M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Entscheidet sich eine Institution zur Nutzung von Cloud Services, ist hierfür ein Sicherheitskonzept zu erstellen.

IT-Sicherheitskonzepte für Cloud-Nutzungs-Vorhaben unterscheiden sich dabei in der Regel nur wenig von Sicherheitskonzepten für IT-Systeme, die durch die Institution selbst betrieben werden. Das Sicherheitskonzept sollte möglichst auf der Basis der IT-Grundschutz-Vorgehensweise erstellt werden.

Eine der wenigen Besonderheiten im Zusammenhang mit der Nutzung von Cloud Services stellt die Beteiligung mehrerer Parteien dar. Dies ist auch bei der Erstellung des Sicherheitskonzeptes zu berücksichtigen. In der Regel sind mindestens die nachfolgenden drei Parteien an einem Cloud-Nutzungs-Vorhaben beteiligt:

Grundsätzlich ist die Erstellung eines Sicherheitskonzeptes durch jeden der genannten Beteiligten vorzunehmen. Sofern der Bedarf nach einen Sicherheitskonzept des Netzproviders besteht, sind hierzu in der Regel vorab entsprechende Vereinbarungen mit ihm zu treffen. Die nutzende Institution muss sich das Recht einräumen lassen, das Sicherheitskonzept des Cloud-Diensteanbieters mithilfe eines Audits überprüfen zu können, das ggf. auch durch einen unabhängigen, qualifizierten Dritten erfolgen kann.

Die Erstellung des Sicherheitskonzeptes dient der Dokumentation der notwendigen Sicherheitsmaßnahmen im Zusammenhang mit der Nutzung von Cloud Services. Die Grundlage für diese Dokumentation bilden dabei jene Anforderungen, die sich aus der Erstellung der Sicherheitsrichtlinie zur Cloud-Nutzung (siehe M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung) für einen konkreten Anwendungsfall beziehungsweise einen konkreten Cloud Service ableiten lassen.

Das Sicherheitskonzept für einen Cloud Service sollte sich an den Sicherheitsanforderungen und Sicherheitsmaßnahmen für einen klassischen IT-Service orientieren. Die sich hieraus ergebenen Maßnahmen sollten die Basis für die Betrachtung des Cloud Service darstellen.

Im Sicherheitskonzept für die Cloud-Nutzung sollte zusätzlich die besondere Gefährdungslage durch die Erbringung als Cloud Service beschrieben werden. Hierbei sollten insbesondere folgende Punkte betrachtet werden:

Abgeleitet aus diesen spezifischen Gefährdungen für den konkreten Cloud Service müssen konkrete Sicherheitsmaßnahmen festgelegt werden. Diese sollten in jedem Fall im Rahmen der Vertragsgestaltung mit dem Cloud-Diensteanbieter verbindlich vereinbart werden. Hierbei sollten insbesondere folgende Punkte betrachtet werden:

Prüffragen: