computerwoche.de

Telekom

Cloud-Sicherheit

BSI erstellt umfassenden Katalog

09.11.2010
Von 
Holger Eriksdotter ist freier Journalist in Hamburg.
Alle Posts des Autors Email:
Anzeige  Anbieter von Cloud-Computing-Lösungen sollen künftig Mindestsicherheitsanforderungen erfüllen. Dazu hat das BSI jetzt ein Eckpunktepapier vorgelegt und ruft Anwender und Dienstleister zur Diskussion auf.
Das BSI hat die Sicherheitsanforderungen in 16 verschiedenen Kategorien aufgelistet. Das Diagramm zeigt beispielhaft, welche Anforderungen Cloud-Anbieter in punkto "Transparenz" erfüllen sollten.
Das BSI hat die Sicherheitsanforderungen in 16 verschiedenen Kategorien aufgelistet. Das Diagramm zeigt beispielhaft, welche Anforderungen Cloud-Anbieter in punkto "Transparenz" erfüllen sollten.
Foto: BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Eckpunktepapier zum Thema Informationssicherheit beim Cloud Computing vorgelegt und zur Diskussion gestellt. Es legt Mindestsicherheitsanforderungen für Anbieter von Cloud-Lösungen fest. Das BSI lädt Anbieter und Anwender zum Dialog.

Dafür hat das BSI die Betrachtung der Cloud-basierten Verarbeitung von Informationen, deren Vertraulichkeit einen normalen bis hohen Schutz erfordert, in den Vordergrund gestellt – wie etwa firmenvertrauliche Informationen oder schützenswerte personenbezogene Daten. Informationen mit einer höheren Sicherheitseinstufung, wie etwa als Verschlusssache, wurden von der Untersuchung ausgenommen. Die Kategorisierung der Daten im Hinblick auf ihren Schutzbedarf erfolgte nach den Hinweisen des BSI-Standards 100-2. Als Verfügbarkeitsanspruch der angeforderten Dienstleistungen wurde ein normaler bis hoher Bedarf zu Grunde gelegt.

Die genannten Anforderungen werden drei Kategorien zugeordnet:

  • Die Kategorie B (=Basisanforderung) umfasst die Basisanforderungen, die an jeden Cloud-Anbieter gestellt werden.

  • Die Kategorie Vt+ (=Vertraulichkeit hoch) umfasst zusätzliche Anforderungen, die vom Cloud-Anbieter realisiert werden müssen, wenn Daten mit dem Vertraulichkeitsbedarf „hoch“ verarbeitet werden sollen.

  • Die Kategorie Vf+ (=Verfügbarkeit hoch) umfasst zusätzliche Anforderungen, die vom Cloud-Anbieter realisiert werden müssen, wenn Dienstleistungen mit dem Verfügbarkeitsbedarf „hoch“ in Anspruch genommen werden sollen

Die genannten Anforderungen gelten für IaaS, PaaS und SaaS. Aufgrund der hohen Dynamik im Cloud-Umfeld rät das BSI, die Einhaltung der in den einzelnen Kategorien aufgeführten Mindestanforderungen periodisch zu überprüfen. Das Papier listet in 16 Kategorien alle Maßnahmen auf, die nach Einschätzung des BSI auf Seiten der Cloud-Anbieter nötig sind, um eine sichere Informationsverarbeitung zu gewährleisten. Sie reichen von Sicherheits-, Netzwerk- und Rechenzentrums-Management über Monitoring, Portabilität, Incident- und Notfallmanagement bis hin zu Datenschutz/Compliance, Transparenz, Zertifizierung und Zusatzanforderungen an Public-Cloud-Anbieter für die Bundesverwaltung.