Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Eckpunktepapier zum Thema Informationssicherheit beim Cloud Computing vorgelegt und zur Diskussion gestellt. Es legt Mindestsicherheitsanforderungen für Anbieter von Cloud-Lösungen fest. Das BSI lädt Anbieter und Anwender zum Dialog.
Dafür hat das BSI die Betrachtung der Cloud-basierten Verarbeitung von Informationen, deren Vertraulichkeit einen normalen bis hohen Schutz erfordert, in den Vordergrund gestellt – wie etwa firmenvertrauliche Informationen oder schützenswerte personenbezogene Daten. Informationen mit einer höheren Sicherheitseinstufung, wie etwa als Verschlusssache, wurden von der Untersuchung ausgenommen. Die Kategorisierung der Daten im Hinblick auf ihren Schutzbedarf erfolgte nach den Hinweisen des BSI-Standards 100-2. Als Verfügbarkeitsanspruch der angeforderten Dienstleistungen wurde ein normaler bis hoher Bedarf zu Grunde gelegt.
Die genannten Anforderungen werden drei Kategorien zugeordnet:
-
Die Kategorie B (=Basisanforderung) umfasst die Basisanforderungen, die an jeden Cloud-Anbieter gestellt werden.
-
Die Kategorie Vt+ (=Vertraulichkeit hoch) umfasst zusätzliche Anforderungen, die vom Cloud-Anbieter realisiert werden müssen, wenn Daten mit dem Vertraulichkeitsbedarf „hoch“ verarbeitet werden sollen.
-
Die Kategorie Vf+ (=Verfügbarkeit hoch) umfasst zusätzliche Anforderungen, die vom Cloud-Anbieter realisiert werden müssen, wenn Dienstleistungen mit dem Verfügbarkeitsbedarf „hoch“ in Anspruch genommen werden sollen
Die genannten Anforderungen gelten für IaaS, PaaS und SaaS. Aufgrund der hohen Dynamik im Cloud-Umfeld rät das BSI, die Einhaltung der in den einzelnen Kategorien aufgeführten Mindestanforderungen periodisch zu überprüfen. Das Papier listet in 16 Kategorien alle Maßnahmen auf, die nach Einschätzung des BSI auf Seiten der Cloud-Anbieter nötig sind, um eine sichere Informationsverarbeitung zu gewährleisten. Sie reichen von Sicherheits-, Netzwerk- und Rechenzentrums-Management über Monitoring, Portabilität, Incident- und Notfallmanagement bis hin zu Datenschutz/Compliance, Transparenz, Zertifizierung und Zusatzanforderungen an Public-Cloud-Anbieter für die Bundesverwaltung.