Beruflich Dokumente
Kultur Dokumente
Inhaltsverzeichnis
1 Einleitung 11
1.1 Ausgangssituation 11
3.1 Einführung 19
3.3.1 Prüfungsgegenstand 21
3.3.2 Systembeschreibung des Cloud-Anbieters 22
3.3.3 Verwertung von Nachweisen aus anderen Prüfungen 24
3.4.1 Prüfungsziel 24
3.4.2 Berichterstattung des Prüfers 24
3
AnforDerungsKAtAlog ClouD ComputIng (C5) | InHAlt
UP-01 Systembeschreibung 29
UP-04 Zertifizierungen 30
OIS-04 Funktionstrennung 33
5.3 Personal 37
HR-02 Beschäftigungsvereinbarungen 38
4
AnforDerungsKAtAlog ClouD ComputIng (C5) | InHAlt
HR-04 Disziplinarmaßnahmen 38
PS-01 Perimeterschutz 41
5.6 Regelbetrieb 44
5
AnforDerungsKAtAlog ClouD ComputIng (C5) | InHAlt
IDM-02 Benutzerregistrierung 52
IDM-06 Administratorenberechtigungen 53
6
AnforDerungsKAtAlog ClouD ComputIng (C5) | InHAlt
5.9 Kommunikationssicherheit 57
KOS-08 Vertraulichkeitserklärung 59
7
AnforDerungsKAtAlog ClouD ComputIng (C5) | InHAlt
BEI-10 Notfalländerungen 63
BEI-11 Systemlandschaft 63
BEI-12 Funktionstrennung 63
8
AnforDerungsKAtAlog ClouD ComputIng (C5) | InHAlt
BCM-05 Rechenzentrumsversorgung 69
9
1 Einleitung
10
AnforDerungsKAtAlog ClouD ComputIng (C5) | eInleItung
1 Einleitung
11
AnforDerungsKAtAlog ClouD ComputIng (C5) | eInleItung
12
2 Aufbau und Inhalt des
Anforderungskatalogs
13
AnforDerungsKAtAlog ClouD ComputIng (C5) | AufBAu unD InHAlt Des AnforDerungsKAtAlogs
14
AnforDerungsKAtAlog ClouD ComputIng (C5) | AufBAu unD InHAlt Des AnforDerungsKAtAlogs
2.2 Inhaltliche Darstellung der Nomenklatur und Struktur den übrigen Anforde-
Anforderungsbereiche rungen ähnlich. In welchem Rahmen sich diese
Parameter bewegen dürfen, entscheidet dabei der
Vor den einzelnen Anforderungen (Abschnitt 5) Kunde nach seinen eigenen unternehmensinter-
sind in Abschnitt 4 Aspekte in Form von so nen Vorgaben.
genannten Umfeldparametern aufgenommen,
welche die grundsätzlichen Rahmenbedingun- Der Anforderungskatalog selbst gliedert sich in 17
gen für eine Abfrage darstellen. Sie sind in der Anforderungsbereiche (vgl. Tabelle 1).
Anforderungsbereich Zielsetzung
Sicherheitsrichtlinien und Bereitstellen von Richtlinien und Anweisungen bzgl. des Sicherheits-
Arbeitsanweisungen anspruchs und zur Unterstützung der geschäftlichen Anforderungen.
Physische Sicherheit Verhindern von unberechtigtem physischen Zutritt und Schutz vor
Diebstahl, Schaden, Verlust und Ausfall des Betriebs.
15
AnforDerungsKAtAlog ClouD ComputIng (C5) | AufBAu unD InHAlt Des AnforDerungsKAtAlogs
Anforderungsbereich Zielsetzung
Steuerung und Über- Sicherstellen des Schutzes von Informationen auf die Dienstleister
wachung von Dienstleistern bzw. Lieferanten des Cloud-Anbieters (Unterauftragnehmer) zugrei-
und Lieferanten fen können, sowie Überwachung der vereinbarten Leistungen und
Sicherheitsanforderungen.
Sicherheitsprüfung und Überprüfen und Nachhalten, dass die Maßnahmen zur Informations-
-nachweis sicherheit in Übereinstimmung mit den organisationsweiten Richtli-
nien und Anweisungen implementiert und ausgeführt werden.
Compliance und Vermeiden von Verstößen gegen gesetzliche oder vertragliche Ver-
Datenschutz pflichtungen in Bezug auf Informationssicherheit.
Mobile Device Management Gewährleistung der Sicherheit beim Einsatz mobiler Endgeräte im
Verantwortungsbereich des Cloud-Anbieters für den Zugriff auf
IT-Systeme zur Entwicklung und zum Betrieb des Cloud-Dienstes.
16
AnforDerungsKAtAlog ClouD ComputIng (C5) | AufBAu unD InHAlt Des AnforDerungsKAtAlogs
» ISO/IEC 27001:2013
17
3 Nachweis der Konformität
der Anforderungen durch
eine unabhängige Prüfung
18
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
19
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
3.2 Prüfungsstandards und Kriterien (im internationalen Umfeld auch als „written
assertion“ oder „written statement“ bezeichnet)
3.2.1 ISAE 3000 (Revised) als den Ausgangspunkt für seine Prüfung.
Prüfungsstandard
Der Standard unterscheidet Prüfungen mit einer Alle diese Standards beschäftigen sich mit der
hinreichenden Sicherheit („reasonable assurance“) Angemessenheit und Wirksamkeit von internen
von Prüfungen mit einer gewissen Sicherheit Prozessen und Kontrollen, die bei einem Dienst-
(„limited assurance“). Ferner werden sogenannte leister zur Erreichung spezifischer Vorgaben
„attestation engagements“ von sogenannten und Ziele eingesetzt werden. Bei ISAE 3402, IDW
„direct engagements“ unterschieden.7 PS 951 n.F. und AT Section 801 stehen hierbei
Prozesse und Kontrollen im Vordergrund, soweit
Prüfungen zur Umsetzung der Anforderungen diese für die Finanzberichterstattung der Kunden
des hier vorgelegten Anforderungskataloges des Dienstleisters von Bedeutung sind. Im beson-
haben mit einer hinreichenden Sicherheit deren Anwendungsfall von SOC 2 Prüfungen
(„reasonable assurance“) als „attestation engage- gemäß AT Section 101 geht es um den Nachweis
ment“ zu erfolgen. Bei einem „attestation der Umsetzung der AICPA Trust Services Princip-
engagement“ geben die gesetzlichen Vertreter les and Criteria (Sicherheit, Verfügbarkeit, Integri-
des Cloud-Anbieters (z. B. ein Vertreter der tät, Vertraulichkeit und/oder Datenschutz). Diese
Unternehmensleitung des Cloud-Anbieters) Prinzipien und Kriterien wurden im Übrigen auch
respektive zeichnungsberechtigte Repräsentan- bei der Erstellung dieses Anforderungskataloges
ten der für die Erbringung des Cloud-Dienstes berücksichtigt (vgl. Abschnitt 2.3).
verantwortlichen Organisationseinheit (nachfol-
gend „Management des Cloud-Anbieters“) eine Eine sinngemäße Anwendung dieser Prü-
Erklärung über die Angemessenheit und – soweit fungsstandards bedeutet, dass der Prüfung
einschlägig – die Wirksamkeit der zur Abdeckung inhaltlich die einzelnen Anforderungen dieses
der Anforderungen eingerichteten Maßnahmen Anforderungskataloges als Kriterien zugrunde
ab. Gegenüber dem Cloud-Kunden signalisiert gelegt werden und dass die hier genannten
der Cloud-Anbieter hierüber die Verbindlichkeit, Prüfungsstandards zu Einzelfragen betreffend
mit der er der Umsetzung der Anforderungen Prüfungsplanung, Durchführung und Bericht-
nachkommt. Für den Prüfer bildet die Erklärung erstattung genutzt werden. Entsprechend
können auch die in den Abschnitten 3.3 und 3.4
detaillierter dargelegten Anforderungen an die
Prüfung unmittelbar auf diese Prüfungsstandards
7 Vgl. ISAE 3000, Textziffer 12.
20
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
Prüfungskriterien sollen allgemeinen übergeord- Gegenstand der Prüfung sind die zwei Dinge:
neten Anforderungen entsprechen (vgl. sinnge-
mäß z. B. ISAE 3000 (Revised), Textziffer A45 oder » Die Beschreibung des die Cloud-Dienste
IDW PS 951 n.F., Textziffer 50): betreffenden internen Kontrollsystems (Sys-
tembeschreibung) und
» Relevanz: Kriterien müssen für die Beurteilung
der durch den Cloud-Anbieter eingerichteten » die in der Systembeschreibung mit Bezug auf
Grundsätze, Verfahren und Maßnahmen sowie die einzelnen Anforderungen dargestellten
für die Entscheidungsfindung maßgebend sein. Kontrollen auf Basis einer vom Management
des Cloud-Dienstleisters abzugebenden
» Vollständigkeit: Kriterien sind vollständig, Erklärung.
wenn keine für die Beurteilung der durch den
Cloud-Anbieter eingerichteten Grundsätze, Die Verantwortung für die Systembeschreibung
Verfahren und Maßnahmen sowie keine für die und deren Inhalt liegt bei den gesetzlichen
Entscheidungsfindung wesentlichen Gesichts- Vertretern des Anbieters. Die Erklärung des
punkte ausgeklammert wurden. Managements umfasst die Angemessenheit und
in der Regel auch die Wirksamkeit des in der Sys-
» Verlässlichkeit: Kriterien sind verlässlich, wenn tembeschreibung dargestellten die Cloud-Dienste
sie eine konsistente und nachvollziehbare betreffenden internen Kontrollsystems. Hierbei
Beurteilung der durch den Cloud-Anbieter eingeschlossen sind auch die Prozesse und
eingerichteten Grundsätze, Verfahren und Verfahren zur Einrichtung und Durchführung der
Maßnahmen zulassen. dargestellten Kontrollen.
» Neutralität: Kriterien sind neutral, wenn sie Bei einer Prüfung hinsichtlich des Anforderungs-
eine objektive Beurteilung der durch den kataloges werden zwei Typen der Prüfung und
Cloud-Anbieter eingerichteten Grundsätze, Berichterstattung unterschieden, wie dies auch
Verfahren und Maßnahmen sicherstellen. bei ISAE 3402 oder IDW PS 951 n.F. der Fall ist.
21
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
Nach Auffassung des BSI ist eine Prüfung und Die Systembeschreibung der Cloud-Dienste
Berichterstattung vom Typ 2 erforderlich, um wird vom Cloud-Anbieter erstellt. Der Mindest-
eine angemessene Aussagekraft zu erzeugen. umfang der Systembeschreibung ergibt sich in
Berichterstattungen vom Typ I sollten nur in den sinngemäßer Anwendung des ISAE 3402 (oder
oben genannten und zu begründenden Aus- des/der alternativ herangezogenen Standards,
nahmefällen erfolgen und keinesfalls mehrmals vgl. Abschnitt 3.2). Exemplarisch sind die folgen-
hintereinander in Betracht gezogen werden. den Bestandteile zu nennen:
Der Anforderungskatalog unterscheidet Basisan- » Art und Umfang der erbrachten Cloud-Dienste,
forderungen und optionale, weitergehende Anfor-
derungen (vgl. Abschnitt 2.1). » Grundsätze, Verfahren und Maßnahmen zur
Erbringung (Entwicklung und/oder Betrieb) des
» Der Prüfung und Berichterstattung können Cloud-Dienstes, einschließlich der eingerichte-
entweder die Basisanforderungen allein oder ten Kontrollen,
die Basisanforderungen zusammen mit den
weitergehenden Anforderungen zugrunde » Beschreibung der eingesetzten Infrastruktur-,
gelegt werden. Netzwerk- und Systemkomponenten für
Entwicklung und Betrieb des Cloud-Dienstes,
» Die Basisanforderungen (und soweit zutreffend einschließlich der geographischen Lage der
die weitergehenden Anforderungen) müssen Datenverarbeitung und Speicherung,
in jedem Fall vollständig und ohne Auslassun-
gen adressiert werden. Zum Nachweis einer
höheren Vertraulichkeit können weiterfüh-
rende Anforderungen mit entsprechendem
22
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
» Regelung des Umgangs mit bedeutsamen Vor- zusammen mit den Kontrollen beim
kommnissen und Verhältnissen, die Ausnahmen Cloud-Anbieter selbst ebenfalls Gegenstand
vom Regelbetrieb darstellen, wie beispielsweise der Prüfung sind.
der Ausfall von kritischen IT-Systemen,
» Carve-out Methode: Die Systembeschreibung
» Rollen und Zuständigkeiten des Cloud-An- umfasst keine detaillierte Beschreibung der
bieters und des Cloud-Kunden, einschließlich ausgelagerten Funktionen. Die beim Unter-
Mitwirkungspflichten und erforderlicher korre- auftragnehmer angesiedelten Kontrollen sind
spondierender Kontrollen beim Cloud-Kunden, nicht Gegenstand der Prüfung. In diesem Fall
erfolgt zumindest eine Prüfung der Kontrollen
» an Unterauftragnehmer vergebene oder ausge- des Dienstleisters, die der Überwachung der
lagerte Funktionen. Wirksamkeit der Kontrollen beim Unterauftrag-
nehmer dienen (vgl. hierzu auch die Anforde-
Bei der Berichterstattung vom Typ 2 muss die Sys- rungen DLL-01 und DLL-02 im Abschnitt 5). Am
tembeschreibung alle wesentlichen Änderungen unkompliziertesten ist es in diesem Fall, wenn
des die Cloud-Dienste betreffenden internen Kon- der Unterauftragnehmer nach den Vorgaben
trollsystems, die während des Berichtszeitraums aus diesem Dokument geprüft ist (und regel-
vorgenommen wurden, hinreichend detailliert mäßig geprüft wird) und dem Cloud-Anbieter
darstellen. Dies umfasst auch solche Änderungen, einen Prüfbericht über die Wirksamkeit der
die sich aus einer zwischenzeitlich erfolgten ausgelagerten Kontrollen vorlegt, den dieser
Aktualisierung des Anforderungskatalogs ergeben im Rahmen seiner Verfahren zur Steuerung
haben (vgl. Abschnitt 3.5.4). In keinem Fall darf und Überwachung seiner Unterauftragnehmer
die Systembeschreibung Informationen auslassen verarbeitet.
bzw. verzerren, die für den Aufgabenbereich des
die Cloud-Dienste betreffenden internen Kon- Der Cloud-Anbieter hat die anzuwendende
trollsystems relevant sind. Das bedeutet jedoch Methode nach eigenem Ermessen auszuwählen.
nicht, dass sämtliche Aspekte darzustellen sind, Diese Auswahl ist deutlich im Prüfbericht zu
die aus individueller Sicht einzelner auslagern- hinterlegen und dem (potenziellen) Cloud-Kun-
der Unternehmen als wichtig erachtet werden den transparent zu machen. Bei Anwendung der
können. Carve-out Methode wird der Wirtschaftsprüfer
beurteilen, ob der Umfang der Auslagerung in
Zu beachten ist hierbei, dass die Systembeschrei- der Systembeschreibung zutreffend beschrieben
bung in der Regel für eine Vielzahl von ausla- ist (z. B. auf Basis des Vertrags und Prüfberichten
gernden Unternehmen erstellt wird, dass aber die über das dienstleistungsbezogene interne Kon-
Prozesse in Teilen gleichwohl kundenindividuell trollsystem des Unterauftragnehmers) und die
ausgestaltet sein können. Wirksamkeit der ausgelagerten Kontrollen durch
den Cloud-Anbieter gemäß der Anforderung DLL-
Unter Umständen lagert der Cloud-Anbieter 02 überwacht wird.
Teile seiner Geschäftsprozesse zur Entwicklung
und/oder zum Betrieb des Cloud-Dienstes auf Inwiefern Unterauftragnehmer die Anforde-
weitere Dienstleistungsunternehmen aus (Einsatz rungen aus diesem Katalog erfüllen und wie
von Unterauftragnehmern). Dies muss in der die Umfeldparameter beim Unterauftragneh-
Systembeschreibung (und auch im Zuge der mer ausgestaltet sind, ist im Prüfbericht zu
Prüfung) entsprechend berücksichtigt werden. dokumentieren.
Hierfür werden die „Inclusive Methode“ und die
„Carve-out Methode“ unterschieden.
23
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
24
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
25
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
26
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
12 Monaten erfolgen soll, kann es im Verlauf eines seiner Beauftragung ansehen und dies auch mit
Prüfungszeitraums vorkommen, dass sich die dem Anbieter vereinbaren. Dies gilt insbesondere
Beurteilung der Angemessenheit und der Wirk- für den Fall, wenn höherwertige Anforderungen
samkeit sowohl auf den Stand vor, als auch nach durch den Cloud-Anbieter erfüllt werden sollen.
Umsetzung dieser Maßnahmen bezieht.
Ferner sollte der potenzielle Cloud-Kunde seine
Soweit der Prüfungszeitraum in einem Zeitraum Entscheidung nicht nur auf ein vorhandenes,
endet, der zwischen sechs und zwölf Monaten aktuelles Testat (unabhängig, ob es sich lediglich
nach der Veröffentlichung der Aktualisierung des auf die Basisanforderungen oder auch auf höher-
Anforderungskataloges liegt, muss der Cloud-An- wertige bezieht) nach diesem Anforderungskata-
bieter in der Systembeschreibung ergänzende log gründen, sondern sollte sich den Prüfbericht
Angaben auch zu den noch erforderlichen und regelmäßig vorlegen lassen.
noch nicht abgeschlossenen Umsetzungsmaß-
nahmen machen. Hieraus muss auch hervorge-
hen, wann diese Maßnahmen abgeschlossen bzw.
wirksam eingerichtet sein sollen.
27
4 Rahmenbedingungen
des Cloud-Dienstes
(Umfeldparameter)
28
AnforDerungsKAtAlog ClouD ComputIng (C5) | umfelDpArAmeter
» Art und Umfang der erbrachten Cloud-Dienste Der Cloud-Anbieter macht in Dienstgütever-
gemäß der Dienstgütevereinbarung (Service einbarungen (Service Level Agreements), seiner
Level Agreements), die einem Vertrag mit den Verfahrensdokumentation oder vergleichbaren
Cloud-Kunden typischerweise zugrunde liegt, Dokumentationen nachvollziehbare und trans-
parente Angaben zu seiner Gerichtsbarkeit sowie
» Grundsätze, Verfahren und Maßnahmen zur den Lokationen der Daten bei Datenspeicherung,
Erbringung (Entwicklung und/oder Betrieb) des -verarbeitung und -sicherung, die es einem sach-
Cloud-Dienstes, einschließlich der eingerichte- verständigen Dritten erlauben, die grundsätzliche
ten Kontrollen, Eignung des Cloud-Dienstes für die Kundenan-
wendung zu beurteilen. Das betrifft auch die Ver-
» Beschreibung der eingesetzten Infrastruktur-, arbeitung, Speicherung und Sicherung von Daten
Netzwerk- und Systemkomponenten für des Cloud-Kunden durch Unterauftragnehmer
Entwicklung und Betrieb des Cloud-Dienstes, des Cloud-Anbieters. Daten des Cloud-Kunden
werden außerhalb der vertraglich vereinbarten
» Umgang mit bedeutsamen Vorkommnissen Lokationen nur nach ausdrücklicher, schriftlicher
und Verhältnissen, die Ausnahmen vom Regel- Zustimmung des Cloud-Kunden verarbeitet,
betrieb darstellen, wie bspw. der Ausfall von gespeichert und gesichert.
kritischen IT-Systemen,
29
AnforDerungsKAtAlog ClouD ComputIng (C5) | umfelDpArAmeter
UP-04 Zertifizierungen
Basisanforderung
30
5 Zielsetzungen und
Anforderungen
31
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
32
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
näher spezifiziert werden (vgl. SA-01). Die Leitlinie » Beauftragter für die Behandlung von IT-Sicher-
wird von der Unternehmensleitung verabschiedet heitsvorfällen (z. B. CERT-Leiter)
und an alle betroffenen internen und externen
Parteien des Cloud-Anbieters (z. B. Cloud-Kunden, Veränderungen an Verantwortlichkeiten und
Unterauftragnehmer) kommuniziert. Schnittstellen werden intern und extern so zeit-
nah kommuniziert, dass alle betroffenen internen
Ergänzende Informationen zur Basisanforderung und externen Parteien (z. B. Cloud-Kunden) mit
organisatorischen und technischen Maßnahmen
Die hier geforderte Leitlinie ist eine Basisanforde- angemessen darauf reagieren können, bevor die
rung. Weiterführende Richtlinien und Anweisun- Änderung wirksam wird.
gen müssen sich an der Größe und Komplexität
der Organisation des Cloud-Anbieters und der Ergänzende Informationen zur Basisanforderung
Art des angebotenen Cloud-Dienstes orientieren.
