Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit der Wirtschaftsprüfungsgesellschaft PwC am 2. Dezember 2015 einen Kriterienkatalog vorgestellt, anhand dessen das Sicherheitsniveau von Cloud-Anbietern geprüft und transparent gemacht werden kann. Damit folgt das BSI seinem öffentlichen Auftrag, sich um Sicherheitsbelange der Informationsgesellschaft zu kümmern.
Foto: Bitkom
Die zunehmende Zahl Internet-basierter Lösungen und des gerade erst beginnenden Internet of Things (IoT) bringt verschiedene Sicherheitsfragen mit sich – nicht zuletzt auch für öffentliche Einrichtungen als potenzielle Nutzer. Der vorgestellte Kriterienkatalog ist noch als Entwurf gekennzeichnet. Abschließende Anpassungen sollen aber weitestgehend nur noch im Bereich der Ergänzungen erfolgen, also etwa im Zusammenhang mit Erläuterungen und Hilfstexten.
Im Wesentlichen ein Remix
Bereits in den vergangenen Jahren war beim BSI die erfreuliche Tendenz zu erkennen, geeignete internationale Standards in eigene Empfehlungen zu integrieren. So wurden vor allem ISO 27001/27002, CSA Cloud Control Matrix, AICPA Trust Service Principles, IDW ERS FAIT 5 sowie die eigenen Veröffentlichungen zum IT-Grundschutz und zu SaaS- Sicherheitsprofilen für den neuen Kriterienkatalog herangezogen und in einer Referenzierungsmatrix die Gemeinsamkeiten dargestellt.
Mit den Empfehlungswerken der Internationalen Organisation für Normung, der Cloud Security Alliance sowie der deutschen und amerikanischen Berufsorganisation für Wirtschaftsprüfung wurden international anerkannte Regelwerke ausgewählt, die eine breite praktische Akzeptanz aufweisen. Während des Projekts wurden zudem verschiedene thematisch gewichtige Verbände mit Cloud-Bezug, darunter Bitkom, CSA, ISACA und ODCA, um ein Meinungsbild zu den Zwischenergebnissen gebeten.
Das ein Mix aus einem halben Dutzend etablierter Empfehlungskataloge zur IT-Sicherheit alle wesentlichen Sicherheitsbereiche abdeckt, war zu erwarten. Daher stellt sich eher die Frage, welche Neuerungen und Vorteile sich aus der Zusammenstellung des BSI ergeben?
Alle der aufgeführten Empfehlungswerke haben ihre eigene Historie und Sichtweise auf das Thema Cloud-Sicherheit. Der generelle Zielkonflikt solcher Standards besteht darin, auf der einen Seite möglichst alle Facetten und Eventualitäten berücksichtigen und darstellen zu wollen und auf der anderen Seite die spezifische Situation des Anbieters zu berücksichtigen. Ist die Intention des Standards die einer Checkliste, ist die umfassende Darstellung wünschenswert. Für eine verlässliche Prüfung sind hingegen eher klare Prüfkriterien wünschenswert, die möglichst wenig Raum für Interpretation und damit auch für spezifische Situationen bieten.
Dieser Herausforderung musste sich auch das BSI stellen. Da die Behörde mit PwC eine Prüfungsgesellschaft als Projektpartner ausgewählt hat, war es wohl von Beginn an beabsichtigt, einen prüfungsorientierten Standard zu erstellen. Herausgekommen ist ein Kriterienkatalog, der sich in 18 Anforderungsbereiche gliedert und insgesamt 117 Einzelanforderungen auflistet. Um den unterschiedlichen Anbieter- und Anwendungsszenarien gerecht zu werden, wurden einige Einzelanforderungen als optional und für besondere Vertraulichkeits- oder Verfügbarkeitsanforderungen relevant gekennzeichnet.
Weitere Beiträge zum Thema Cloud-Zertifizierung
An den Anfang wurden außerdem vier Umfeldparameter gestellt, in denen die Spezifika der Anwendung in Bezug auf das Verfahren, das rechtliche Umfeld und bestehende Zertifizierungen dargestellt werden sollen. Zudem wurde ein eigener Anforderungsbereich „Dienstleistermanagement“ vorgesehen. Mit diesem Spagat soll trotz Prüfungsanspruch, der Weg für die spezifische Situationsberücksichtigung geebnet werden.
Geplant sind Testate, die sich, vergleichbar mit einer Bilanzprüfung, auf zurückliegende Prüfungszeiträume beziehen werden. Obwohl bestehende Zertifikate berücksichtigt werden können, dürfte mit der Zertifizierung ein signifikanter Validierungsaufwand verbunden sein. Noch ist unklar, wer mit welcher Akkreditierung die als Ergebnis angestrebten Testate wird abnehmen dürfen.
Praxis-Spiegel
Ob diese Differenzierung ausreicht, um die Bandbreiten und Lieferketten des Cloud-Spektrums abzudecken, wird wohl erst die Praxis zeigen. Im Projekt wurden zwar testweise drei Unternehmen erfolgreich validiert, jedoch nur ein mittelständischer Betrieb. Ob diese für den Cloud-Gesamt-Markt wirklich repräsentativ sind, darf zumindest mit Blick auf die aktuellen Entwicklungen angezweifelt werden.
Foto: Bitkom
Beim Cloud Computing geht es um Lieferketten und Dynamik. Schwergewichte wie Amazon, VMWare, Microsoft und IBM bauen Ihre Plattformangebote funktional immer weiter aus und ermöglichen Kleinstunternehmen und Startups, neue Lösungen in immer kürzeren Zyklen zu entwickeln, deren Hauptargument geringe Preise und hohe Flexibilität sind. Parallel dazu beginnen Cloud-Orchestrierungsstandards und Container-Initiativen wie OpenStack, das Open Container Projekt oder die Cloud Native Computing Foundation die architektonischen Möglichkeiten verteilter und dynamischer Verarbeitung auf eine ganz neue Stufe zu stellen.
Der Markt für Internet-gestützte Cloud-Marktplätze wie beispielsweise die Deutsche Börse Cloud Exchange (DBCE), die German Businesscloud oder die Cisco Intercloud steht ebenfalls noch ganz am Anfang, ebenso wie das Internet of Things. Die Komplexität wird zunehmen. Gleichzeitig diskutiert die IT-Branche unter dem Label DevOps, wie Anforderungsveränderungen in kürzester Zeit in die Systeme einfließen können. Die Stabilität von IT-Strukturen wird also gleichzeitig abnehmen. Das in diesem globalen Umfeld die Mehrzahl der Anbieter ein solches auf die Vergangenheit gerichtetes deutsches Testat und die damit verbundenen Aufwände mit Begeisterung aufnimmt, ist kaum zu erwarten. Dennoch sehen vielleicht Einige es als Chance, sich für den deutschen Markt damit abzugrenzen.
Ein weiteres Fragezeichen ergibt sich durch die hohe Dynamik im Zertifizierungsumfeld. Sowohl die ISO steht mit ihrer Cloud-Ergänzungsnorm ISO 27017 kurz vor der Veröffentlichung als auch das Bundesministerium für Wirtschaft und Energie mit dem Trusted Cloud Datenschutzprofil, das ebenfalls als offizieller Prüfstandard angelegt ist. Beide werden im Markt deutliches Gewicht haben, gehörten aber ebenso wie die Kommentare der europäische Sicherheitsbehörde ENISA „Privacy and Data Protection by Design – from Policy to Engineering“ nicht zu den aktuellen Integrationszielen der BSI-Initiative. Zwar strebt das BSI perspektivisch eine enge Abstimmung mit der französischen Behörde ANSSI an, in der Hoffnung aus diesem Nukleus einen europaweiten Cloud-Sicherheitsstandard zu entwickeln. Dennoch ist leider derzeit weder national noch europäisch eine klare Zertifizierungsstrategie für den öffentlichen Bereich mit Bezug auf Clouds erkennbar. Schade.
Hinzu kommt, dass es nicht nur Sicherheitsaspekte sind, für die sich Anwender interessieren. Mit der zunehmenden Vernetzung und Interaktion werden auch Integrationsstandards die Kaufentscheidungen maßgeblich mitentscheiden und sich mit Sicherheitsstandards vermischen.
Das Bessere ist der Feind des Guten
Trotz aller Defizite in Bezug auf die Dynamik und Komplexität der Cloud-Entwicklung darf man am Ende nicht übersehen, dass Anwender nach Verlässlichkeit suchen und sich in Hinblick auf gesetzliche und regulative Compliance gerne an behördlich abgesegneten Standards und Zertifikaten orientieren. Vor allem in Hinblick auf das Sicherheitsniveau unternehmenskritischer Anwendungen bei gleichzeitiger Praktikabilität positioniert sich der BSI-Kriterienkatalog aktuell ganz weit vorne. Ob dies Anbieter und Anwender genauso sehen, wird die Zukunft zeigen. Auch, ob es vielleicht demnächst neue Zertifikate gibt, die der Komplexität der Lieferketten vielleicht noch besser gerecht werden.