Durch den Einsatz von Cloud-Diensten ergeben sich für Unternehmen mittlerweile zahlreiche Potentiale und Optimierungsmöglichkeiten hinsichtlich der Flexibilität aber auch in Bezug auf Kostenvorteile. Durch vielfältige Einsatzmöglichkeiten vom einfachen Datenaustausch über ein Backup in der Cloud bis hin zu Diensten („Software as a Service“) sind viele Möglichkeiten zur Prozessoptimierung umsetzbar. Ebenso gehören dazu auch Collaboration Tools, um zum Beispiel Projekte mit unterschiedlichen Beteiligten zu organisieren.
Bei der Integration von Cloud-Diensten in der unternehmenseigenen IT-Landschaft müssen die regulatorischen und branchenspezifischen Sicherheitsanforderungen unbedingt berücksichtigt werden, um Risiken und Gefahren beim späteren Einsatz des Dienstes zu vermeiden. An der Stelle kommen die Grundwerte der Informationssicherheit zum Tragen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen zu schützen. Für die Einführung von Cloud-Diensten ist eine entsprechende Cloud Strategie mit definierten und überprüfbaren Zielen von zentraler Bedeutung. Ebenso sind die Informationen, welche in der Cloud verarbeitet werden, hinsichtlich ihrer Sicherheitsanforderungen zu klassifizieren. Hierbei kann zum Beispiel die Methodik zur Schutzbedarfsermittlung des Bundesamt für Sicherheit in der Informationstechnik (BSI) helfen:
Sind diese gundlegenden Informationen vorhanden, kann die Auswahl des Anbieters auf entsprechende Standards gestützt werden. Diese lassen sich in nationale, europäische sowie internationale Standards unterteilen und geben Auskunft, nach welchen Prüfverfahren der Cloudanbieter und einen unabhängigen Dritten überprüft wurde. Gegebenfalls sind in diesem Kontext regulatorische oder auch branchen- oder kundenspezifischen Anforderungen zu beachten.
Eine solche Zertifizierung oder ein solches Label ist ein erstes Indiz für die Erfüllung darin enthaltener allgemeiner Sicherheitsanforderungen an den Dienst. Die unternehmensspezifischen Sicherheitsanforderungen und -maßnahmen sind aber im Rahmen einer weitergehenden Analyse des Dienstes im Einzelfall zu betrachten. Zur Bewertung von Cloud-Diensten hat das BSI eine umfangreiche Liste verschiedenster Sicherheitsmaßnahmen, den Anforderungskatalog Cloud Computing des BSI (C5: Cloud Computing Compliance Controls Catalogue) zusammengestellt. Darin enthalten sind unter anderem Verweise auf gesetzliche Anforderungen und nationale und internationale Standards.
Im Anschluss sind die wichtigsten Normen und Standards genannt, die häufig zur Bewertung von Cloud-Dienstleistern herangezogen werden:
- Deutschland: BSI IT Grundschutz, BSI C5, Trust in Cloud
- Europa: EUCS, EuroCloud Star, Trusted Cloud
- Weltweit: ISO 27001, ISO 27017, ISO 27018, ISAE 3402, SOC 1/2/3
Bei der Bewertung eines Cloud-Dienstleisters sollten Unternehmen auch deren spezifische Sicherheits- und Compliance-Programme, Service-Level-Agreements (SLAs) und die Transparenz in Bezug auf Sicherheitsvorfälle und Datenmanagement berücksichtigen. Um die Informationen gegen interne und externe Bedrohungen zu schützen, sind bei der Bewertung des Cloud-Dienstes aber auch die folgenden Faktoren von zentraler Bedeutung:
- Prüfung der Serverstandorte der Verarbeitung
- Prüfung des Umgang mit Unterauftragnehmern und anderen externen Dritten
- Einbindung in das Datenschutz- und Informationssicherheitsmanagement
- Einrichtung eines Sicherheitskonzeptes für den externen Cloud-Dienst
- Erstellung eines Sicherheitsrichtlinie für die externe Cloud-Nutzung
- Festlegung von Regelungen zur sicheren Administration des Cloud-Dienstes
- Festlegung der Vergabe und Entzug von Berechtigungen
- Festlegung der Verschlüsselung der Informationen
- Einrichtung einer Multi-Faktor-Authentifizierung
- Beschreibung des Notfall- und Kontinuitätsmanagement für die Nutzung des externen Cloud-Dienstes
- Durchführung von Datensicherungen, sowohl durch den Cloud-Diensteanbieter als auch durch das Unternehmen
- Beachtung der eigenen Meldepflicht sicherheitsrelevanter Vorfälle
- Regelungen und Sicherstellung: Datenrückgabe und -löschung bei Beendigung
Mit der Einbindung eines Cloud-Dienstes begibt sich ein Unternehmen bei der Speicherung und Verarbeitung der Informationen in eine meist langfristige Zusammenarbeit mit einem externen Dienstleister. Daher ist die sichere Konfiguration von Cloud-Diensten ein wichtiger Aspekt, um die Integrität, Vertraulichkeit und Verfügbarkeit der Informationen zu gewährleisten.
Die aufgeführten Punkte sind im Rahmen eines ISO 27001 Zertifizierungsverfahrens durch entsprechende Prozesse und Anweisungen im Managementsystem zu regeln. Ergänzend besteht für Unternehmen, welche ihren Kunden Cloud-Dienste anbieten die Möglichkeit, sich einer Zertifizierung nach ISO 27017 zu stellen. Die ISO 27017 ergänzt das übergeordnete Regelwerk der ISO 27001 um Anforderungen für eine Cloud Umgebungen durch zusätzliche Sicherheitsmaßnahmen. Gerne unterstützen wir Sie bei den Vorbereitungen und der Einführung von erforderlichen Prozessen, der Organisationsstruktur für eine Zertifizierung nach ISO 27001 sowie einer Erweiterung nach ISO 27017.