Während in der Leitlinie kurz und prägnant die Dokumentationen und Stellenprofile, welche
allgemeinen Sicherheitsziele und eine Strategie die Zuständigkeiten im Rahmen der Informa-
zur Erreichung dieser Ziele formuliert sein tionssicherheit definieren und festlegen sollten
müssen, sind typischerweise keine organisatori- vorliegen. Die Angemessenheit der Zuweisung
schen und technischen Details enthalten. Es hat von Rollen und Verantwortlichkeiten auf eine
sich bewährt diese in weiteren Richtlinien und oder mehrere Personen beim Cloud-Anbieter ist
Anweisungen auf verschiedenen Ebenen näher vor dem Hintergrund der Größe und Komplexität
zu regeln. Auf den unteren Ebenen steigt der seiner Organisation zu beurteilen.
Detaillierungsgrad, während sich die Änderungs-
intervalle verkürzen. Optionale, weitergehende Anforderungen
(Vertraulichkeit)
33
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
34
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
» Geltungsbereiche,
35
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Ergänzende Informationen zur Basisanforderung » Richtlinie zum Umgang mit und Sicherheitsan-
forderungen an Dienstleister und Lieferanten
Die sach- und bedarfsgerechte Kommunikation des Cloud-Anbieters (DLL-01)
und Bereitstellung sind vor dem Hintergrund
der Größe und Komplexität der Organisation des » Sicherstellung des Geschäftsbetriebes und
Cloud-Anbieters und der Art des angebotenen Notfallmanagement (BCM-02)
Cloud-Dienstes zu beurteilen. Mögliche Kriterien
sind: » Sicherheit mobiler Endgeräte (MDM-01)
» Wartung von Infrastruktur und Geräten (PS-05) » die aktuelle und zukünftig erwartete Bedro-
hungsumgebung in Bezug auf Informationssi-
» Datensicherung und Wiederherstellung (RB-06) cherheit sowie
» Identifizieren von und Umgang mit Schwach- Überarbeitete Richtlinien und Anweisungen
stellen (RB-19) werden durch hierzu autorisierten Gremien oder
Stellen des Cloud-Anbieters genehmigt, bevor
» Verwaltung von Zugangs- und Zugriffsberechti- diese Gültigkeit erlangen.
gungen (IDM-01)
Optionale, weitergehende Anforderungen
» Kryptographie und Schlüsselmanagement (Vertraulichkeit und Verfügbarkeit)
(KRY-01)
Die regelmäßige Überprüfung wird durch zent-
» Kommunikationssicherheit (KOS-05) rale Stellen beim Cloud-Anbieter nachgehalten.
36
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
37
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
» die regelmäßige und dokumentierte Unter- Ein Prozess für die Durchführung von Diszip-
weisung hinsichtlich der sicheren Konfigu- linarmaßnahmen ist implementiert und an die
ration und des sicheren Betriebs der für den Mitarbeiter kommuniziert, um die Konsequenzen
38
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
von Verstößen gegen die gültigen Richtlinien und 5.4 Asset Management
Anweisungen, sowie rechtliche Vorgaben und
Gesetze transparent zu machen.
Zielsetzung: Identifizieren der
organisationseigenen Assets und der
Verantwortlichen und gewährleisten
HR-05 Beendigung des Beschäftigungs- eines angemessenen schutzniveaus.
verhältnisses oder Änderungen der
Verantwortlichkeiten
39
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
» Kontext
AM-03 Nutzungsanweisungen für Assets
» Rechtliche Einschränkungen
Basisanforderung
» Vertragliche Einschränkungen
Richtlinien und Anweisungen mit technischen
und organisatorischen Maßnahmen für den » Wert
ordnungsgemäßen Umgang mit Assets sind
gemäß SA-01 dokumentiert, kommuniziert und
der jeweils aktuellsten Version bereitgestellt. AM-06 Kennzeichnung von Informationen
und Handhabung von Assets
40
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Basisanforderung
Zielsetzung: Verhindern von unberechtigtem
Richtlinien und Anweisungen mit technischen physischen Zutritt und schutz vor Diebstahl,
und organisatorischen Maßnahmen für den schaden, Verlust und Ausfall des Betriebs.
sicheren Umgang mit Datenträgern aller Art
sind gemäß SA-01 dokumentiert, kommuniziert
und bereitgestellt. Die Vorgaben stellen einen
Bezug zur Klassifikation von Informationen her PS-01 Perimeterschutz
(vgl. AM-05). Sie umfassen die sichere Verwen-
dung, den sicheren Transport sowie die unwie- Basisanforderung
derbringliche Löschung und Vernichtung von
Datenträgern. Die Begrenzungen von Räumlichkeiten oder
Gebäuden, die sensible oder kritische Informati-
Ergänzende Informationen zur Basisanforderung onen, Informationssysteme oder sonstige Netz-
werkinfrastruktur beherbergen, sind physisch
Richtlinien und Anweisungen sollten folgende solide und durch angemessene Sicherheitsmaß-
Aspekte berücksichtigen: nahmen geschützt, die dem Stand der Technik
entsprechen.
» Sichere und unwiderrufliche Löschung der
Daten und Entsorgung/Vernichtung der Ergänzende Informationen zur Basisanforderung
Datenträger,
Mögliche Sicherheitsmaßnahmen könnten
» Verschlüsselung von Wechseldatenträgern, beispielsweise Zäune, Mauern, Sicherheitsper-
sonal oder Videoüberwachung sein. Bei den
» Übertragung der Daten auf neue Datenträger äußeren Türen und Fenstern sollte einbruch-
bei Austausch eines Mediums. hemmendes Material (z. B. nach DIN EN 1627
Widerstandsklasse RC 2) und entsprechende
Schließvorrichtungen verbaut sein.
AM-08 Überführung und Entfernung
von Assets Optionale, weitergehende Anforderungen
(Vertraulichkeit)
Basisanforderung
Das Sicherheitskonzept beinhaltet die Einrich-
Geräte, Hardware, Software oder Daten dürfen tung von verschiedenen Sicherheitszonen, die
nur nach erfolgter Genehmigung durch autori- durch Sicherheitslinien als überwachte und
sierten Gremien oder Stellen des Cloud-Anbieters gesicherte Übergänge zwischen den Zonen
in externe Räumlichkeiten überführt werden. Die getrennt sind.
Überführung findet auf sicherem Wege statt, ent-
sprechend der Art des zu überführenden Assets.
PS-02 Physische Zutrittskontrolle
Basisanforderung
41
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Die physischen Zutrittskontrollen erfordern eine Es findet eine Überwachung der Umgebungspara-
Zwei-Faktor-Authentifizierung. meter statt. Bei Verlassen des zulässigen Regelbe-
reichs werden Alarmmeldungen generiert und an
die dafür zuständigen Stellen weitergeleitet.
PS-03 Schutz vor Bedrohungen
von außen und aus der Umgebung
PS-04 Schutz vor Unterbrechungen durch
Basisanforderung Stromausfälle und andere derartige Risiken
42
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
plausibilisiert wird. Bei einer Sichtprüfung ist » Analysen der Assets vor der Wiederverwendung
u. a. auf Spuren gewaltsamer Öffnungsversuche um Manipulationen oder Fehlfunktionen zu
an geschlossenen Verteilern, Aktualität der im vermeiden,
Verteiler befindlichen Dokumentation, Über-
einstimmung der tatsächlichen Beschaltung » Erneuerung von Assets, sofern Verfügbarkeit,
und Rangierungen mit der Dokumentation, Sicherheit, Integrität oder Vertraulichkeit
Unversehrtheit der Kurzschlüsse und Erdungen gefährdet sein könnten.
nicht benötigter Leitungen sowie auf unzulässige
Einbauten und Veränderungen zu achten.
Basisanforderung
43
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Die Planung von Kapazitäten und Ressourcen Technische und organisatorische Maßnahmen
(Personal und IT-Ressourcen) folgt einem umfassen typischerweise:
etablierten Verfahren, um mögliche Kapazitäts-
engpässe zu vermeiden. Die Verfahren umfassen » Einsatz von Monitoring Tools mit Alarmie-
Prognosen von zukünftigen Kapazitätsanforde- rungsfunktion beim Überschreiten definierter
rungen, um Nutzungstrends zu identifizieren und Schwellwerte,
Risiken der Systemüberlastung zu beherrschen.
» Prozess zum Korrelieren von Events und
Ergänzende Informationen zur Basisanforderung Schnittstelle zum Incident Management,
44
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Ergänzende Informationen zur Basisanforderung vom Kunden als auch die Cloud-Administration
des Dienstleisters), um diese vor Schadprogram-
Diese Anforderung ergänzt Anforderung UP-02, men zu schützen. Die Aktualisierung erfolgt mit
in der die Lokationen dokumentiert werden der höchsten Frequenz, die der/die Hersteller
sollen. Erbringt ein Cloud-Anbieter seine Dienste vertraglich anbietet/anbieten.
an mehreren Standorten, dann fragt diese Anfor-
derung danach, ob der Cloud-Anbieter genau
festlegen kann, an welchem Standort der Dienst RB-06 Datensicherung und
erbracht und die Daten prozessiert werden. Wiederherstellung – Konzept
Basisanforderung
RB-04 Kapazitätsmanagement –
Steuerung von Ressourcen Richtlinien und Anweisungen mit technischen
und organisatorischen Maßnahmen zum Vermei-
Basisanforderung den von Datenverlusten sind sind gemäß SA-01
dokumentiert, kommuniziert und bereitgestellt.
Der Cloud-Kunde ist bei IaaS/PaaS in der Lage Diese sehen zuverlässige Verfahren für die regel-
die Aufteilung der ihm zur Verwaltung/Nutzung mäßige Sicherung (Backup sowie ggf. Snapshots)
zugeordneten Systemressourcen (z. B. Rechen- und Wiederherstellung von Daten (Restore) vor.
oder Speicherkapazität) zu steuern und zu über- Umfang, Häufigkeit und Dauer der Aufbewahrung
wachen, um eine Überbelegung der Ressourcen entsprechen den vertraglichen Vereinbarungen
zu vermeiden. mit den Cloud-Kunden sowie den geschäftlichen
Anforderungen des Cloud-Anbieters. Der Zugriff
auf die gesicherten Daten ist auf autorisiertes Per-
RB-05 Schutz vor Schadprogrammen sonal beschränkt. Wiederherstellungsprozeduren
beinhalten Kontrollmechanismen die sicherstel-
Basisanforderung len, dass Wiederherstellungen ausschließlich nach
Genehmigung durch hierfür autorisierte Perso-
Die logischen und physischen IT-Systeme, nen gemäß den vertraglichen Vereinbarungen mit
die der Cloud-Anbieter zur Entwicklung- und den Cloud-Kunden oder den internen Richtlinien
Erbringung des Cloud-Dienstes verwendet sowie des Cloud-Anbieters erfolgen.
die Perimeter des Netzwerks, die dem Verantwor-
tungsbereich des Cloud-Anbieters unterliegen, Ergänzende Informationen zur Basisanforderung
sind mit Viren-Schutz- und Reparaturprogram-
men versehen, die eine signatur- und verhal- Bei der Datensicherung ist zwischen Backups und
tensbasierte Erkennung und Entfernung von Snapshots virtueller Maschinen zu unterscheiden.
Schadprogrammen ermöglichen. Die Programme Snapshots ersetzen kein Backup, können jedoch
werden gemäß den vertraglichen Vereinbarungen Teil der Backup-Strategie zum Erreichen des
mit dem/n Hersteller/n, mindestens aber täglich Recovery Point Objectives (RPO) sein, sofern sie
aktualisiert. zusätzlich außerhalb der ursprünglichen Daten-
lokation gespeichert werden. Die geschäftlichen
Optionale, weitergehende Anforderungen Anforderungen des Cloud-Anbieters für Umfang,
(Vertraulichkeit und Verfügbarkeit) Häufigkeit und Dauer der Datensicherung
ergeben sich aus der Business Impact Analyse
Der Cloud-Anbieter erstellt regelmäßige Reports (vgl. Kontrolle BCM-03) für Entwicklungs- und
über die durchgeführten Überprüfungen, welche Betriebsprozesse des Cloud-Dienstes. Soweit
durch autorisierte Stellen oder Gremien überprüft unterschiedliche Datensicherungs- und Wieder-
und analysiert werden. Richtlinien und Anwei- herstellungsverfahren für Daten unter Verantwor-
sungen beschreiben die technischen Maßnahmen tung des Cloud-Kunden und des Cloud-Anbieter
zur sicheren Konfiguration und Überwachung bestehen, sind beide Varianten in eine Prüfung
der Managementkonsole (sowohl des Self-Service nach diesem Anforderungskatalog einzubeziehen.
45
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Für Verfahren zur Sicherung der Daten des werden kann. Die Tests werden durch qualifizierte
Cloud-Anbieters ist nur die Angemessenheit und Mitarbeiter durchgeführt und die Ergebnisse
Implementierung der Kontrollen nachzuweisen, nachvollziehbar dokumentiert. Auftretende
nicht aber deren Wirksamkeit. Für Verfahren Fehler werden zeitnah behoben.
zur Sicherung der Daten der Cloud-Kunden hat
darüber hinaus auch eine Nachweisführung über Optionale, weitergehende Anforderungen
die Wirksamkeit zu erfolgen. (Verfügbarkeit)
46
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Sicherheit und Verfügbarkeit des Cloud-Dienstes nicht mehr erforderlich sind. Der Zeitraum, in
beeinträchtigen können, einschließlich einer dem Metadaten gespeichert werden, ist vom
Protokollierung des Aktivierens, Stoppens und Cloud-Anbieter festgelegt. Er steht im angemes-
Pausierens der verschiedenen Protokollierungen. senen Zusammenhang mit den Zwecken, die mit
Die Protokolle werden bei unerwarteten oder auf- der Sammlung der Metadaten verfolgt werden.
fälligen Ereignissen durch autorisiertes Personal
anlassbezogen überprüft, um eine zeitnahe Unter- Ergänzende Informationen zur Basisanforderung
suchung von Störungen und Sicherheitsvorfällen
sowie das Einleiten geeigneter Maßnahmen zu Metadaten sind alle Daten, die beim Cloud-Anbie-
ermöglichen. ter durch die Nutzung seines Dienstes durch den
Cloud-Kunden anfallen und keine Inhaltsdaten
Ergänzende Informationen zur Basisanforderung sind. Dazu gehören u. a. Anmelde/Abmelde-Zei-
ten, IP-Adressen, GPS-Position des Kunden, wel-
Sicherheitsrelevante Ereignisse sind u. a. che Ressourcen (Netz, Storage, Computer) genutzt
wurden, auf welche Daten wann zugegriffen
» An- und Abmeldevorgänge wurde, mit wem Daten geteilt wurden, mit wem
kommuniziert wurde etc. Diese Daten werden
» Erstellung, Änderung oder Löschung von zum Teil für Abrechnungszwecke und für das
Benutzern und Erweiterung der Berechtigungen (Security) Incident Management verwendet. Sie
sind darüber hinaus aber auch geeignet, Kunden-
» Verwendung, Erweiterung und Änderungen von verhalten und (je nach Cloud-Dienst) ein Großteil
privilegierten Zugriffsberechtigungen von Entscheidungs- und Arbeitsprozessen für den
Cloud-Anbieter transparent zu machen. Mit der
» Nutzung von temporären Berechtigungen Anforderung soll die Sammlung und Nutzung
der Metadaten transparent und klar eingegrenzt
Da es sich bei den protokollierten Daten i. d. R. um werden.
personenbezogene Daten handelt, sind in dem
Fall datenschutzrechtliche Anforderungen an die
Aufbewahrung zu beachten und zu überprüfen. RB-12 Protokollierung und
Erfahrungsgemäß sollte eine Frist von einem Jahr Überwachung – Kritische Assets
nicht überschritten werden.
Basisanforderung
RB-11 Protokollierung und Der Cloud-Anbieter führt eine Liste aller proto-
Überwachung – Metadaten kollierungs- und überwachungskritischen Assets
und überprüft diese Liste regelmäßig auf deren
Basisanforderung Aktualität und Korrektheit. Für diese kritischen
Assets wurden erweiterte Protokollierungs- und
Richtlinien und Anweisungen mit technischen Überwachungsmaßnahmen definiert.
und organisatorischen Maßnahmen zur sicheren
Handhabung von Metadaten (Nutzungsdaten)
sind gemäß SA-01 dokumentiert, kommuniziert RB-13 Protokollierung und Überwachung –
und bereitgestellt. Die Sammlung und Benutzung Aufbewahrung der Protokolle
von Metadaten erfolgt ausschließlich für Abrech-
nungszwecke, zum Beheben von Störungen und Basisanforderung
Fehlern (Incident Management) sowie zum Bear-
beiten von Sicherheitsvorfällen (Security Incident Die erstellten Protokolle werden auf zentralen
Management). Eine kommerzielle Nutzung der Protokollierungsservern aufbewahrt, wo sie vor
Metadaten findet nicht statt. Metadaten sind unautorisierten Zugriffen und Veränderungen
unverzüglich zu löschen, wenn sie zur Erreichung geschützt sind. Protokolldaten sind unverzüglich
des, gemäß dieser Anforderung legitimen, Zwecks zu löschen, wenn sie zur Erreichung des Zwecks
47
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
» Quelle & Ziel (z. B. Identität oder Name der Optionale, weitergehende Anforderungen
betroffenen Daten, Systemkomponenten oder (Vertraulichkeit und Verfügbarkeit)
Ressourcen)
Die Protokollierungs- und Überwachungssoft-
» durchgeführte Aktivitäten ware ist redundant vorhanden, um auch bei
Ausfällen die Sicherheit und Verfügbarkeit der
» Angaben über Erfolg oder Fehlschlag des Kunden-Systeme zu überwachen.
Zugriffs
48
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Basisanforderung
RB-19 Umgang mit Schwachstellen,
Der Cloud-Anbieter lässt mindestens jährlich Störungen und Fehlern – Integration mit
Penetrationstests durch qualifiziertes internes Änderungs- und Incident Management
Personal oder externe Dienstleister durchfüh-
ren. Die Penetrationstests erfolgen nach einer Basisanforderung
dokumentierten Testmethodik und umfassen die
für den sicheren Betrieb des Cloud-Dienstes als Richtlinien und Anweisungen mit technischen
kritisch definierten Infrastruktur-Komponenten, und organisatorischen Maßnahmen für den
die im Rahmen einer Risiko-Analyse als solche Umgang mit kritischen Schwachstellen sind
identifiziert wurden. Art, Umfang Zeitpunkt/Zeit- gemäß SA-01 dokumentiert, kommuniziert und
raum und Ergebnisse werden für einen sachver- bereitgestellt. Die Maßnahmen sind mit den
ständigen Dritten nachvollziehbar dokumentiert. Aktivitäten des Änderungsverfahrens (Change
Feststellungen aus den Penetrationstests werden Management) und der Störungs- und Fehlerbehe-
bewertet und bei mittlerer oder hoher Kritikalität bung (Incident Management) abgestimmt.
in Bezug auf die Vertraulichkeit, Integrität oder
Verfügbarkeit des Cloud-Dienstes nachverfolgt
und behoben. Die Einschätzung der Kritikalität
und der mitigierenden Maßnahmen zu den
einzelnen Feststellungen werden dokumentiert.
49
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Die IT-Systeme, welche der Cloud-Anbieter für die Auf Nachfrage sind die verwendeten Standards
Entwicklung und Erbringung des Cloud-Diens- und die Maßnahmen zur Härtung der System-
tes verwendet, werden mindestens monatlich komponenten dem Cloud-Kunden mitzuteilen.
automatisiert auf bekannte Schwachstellen
(Vulnerabilities) geprüft. Im Falle von Abwei-
chungen zu den erwarteten Konfigurationen (u. a. RB-23 Segregation der gespeicherten
dem erwarteten Patch-Level) werden die Gründe und verarbeiteten Daten der Cloud-Kunden
hierzu zeitnah analysiert und die Abweichungen in gemeinsam genutzten Ressourcen
behoben oder gemäß des Ausnahme-Prozesses
dokumentiert (vgl. SA-03). Basisanforderung
Ergänzende Informationen zur Basisanforderung Daten sind auf gemeinsam genutzten virtuellen
und physischen Ressourcen (Speichernetz,
Im Gegensatz zu Penetrationstests (vgl. RB-18), die Arbeitsspeicher) gemäß eines dokumentierten
manuell und nach einem individuellem Schema Konzepts sicher und strikt separiert, um die
ablaufen, erfolgt die Prüfung auf offene Schwach- Vertraulichkeit und Integrität der gespeicherten
stellen automatisiert, unter Verwendung sog. und verarbeiteten Daten zu gewährleisten.
Vulnerability Management Werkzeuge.
Ergänzende Informationen zur Basisanforderung
50
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
51
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
52
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
53
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Die Genehmigung kann auch nachträglich » Mindestens zwei der folgenden Zeichentypen
erfolgen, soweit dies begründet wird. müssen enthalten sein: Großbuchstaben, Klein-
buchstaben, Sonderzeichen und Zahlen,
Optionale, weitergehende Anforderungen
(Vertraulichkeit) » Maximale Gültigkeit von 90 Tagen, minimale
Gültigkeit von 1 Tag,
Mindestens monatlich wird ein manueller
Abgleich zwischen den erfolgten Freischaltungen » Passworthistorie von 6,
der Notfallbenutzer und den entsprechenden
Genehmigungen durchgeführt. Auffälligkeiten » Übertragung und Speicherung der Passwörter
werden untersucht, um Missbrauch dieser in einem verschlüsselten Verfahren, das dem
Benutzer festzustellen und zukünftig zu verhin- aktuellen Stand der Technik entspricht.
dern. Die Aktivitäten der Notfallbenutzer werden
revisionssicher protokolliert. Die Protokollierung Ergänzende Informationen zur Basisanforderung
ist hinreichend detailliert, um es einem sachver-
ständigen Dritten zu ermöglichen die Aktivitäten Sicherheitsparameter umfassen z. B. die Verwen-
nachzuvollziehen. dung sicherer Anmeldeverfahren (vgl. IDM-08),
Sperre nach fehlgeschlagenen Anmeldungen,
keine Mehrfachanmeldungen mit dem gleichen
IDM-10 Systemseitige Zugriffskontrolle Benutzer, automatische Abmeldung/Sperre nach
Inaktivität).
Basisanforderung
Optionale, weitergehende Anforderungen
Der Zugriff auf Informationen und Anwen- (Vertraulichkeit)
dungs-Funktionen wird durch technische Maß-
nahmen eingeschränkt, mit denen das Rollen- Automatische Kontrollen sind implementiert, die
und Rechtekonzept umgesetzt wird. sich an den folgenden Regelungen orientieren:
54
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
» nach 90 Tagen wird der Passwortwechsel bei der 5.8 Kryptographie und
nächsten Anmeldung erzwungen, Schlüsselmanagement
Basisanforderung
Die Verwendung von Dienstprogrammen und KRY-01 Richtlinie zur Nutzung von
Managementkonsolen (z. B. zur Verwaltung Verschlüsselungsverfahren und Schlüssel-
des Hypervisors oder virtuellen Maschinen), verwaltung
die weitreichenden Zugriff auf die Daten der
Cloud-Kunden ermöglichen, ist auf autorisierte Basisanforderung
Personen beschränkt. Vergabe und Änderung
entsprechender Zugriffsberechtigungen erfol- Richtlinien und Anweisungen mit technischen
gen gemäß der Richtlinie zur Verwaltung von und organisatorischen Maßnahmen für Ver-
Zugangs- und Zugriffsberechtigungen. Der Zugriff schlüsselungsverfahren und Schlüsselverwaltung
wird durch starke Authentifizierungstechniken, sind gemäß SA-01 dokumentiert, kommuniziert
einschließlich Multi-Faktor-Authentifizierung und bereitgestellt, in denen die folgenden Aspekte
gesteuert (vgl. KOS-06). beschrieben sind:
Der Zugriff auf den Quellcode und ergänzende » risikobasierte Vorschriften für den Einsatz von
für die Entwicklung des Cloud-Dienstes relevante Verschlüsselung die mit Schemata zur Infor-
Informationen (z. B. Architektur-Dokumentation, mationsklassifikation abgeglichen sind und den
Testpläne) sind restriktiv vergeben und werden Kommunikationskanal, Art, Stärke und Qualität
überwacht, um die Einführung von nicht autori- der Verschlüsselung berücksichtigen,
sierten Funktionen oder das Durchführen unbe-
absichtigter Änderungen zu vermeiden. » Anforderungen für das sichere Erzeugen,
Speichern, Archivieren, Abrufen, Verteilen,
Entziehen und Löschen der Schlüssel,
55
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
» BSI TR-02102-2 „Kryptographische Verfahren: Soweit Daten mit einem höheren Schutzbedarf
Verwendung von Transport Layer Security übertragen werden, ist auch innerhalb der
(TLS)“ Infrastruktur des Cloud-Anbieters eine starke
Verschlüsselung zu implementieren.
» BSI TR-02102-3 „Kryptographische Verfahren:
Verwendung von Internet Protocol Security
(IPSec) und Internet Key Exchange (IKEv2)“ KRY-03 Verschlüsselung von
sensiblen Daten bei der Speicherung
» BSI TR-02102-4 „Kryptographische Verfahren:
Verwendung von Secure Shell (SSH)“ Basisanforderung
56
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
» Umgang mit kompromittierten Schlüssel, Basierend auf den Ergebnissen einer gemäß
OIS-06 durchgeführten Risiko-Analyse, hat der
» Entzug und Löschen von Schlüsseln, beispiels- Cloud-Anbieter technische Schutzmaßnahmen
weise im Falle von Kompromittierung oder implementiert, die geeignet sind, um netzwerkba-
Mitarbeiterveränderungen, sierte Angriffe auf Basis anomaler Eingangs- oder
Ausgangs-Traffic-Muster (z. B. durch MAC-Spoo-
» Speicherung der Schlüssel der Cloud-Nut- fing und ARP-Poisoning-Angriffe) und/oder
zer nicht beim Cloud-Anbieter (d. h. beim Distributed-Denial-of-Service (DDoS) Angriffe
Cloud-Nutzer oder einem vertrauenswürdigen zeitnah zu erkennen und darauf zu reagieren.
Dritten).
Optionale, weitergehende Anforderungen
(Vertraulichkeit und Verfügbarkeit)
57
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
wird die geschäftliche Rechtfertigung für die KOS-05 Segregation des Datenverkehrs in
Verwendung aller Dienste, Protokolle und Ports gemeinsam genutzten Netzwerkumgebungen
überprüft. Darüber hinaus umfasst die Überprü-
fung auch die Begründungen für kompensierende Basisanforderung
Kontrollen für die Verwendung von Protokollen,
die als unsicher angesehen werden. Der Datenverkehr in gemeinsam genutzten Netz-
werkumgebungen wird gemäß eines dokumen-
tierten Konzepts zur logischen Segmentierung
KOS-03 Netzwerkübergreifende Zugriffe zwischen den Cloud-Kunden auf Netzwerkebene
segregiert, um die Vertraulichkeit und Integrität
Basisanforderung der übertragenen Daten zu gewährleisten.
