Der Präsident des BSI, Michael Hange, schreibt in seinem Vorwort zu der auf der Seite des BSI herunterladbaren 84-seitigen Abhandlung, Cloud Computing habe das Potential, "die Bereitstellung und Nutzung von Informationstechnologie nachhaltig zu verändern." Allerdings müsse gewährleistet sein, dass die IT-Dienstleistungen aus der Wolke auch "zuverlässig genutzt werden können".
Deshalb habe das Bundesamt für Sicherheit in der Informationstechnik im September 2010 einen Austausch zwischen Anbietern entsprechender Lösungen als auch deren Anwendern sowie Sicherheitsexperten angeregt. Sie alle sollten das vom BSI veröffentlichte Eckpunktepapier diskutieren. In diesem formuliert das BSI Mindestanforderungen an die Informationssicherheit beim Cloud Computing.
Sinnvolle Sicherheitsanforderungen
Ziel des BSI sei es gewesen, so der BSI-Präsident, "sinnvolle und angemessene Sicherheitsanforderungen an das Cloud Computing zu entwickeln, die einen Schutz von Informationen, Anwendungen und Systemen gewährleisten.
So wird Cloud Computing sicher
Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.
Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?
Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?
Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?
Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?
Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?
Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?
Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen?
Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?
Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?
Transaktionen im Internet
Liegen Verisign-Zertifikate vor?
Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?
Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?
Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?
Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?
Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?
Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?
Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?
Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?
Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Deutlich im Vordergrund der Überlegungen für das Eckpunktepapier standen die Themen Vertraulichkeit und Verfügbarkeit "als die zu schützenden Grundwerte der Informationssicherheit". Deshalb seien die Sicherheitsempfehlungen an den Themen Vertraulichkeit und Verfügbarkeit aisgerichtet. Eine "dezidierte Betrachtung nach dem Grundwert Integrität" hingegen wurde nicht vorgenommen, schreiben die Autoren.
Was ist überhaupt…?
Das Papier diskutiert zunächst Grundsätzliches. Hierzu gehört etwa die Frage, was unter Cloud Computing überhaupt zu verstehen ist. Dann wird definitorisch abgegrenzt, was eine Public von einer Private Cloud unterscheidet. Schon etwas mehr in die Tiefe geht es bei der Erörterung, welche verschiedenen Servicemodelle in der Wolke angeboten werden. In der öffentlichen Diskussion auch nicht immer klar und deshalb im BSI-Leitfaden unterschieden wird Cloud Computing vom klassischem IT-Outsourcing. Direkt an den Anwender wendet sich die Diskussion, wie der Nutzer die strategische Planung der Cloud-Computing-Services anlegen sollte.
Zentrale Frage Sicherheit
Das gemeinsam von verschiedenen Parteien diskutierte und nun veröffentlichte Positionspapier widmet sich natürlich insbesondere dem Thema Sicherheit in Zeiten des Cloud Computing. Hier skizziert das BSI zunächst das Sicherheitsmanagement bei Anbietern.
Die zehn größten Security-Risiken in der Cloud
Die 10 größten Security-Risiken in der Cloud
Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können.
Verletzung der Vertraulichkeit und Integrität der Daten:
Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten.
Löschung von Daten:
Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist.
Ungenügende Mandantentrennung:
Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können.
Verletzung der Compliance:
Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen.
Verletzung von Datenschutzgesetzen:
Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden.
Insolvenz des Providers:
Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden.
Problematik der Subunternehmer:
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben).
Beschlagnahmung von Hardware:
Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden.
Handel mit Ressourcen wird denkbar:
Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten.
Erpressungsversuche:
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.
Dann dekliniert das Bundesamt die verschiedenen Aspekte der Sicherheitsarchitektur einer Cloud-Computing-Umgebung. Hierzu zählen die Rechenzentrums-, Server-, Netz-, Anwendungs- und Plattform- sowie schließlich die Datensicherheit. Ein eigenes Kapitel widmen die Autoren dem elementar wichtigen Aspekt der Verschlüsselung und dem Schlüsselmanagement.
Cloud Computing aus rechtlicher Sicht
Weiter behandelt der Leitfaden auch administrative und regulative Aspekte des Cloud Computing - Themen, die ebenso wichtig sind wie die Sicherheitsdiskussion. Zu den wesentlichen Gesichtspunkten, die jedes über Cloud-Computing-Strategien nachdenkende Unternehmen berücksichtigen muss, zählen etwa das ID- und Rechtemanagement und Kontrollmöglichkeiten für Nutzer. Wichtig ist auch ein durchdachtes Monitoring- und Security-Incident-Management. Für den Fall der Fälle müssen Unternehmen darüber hinaus Vorsorgemaßnahmen für den Notfall getroffen haben. Welche das idealiter sind, schreibt das BSI.
Anforderungen an das Personal
Diskutiert werden im Weiteren Fragen der Portabilität und Interoperabilität, der Sicherheitsprüfung und deren Nachweis. Auch alles andere als unwichtig ist die Überlegung, welche Anforderungen bei Cloud-Computing-Konzepten an das IT-Personal eines Unternehmens gestellt werden müssen.
Da Cloud Computing per Definition mit Partnern zutun hat, die eng miteinander kooperieren müssen - dem Cloud-Dienstleister und dem Nutzer solcher Services -, kommt der Vertragsgestaltung und in diesem Zusammenhang der Ausformulierung von transparenten Service Level Agreement (SLA) große Bedeutung zu.
Den rechtlichen Aspekten widmet das BSI ebenfalls seine Aufmerksamkeit. Denn wo die Firmendaten liegen, die ein Unternehmen an einen Cloud-Dienstleister abgibt, wer mit ihnen was macht, wie sie in der Wolke abgesichert werden - all das sind nicht nur Fragen, die ein Anwender aus eigenem Interesse geklärt haben muss. Vielmehr zwingt ihn - jedenfalls in Deutschland - auch der Gesetzgeber dazu. Derlei Datenschutz- und Compliance-Anforderungen gilt es nachzukommen. Auch diesbezüglich bietet das BSI Ratschläge. (jm)