keine Endverantwortung, die liegt immer beim Anwender – doch nur ein Bruchteil der Unternehmen ist sich darüber im Klaren. Unsere Aufgabe besteht darin, das Bewusstsein dafür zu schaffen, Sinn zu vermitteln und nach und nach das nötige Know-How in die Unternehmen zu tragen. Bei dem Begriff „Cloud“ schwingt bei vielen ein Zwiespalt zwischen Produktivität und Sicherheit mit. Diese Fehleinschätzung gilt es zu überwinden, denn sichere und zugleich effiziente Clouds sind möglich." - Jan-Michael Sunkel, Telefonica Deutschland Holding
"In den Köpfen heißt Cloud meistens: Vereinfachung. Die Industrie steht aktuell noch am Anfang einer fundamentalen Entwicklung im Bereich Cloud und IoT. Neue Cloud-Lösungen lassen kontinuierlich neue Geschäftsmodelle und damit aber auch potentielle neue Risiken entstehen. Diese Risiken im Vorfeld nach allen erdenklichen Möglichkeiten zu eliminieren ist eine Herausforderung." - Jürgen Seiter, DXC Technology
"Als Servicedienstleister sehen wir uns oft mit dem Thema Outsourcing konfrontiert. Hier wird die Sicherheit teilweise sehr stiefmütterlich behandelt. Angesichts sich ständig ändernder Schnittstellen steigt die technische Komplexität – und genau hier tun sich viele Kunden schwer. Die Einführung umfassender Sicherheitsrichtlinien für Cloud und On-Premise Umgebungen sowie die Implementierung geeigneter Cloud Sicherheitskontrollen sind hierbei der Schlüssel zum Erfolg." - Kai Dörnemann, genua GmbH
"Der Effizienzgedanke hat sich mittlerweile auch im öffentlichen Sektor durchgesetzt, wo die private Cloud ein großes Wachstum verzeichnet. Die Public Cloud wird dort aber nie eine flächendeckende Alternative sein können. Beim Aufbau einer Infrastruktur ist die Einfachheit immer noch der beste Garant für Sicherheit. Jeder zusätzliche Layer erhöht die Komplexität und damit auch die Wahrscheinlichkeit von Sicherheitslücken." - Lukas Höfer, ConSol
"Es wird oft vergessen, dass laxe Sicherheit nicht erst seit der Cloud besteht. Ein mangelhafter Passwortschutz etwa konnte schon vorher einen immensen Schaden im Unternehmen verursachen. Durch die Cloud wird allerdings die Angriffsfläche noch einmal deutlich größer. In puncto Sicherheitsbewusstsein bestehen nicht nur große Unterschiede zwischen den Unternehmen, sondern sogar zwischen einzelnen Teams innerhalb einer Organisation. Insgesamt gilt hier noch viel zu oft die Devise „Effizienz vor Sicherheit”, obwohl mittlerweile so viele Tools verfügbar sind, die beides angemessen verbinden." - Oliver Lürssen, CGI Deutschland
"Die Erfahrungen von CGI zeigen, dass ein fehlendes Sicherheitskonzept zu einem großen Problem werden kann. Ähnlich wie beim Autofahren ohne Sicherheitsgurt tritt ein Bewusstseinswandel erst ein, wenn etwas passiert ist. Doch es lohnt sich, in Expertenwissen zu investieren. Sicherheit kann Kosten und Aufwände verursachen, aber sie stehen in keiner Relation zu den potenziellen Kosten und Schäden bei einem Cyberangriff." - Sebastian Spann, Microfocus
"Die digitale Transformation erlaubt es Mitarbeitern heute flexibel über unzählige Systeme, Anwendungen und Geräte auf Daten und geistiges Eigentum zugreifen, um Aufgaben zeit- und ortsunabhängig zu erledigen. Die Folge sind Risiken durch zahlreiche Schwachstellen und mögliche Compliance Verstöße. Um die Vielfalt der Cyber-Risiken in Echtzeit bewerten und kontrollieren zu können, sollten Unternehmen einen ganzheitlichen End-to-End Security Ansatz fahren. In großen Unternehmen hat das Thema Security an Wichtigkeit zugenommen und es bereits in den Boardroom geschafft. Kleinere und mittlere Unternehmen müssen hier dringend aufholen, um den Sicherheitsanforderungen bei der Voranschreitenden Digitalisierung Rechnung zu tragen. Viele sehen die Verantwortung alleinig beim Provider, der aber niemals die volle Haftung übernehmen kann. Dementsprechend sollte hier ein Model der „Shared Responsibility“ angestrebt werden, welches durch den Einsatz unserer softwarebasierten Sicherheitslösungen umgesetzt werden kann." - Thomas Neumann, SHE Informationstechnologie
"Durch die Cloud und die rasante technologische Entwicklung wird Security für Unternehmen weniger planbar und zum „Moving Target”. Wo es früher reichte, bestimmte Maßnahmen zu definieren und umzusetzen, ist Sicherheit heute eher eine infrastrukturelle Frage. Dabei gilt: Wer die Security von Anfang an berücksichtigen will, muss sie zum Teil des Entwicklungsprozesses machen. Doch man kann von hochspezialisierten Entwicklern nicht erwarten, dass sie dies von heute auf morgen einfach so „mitdenken”. So etwas funktioniert nur, wenn die richtigen Personen in den DevOps-Prozess integriert werden." - Michael von der Horst, Cisco Systems GmbH
"Die Frage, inwieweit man selbst bei der Nutzung von Cloud-Angeboten für Sicherheit verantwortlich ist hängt sehr vom Einsatz ab. Bei SaaS ist i.w. der Anbieter in der Verantwortung, bis auf Authentizierungs- und Autorisierungsthemen. Bei der Auslagerung von Infrastruktur muss ich diese genauso in der virtuellen Welt schützen, wie ich es einer physischen Data-Center-Welt machen würde. Hinzu kommt noch die Absicherung der Schnittstellen. Am besten verwendet man dazu eine integrierte 360° Sicherheitsarchitektur."
C5-Katalog als Cloud-Compliance-Grundlage
Der C5:2020 bietet eine gute und bewährte Grundlage, die immer komplexer werdenden Sicherheitsanforderungen zu erfüllen, die an das Cloud Computing und der damit verbundenen Compliance gestellt werden. Auch wenn das Verfahren nach dem Kriterienkatalog C5 derzeit nicht nach ISAE 3000 akkreditiert ist und somit Zertifizierungen gemäß Artikel 42 f. DSGVO noch nicht möglich sind, darf die Bedeutung des Katalogs nicht unterschätzt werden. Er umfasst nicht nur gängige Zertifizierungen wie ISO/IEC 27001, sondern wird von vielen Behörden auch als Grundlage für eigene regulatorische Werke, Standards und Maßnahmen herangezogen.
Sowohl Cloud-Anbieter als auch Anwender sollten daher dieses Werk beachten - entweder durch eine unmittelbare Zertifizierung oder aber als Orientierung bei der Umsetzung eigener Prozesse. Dadurch besteht die Chance, die immer stärkere Regulierung und die stetig steigende Relevanz von rechtlichen Aspekten beim Betrieb und der Nutzung von Cloud-Services rechtskonform umzusetzen und entsprechende Compliance-Risiken zu vermindern. (jd/fm)