Es existieren gesonderte Netzwerke zur administ- » bei der Übertragung und clientseitigen Speiche-
rativen Verwaltung der Infrastruktur und für den rung ausreichend geschützt sein,
Betrieb von Managementkonsolen, die logisch
oder physisch vom Netzwerk der Cloud-Kunden » eine begrenzte Gültigkeit (Timeout) haben, die
getrennt und durch Multi-Faktor-Authentifi- gemessen an den Anforderungen zur Nutzung
zierung vor unberechtigten Zugriffen geschützt der Webanwendung möglichst kurz ist,
sind (vgl. IDM-08). Netzwerke, die zum Zwecke
der Migration oder dem erzeugen von virtuellen » nach erfolgreicher Authentisierung oder
Maschinen dienen sind ebenfalls physisch oder Wechsel von einem ungesicherten Kommu-
logisch von anderen Netzwerken zu separieren. nikationskanal (HTTP) auf einen gesicherten
Kommunikationskanal (HTTPS) gewechselt
werden.
58
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
59
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Basisanforderung
PI-05 Sichere Datenlöschung
Um die Interoperabilität von Cloud-Diensten zu
gewährleisten, stehen Daten über dokumentierte Basisanforderung
Eingangs- und Ausgangs-Schnittstellen und in
anerkannten Industriestandards (z. B. das Open Sowohl beim Wechsel der Speichermedien zu
Virtualization Format für Virtual Appliances) zur Wartungszwecken als auch bei auf Verlangen des
Verfügung, um die Kommunikation zwischen Cloud-Kunden oder Beendigung des Vertragsver-
verschiedenen Komponenten und die Migration hältnisses erfolgt eine vollständige Löschung der
von Applikationen zu unterstützten. Inhaltsdaten des Cloud-Kunden, einschließlich
der Datensicherungen und der Metadaten (sobald
diese für die ordnungsgemäße Dokumentation
PI-02 Export von Daten der Abrechnung nicht mehr benötigt werden).
Die hierzu eingesetzten Methoden (z. B. durch
Basisanforderung mehrfaches Überschreiben der Daten, löschen des
Schlüssels) verhindern eine Wiederherstellung
Bei Vertragsende kann der Cloud-Kunde die mit forensischen Mitteln.
Daten, die ihm gemäß der vertraglichen Rahmen-
bedingungen zustehen, bei dem Cloud-Anbieter Ergänzende Informationen zur Basisanforderung
anfragen und erhält diese in weiterverarbeitbaren
elektronischen Standardformaten wie z. B. CSV Das Löschen von Metadaten und Protokolldateien
oder XML. ist Gegenstand der Anforderungen RB-11 und
RB-13.
Basisanforderung
60
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
61
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
62
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
BEI-10 Notfalländerungen
Basisanforderung
BEI-11 Systemlandschaft
Basisanforderung
63
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
64
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
65
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
66
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Basisanforderung
Basisanforderung
67
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
» Identifizierung kritischer Produkte und » definierter Zweck und Umfang unter Beachtung
Dienstleistungen, der relevanten Abhängigkeiten,
» Feststellung zeitlicher Zielvorgaben zur Wie- » Methoden zur Inkraftsetzung der Pläne,
deraufnahme kritischer Produkte und Dienst-
leistungen innerhalb des maximal vertretbaren » kontinuierlicher Verbesserungsprozess der
Zeitraums (RTO), Pläne,
BCM-03 Planung der Betriebskontinuität Die Business Impact Analyse sowie die Pläne zur
betrieblichen Kontinuität und Notfallpläne wer-
Basisanforderung den regelmäßig (mindestens jährlich) oder nach
wesentlichen organisatorischen oder umgebungs-
Basierend auf der Business Impact Analyse wird bedingten Veränderungen überprüft, aktualisiert
ein einheitliches Rahmenwerk zur Planung der und getestet. Tests beziehen betroffene Kunden
betrieblichen Kontinuität und des Geschäftsplans (Tenants) und relevante Dritte (z. B. kritische Lie-
eingeführt, dokumentiert und angewendet, um feranten) mit ein. Die Tests werden dokumentiert
sicherzustellen, dass alle Pläne (z. B. der verschie- und Ergebnisse werden für zukünftige Maßnah-
denen Standorte des Cloud-Anbieters) konsistent men der betriebliche Kontinuität berücksichtigt.
sind. Die Planung richtet sich nach etablierten
Standards, was in einem „Statement of Applicabi- Ergänzende Informationen zur Basisanforderung
lity“ nachvollziehbar festgeschrieben ist.
Tests finden in erster Linie auf operativer Ebene
Pläne zur betrieblichen Kontinuität und Notfall- statt und richten sich an operative Zielgruppen.
pläne berücksichtigen dabei folgende Aspekte: Dazu gehören z. B.:
68
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
» Test der technischen Vorsorgemaßnahmen vermuteter oder festgestellter Mängel werden für
den Zeitraum der zuvor vertraglich vereinbarter
» Funktionstests Frist aufbewahrt. Nach dieser Frist werden die
Wartungsprotokolle ordnungsgemäß und dauer-
» Plan-Review haft vernichtet.
» Stabsrahmenübung
BCM-05 Rechenzentrumsversorgung
Basisanforderung
69
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
70
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
71
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
Auf Anfrage der Cloud-Kunden stellt der Zielsetzung: gewährleistung der sicherheit
Cloud-Anbieter Informationen über die Ergeb- beim einsatz mobiler endgeräte im
nisse, Auswirkungen und Risiken dieser Prüfun- Verantwortungsbereich des Cloud-Anbieters
gen und Beurteilungen in angemessener Form zur für den Zugriff auf It-systeme zur entwicklung
Verfügung. Falls notwendig, können außerplan- und zum Betrieb des Cloud-Dienstes.
mäßige Überprüfungen durch unabhängige Dritte
durchgeführt werden.
Basisanforderung
» verstärkter Zugriffsschutz,
72
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
73
Impressum
Herausgeber
Bundesamt für Sicherheit in der Informationstechnik – BSI
Godesberger Allee 185–189
53175 Bonn
E-Mail: cloudsecurity@bsi.bund.de
Internet: www.bsi.bund.de/C5
Bezugsquelle
Bundesamt für Sicherheit in der Informationstechnik – BSI
Godesberger Allee 185–189
53175 Bonn
Telefon: +49 (0) 22899 9582-0
Telefax: +49 (0) 22899 9582-5400
Stand
September 2017
Druck
Druck- und Verlagshaus Zarbock GmbH & Co. KG
Sontraer Straße 6
63086 Frankfurt am Main
Internet: www.zarbock.de
Bildnachweis
Titelbild: Fotolia
Artikelnummer
BSI-Cloud17/202
Diese Broschüre ist Teil der Öffentlichkeitsarbeit des BSI; sie wird
kostenlos abgegeben und ist nicht zum Verkauf bestimmt.
www.bsi.bund.de