Anforderungskatalog-Cloud Computing

Anforderungskatalog
Cloud Computing (C5)

Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten
AnforDerungsKAtAlog ClouD ComputIng (C5) | InHAlt
Inhaltsverzeichnis
1 Einleitung 11
1.1 Ausgangssituation 11
1.2 Einheitliche Anforderungen auf Basis vorhandener Standards 11
2 Aufbau und Inhalt des Anforderungskatalogs 14
2.1 Aufbau des Anforderungskatalogs 14
2.2 Inhaltliche Darstellung der Anforderungsbereiche 15
2.3 Zugrundeliegende nationale und internationale Standards 17
3 Nachweis der Konformität der Anforderungen durch eine

unabhängige Prüfung 19
3.1 Einführung 19
3.2 Prüfungsstandards und Kriterien 20
3.2.1 ISAE 3000 (Revised) als Prüfungsstandard 20

3.2.2 Sinngemäße Anwendung weiterer Prüfungsstandards 20
3.2.3 Kriterien 21
3.3 Prüfungsgegenstand einschließlich Systembeschreibung 21
3.3.1 Prüfungsgegenstand 21
3.3.2 Systembeschreibung des Cloud-Anbieters 22
3.3.3 Verwertung von Nachweisen aus anderen Prüfungen 24
3.4 Prüfungsziel und Berichterstattung 24
3.4.1 Prüfungsziel 24
3.4.2 Berichterstattung des Prüfers 24
3.5 Gesonderte und ergänzende Anforderungen des BSI 25
3.5.1 Qualifikation des Prüfers 25

3.5.2 Berichterstattung über bestehende bzw. festgestellte
Abweichungen von den Anforderungen 26
3.5.3 Angaben zur Haftungsbegrenzung 26
3.5.4 Umgang mit Aktualisierungen des Anforderungskataloges 26
3
3.6 Anwendungshinweise an potenzielle Cloud-Kunden:

Regelmäßige Prüfung und vertragliche Zusicherung 27
4 Rahmenbedingungen des Cloud-Dienstes (Umfeldparameter) 29
UP-01 Systembeschreibung 29
UP-02 Gerichtsbarkeit und Lokationen der

Datenspeicherung, -verarbeitung und -sicherung 29
UP-03 Offenbarungs- und Ermittlungsbefugnisse 30
UP-04 Zertifizierungen 30
5 Zielsetzungen und Anforderungen 32
5.1 Organisation der Informationssicherheit 32
OIS-01 Managementsystem für Informationssicherheit 32
OIS-02 Strategische Vorgaben zur

Informationssicherheit und Verantwortung der
Unternehmensleitung 32
OIS-03 Zuständigkeiten und Verantwortungen im

Rahmen der Informationssicherheit 33
OIS-04 Funktionstrennung 33
OIS-05 Kontakt zu relevanten Behörden und

Interessenverbänden 34
OIS-06 Richtlinie für die Organisation des

Risikomanagements 34
OIS-07 Identifikation, Analyse, Beurteilung und

Behandlung von Risiken 34
5.2 Sicherheitsrichtlinien und Arbeitsanweisungen 35
SA-01 Dokumentation, Kommunikation und

Bereitstellung von Richtlinien und Anweisungen 35
SA-02 Überprüfung und Freigabe von von Richtlinien

und Anweisungen 36
SA-03 Abweichungen von bestehenden Richtlinien und

Anweisungen 37
5.3 Personal 37
HR-01 Sicherheitsüberprüfung der

Hintergrundinformationen 37
HR-02 Beschäftigungsvereinbarungen 38
4
HR-03 Programm zur Sicherheitsausbildung und

Sensibilisierung 38
HR-04 Disziplinarmaßnahmen 38
HR-05 Beendigung des Beschäftigungsverhältnisses

oder Änderungen der Verantwortlichkeiten 39
5.4 Asset Management 39
AM-01 Asset Inventar 39
AM-02 Zuweisung von Asset

Verantwortlichen 40
AM-03 Nutzungsanweisungen für Assets 40
AM-04 Ab- und Rückgabe von Assets 40
AM-05 Klassifikation von Informationen 40
AM-06 Kennzeichnung von Informationen und

