M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Aus der Strategie zur Cloud-Nutzung (siehe M 2.534 Erstellung einer Cloud-Nutzungs-Strategie) ergeben sich, je nach Detaillierungsgrad, bereits Sicherheitsvorgaben für die Nutzung von Cloud-Diensten. Diese müssen in der Sicherheitsrichtlinie weiter verfeinert werden, sodass darauf ein gewünschter Cloud Service umfassend definiert (siehe hierzu Maßnahme M 2.536 Service-Definition für Cloud-Dienste durch den Anwender) und ein geeigneter Cloud-Diensteanbieter ausgewählt werden kann (siehe Maßnahme M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters).

Grundsätzlich müssen in diesem Zusammenhang möglichst alle Sicherheitsanforderungen betrachtet werden, die sich aus den ermittelten Schnittstellen sowie den organisatorischen, technischen und rechtlichen Rahmenbedingungen ergeben. Neben den Sicherheitsanforderungen an die eingesetzte Technik, einschließlich der benötigten Kommunikationswege und -dienste, ist daher zum Beispiel auch notwendig Datenschutzaspekte sowie Aspekte zur Informationsklassifizierung für alle ausgelagerten Daten zu berücksichtigen. Auch organisatorische Auswirkungen wie beispielsweise notwendige Schulungsmaßnahmen für Administratoren und Benutzer sollten bereits in der Sicherheitsrichtlinie berücksichtigt werden.

Weiterhin sollten insbesondere die nachfolgend beschriebenen Aspekte Eingang in die Sicherheitsrichtlinie für die Cloud-Nutzung finden:

Die Sicherheitsanforderungen an die eigene Institution sind in einem Sicherheitskonzept für die Cloud-Nutzung festzulegen, wie in der Maßnahme M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung beschrieben ist. Der Institution bietet sich hierbei die Möglichkeit, ein eigenes Konzept für jeden spezifischen Nutzungsfall zu erstellen oder sich für ein Gesamtkonzept zu entscheiden, mit dessen Hilfe alle beziehungsweise mehrere Nutzungsfälle abgedeckt werden.

Prüffragen: