"Wir stehen in engem Kontakt zu den Anbietern. Die großen Cloud-Dienstleister sind schon heute in der Lage, praktisch alle im Eckpunktepapier aufgeführten Anforderungen zu erfüllen", sagt Isabel Münch. Sie ist beim BSI als Referatsleiterin IT-Sicherheitsmanagement und -Grundschutz auch für Cloud-Sicherheit zuständig. „Allerdings gehören nicht immer alle Sicherheits-Features zum allgemeinen Standard“, fügt sie hinzu. Denn obwohl im Papier von Mindestanforderungen die Rede ist, ergibt sich in der Gesamtheit ein sehr umfangreicher Katalog.

Umfassende Cloud-Zertifizierungen fehlen noch

„Das Papier ist als Diskussionsgrundlage ausgelegt und in die Zukunft gerichtet. Wir haben alles aufgeführt, was nach unserer Auffassung heute technisch möglich ist.“ Es gebe aber auch Punkte, die weiterer Klärung bedürfen. Als Beispiel nennt die BSI-Referatsleiterin den Bereich Zertifizierung: „Es gibt bisher noch keine umfassenden Cloud-Zertifizierungen, sondern lediglich Zertifikate für Teilbereiche.“ Allerdings arbeite das BSI daran, Cloud-Dienste in den BSI-Grundschutz aufzunehmen und so die Voraussetzung für eine ISO-Zertifizierung zu schaffen. „Auf jeden Fall aber gibt das vorliegende Eckpunktepapier den Cloud-Providern einen umfassenden Kriterienkatalog an die Hand, der herangezogen werden kann, um ihre Cloud Computing Plattformen sicher zu betreiben“, resümiert BSI-Expertin Münch.

Anbieter und Anwender von Cloud-Lösungen, sowie auch andere fachlich Interessierte haben bis zum 3. Januar 2011 die Gelegenheit, den Entwurf des BSI zu den Mindestsicherheitsanforderungen beim Cloud Computing zu diskutieren und zu kommentieren. Dies kann entweder im direkten Dialog mit dem BSI per E-Mail unter cloudsecurity@bsi.bund.de oder im Online-Netzwerk XING geschehen. Dort hat das BSI das Forum "Cloud Security" in der Diskussionsgruppe "IT-Grundschutz" angelegt.

Das Eckpunktepapier ist auf der Webseite des BSI abrufbar.

Quelle: CIO.de