Handhabung von Assets 40
AM-07 Verwaltung von Datenträgern 41
AM-08 Überführung und Entfernung

von Assets 41
5.5 Physische Sicherheit 41
PS-01 Perimeterschutz 41
PS-02 Physische Zutrittskontrolle 41
PS-03 Schutz vor Bedrohungen von außen und aus der

Umgebung 42
PS-04 Schutz vor Unterbrechungen durch Stromausfälle

und andere derartige Risiken 42
PS-05 Wartung von Infrastruktur

und Geräten 43
5.6 Regelbetrieb 44
RB-01 Kapazitätsmanagement – Planung 44
RB-02 Kapazitätsmanagement – Überwachung 44
RB-03 Kapazitätsmanagement – Datenlokation 44
RB-04 Kapazitätsmanagement – Steuerung von

Ressourcen 45
RB-05 Schutz vor Schadprogrammen 45
RB-06 Datensicherung und Wiederherstellung – Konzept 45
RB-07 Datensicherung und Wiederherstellung –

Überwachung 46

Regelmäßige Tests 46
5

Aufbewahrung 46
RB-10 Protokollierung und Überwachung – Konzept 46
RB-11 Protokollierung und Überwachung – Metadaten 47
RB-12 Protokollierung und Überwachung – Kritische

Assets 47
RB-13 Protokollierung und Überwachung –

Aufbewahrung der Protokolle 47

Zurechenbarkeit 48
RB-15 Protokollierung und Überwachung – Konfiguration 48

Verfügbarkeit der Überwachungs-Software 48
RB-17 Umgang mit Schwachstellen, Störungen und

Fehlern – Konzept 49

Fehlern – Penetrationstests 49

Fehlern – Integration mit Änderungs- und Incident
Management 49

Fehlern – Einbindung des Cloud-Kunden 50

Fehlern – Prüfung offener Schwachstellen 50

Fehlern – System-Härtung 50
RB-23 Segregation der gespeicherten und verarbeiteten

Daten der Cloud-Kunden in gemeinsam genutzten
Ressourcen 50
5.7 Identitäts- und Berechtigungsmanagement 51
IDM-01 Richtlinie für Zugangs- und

Zugriffsberechtigungen 51
IDM-02 Benutzerregistrierung 52
IDM-03 Vergabe und Änderung (Provisionierung) von

IDM-04 Berechtigungsentzug (Deprovisionierung) bei

Veränderungen des Arbeitsverhältnisses 52
IDM-05 Regelmäßige Überprüfung der

IDM-06 Administratorenberechtigungen 53
IDM-07 Geheimhaltung von

Authentifizierungsinformationen 53
6
IDM-08 Sichere Anmeldeverfahren 53
IDM-09 Umgang mit Notfallbenutzern 53
IDM-10 Systemseitige Zugriffskontrolle 54
IDM-11 Passwortanforderungen und

Validierungsparameter 54
IDM-12 Einschränkung und Kontrolle administrativer

Software 55
IDM-13 Zugriffskontrolle zu Quellcode 55
5.8 Kryptographie und Schlüsselmanagement 55
KRY-01 Richtlinie zur Nutzung von

Verschlüsselungsverfahren und Schlüssel-
verwaltung 55
KRY-02 Verschlüsselung von Daten bei der Übertragung

(Transportverschlüsselung) 56
KRY-03 Verschlüsselung von sensiblen Daten bei der

Speicherung 56
KRY-04 Sichere Schlüsselverwaltung 56
5.9 Kommunikationssicherheit 57
KOS-01 Technische Schutzmaßnahmen 57
KOS-02 Überwachen von Verbindungen 57
KOS-03 Netzwerkübergreifende Zugriffe 58
KOS-04 Netzwerke zur Administration 58
KOS-05 Segregation des Datenverkehrs in gemeinsam

genutzten Netzwerkumgebungen 58
KOS-06 Dokumentation der Netztopologie 59
KOS-07 Richtlinien zur Datenübertragung 59
KOS-08 Vertraulichkeitserklärung 59
5.10 Portabilität und Interoperabilität 60
PI-01 Nutzung öffentlicher API‘s

und Industriestandards 60
PI-02 Export von Daten 60
PI-03 Richtlinie zur Portabilität und Interoperabilität 60
PI-04 Sicherer Datenimport und -export 60
PI-05 Sichere Datenlöschung 60
5.11 Beschaffung, Entwicklung und Änderung von

Informationssystemen 61
BEI-01 Richtlinien zur Entwicklung /

Beschaffung von Informationssystemen 61
7
BEI-02 Auslagerung der Entwicklung 61
BEI-03 Richtlinien zur Änderung von

Informationssystemen 61
BEI-04 Risikobewertung der Änderungen 62
BEI-05 Kategorisierung der Änderungen 62
BEI-06 Priorisierung der Änderungen 62
BEI-07 Testen der Änderungen 62
BEI-08 Zurückrollen der Änderungen 62
BEI-09 Überprüfen von ordnungsgemäßer

Testdurchführung und Genehmigung 62
BEI-10 Notfalländerungen 63
BEI-11 Systemlandschaft 63
BEI-12 Funktionstrennung 63
5.12 Steuerung und Überwachung von Dienstleistern und

Lieferanten 64
DLL-01 Richtlinie zum Umgang mit und

Sicherheitsanforderungen an Dienstleister und
Lieferanten des Cloud-Anbieters 64
DLL-02 Überwachung der Leistungserbringung

und Sicherheitsanforderungen an Dienstleister und
Lieferanten des Cloud-Anbieters 64
5.13 Security Incident Management 65
SIM-01 Verantwortlichkeiten und

Vorgehensmodell 65
SIM-02 Klassifizierung von Kunden

Systemen 66
SIM-03 Bearbeitung von Sicherheitsvorfällen 66
SIM-04 Dokumentation und Berichterstattung über

Sicherheitsvorfälle 66
SIM-05 Security Incient Event Management 66
SIM-06 Verpflichtung der Nutzer zur Meldung von

Sicherheitsvorfällen an eine zentrale Stelle 66
SIM-07 Auswertung und Lernprozess 66
5.14 Sicherstellung des Geschäftsbetriebs und Notfallmanagement 67
BCM-01 Verantwortung durch die

Unternehmensleitung 67
8
BCM-02 Richtlinien und Verfahren zur Business Impact

Analyse 67
BCM-03 Planung der Betriebskontinuität 68
BCM-04 Verifizierung, Aktualisierung und Test der

Betriebskontinuität 68
BCM-05 Rechenzentrumsversorgung 69
5.15 Sicherheitsprüfung und -nachweis 70
SPN-01 Informieren der Unternehmensleitung 70
SPN-02 Interne Überprüfungen der Compliance von

IT-Prozessen mit internen Sicherheitsrichtlinien und
Standards 70
SPN-03 Interne Überprüfungen der Compliance von

IT-Systemen mit internen Sicherheitsrichtlinien und
Standards 70
5.16 Compliance und Datenschutz 71
COM-01 Identifizierung anzuwendender gesetzlicher,

vertraglicher und datenschutzrechtlicher Anforderungen 71
COM-02 Planung unabhängiger, externer Audits 71
COM-03 Durchführung unabhängiger,

externer Audits 71
5.17 Mobile Device Management 72
MDM-01 Richtlinien und Verfahren zur

Risikominimierung des Zugriffs über mobile Endgeräte
des Cloud-Anbieters 72
9
1 Einleitung
10
AnforDerungsKAtAlog ClouD ComputIng (C5) | eInleItung
1 Einleitung
1.1 Ausgangssituation anerkannten Anforderungskatalog hierzu gab es

bisher jedoch noch nicht.
Cloud Computing ist ein neues Paradigma in der
IKT-Branche (Informations- und Kommunika- Es gibt auf dem Markt verschiedene Standards
tionstechnik). Es besteht darin, dass IT-Dienst- und Zertifizierungen, die von vielen Cloud-An-
leistungen dynamisch an den Bedarf des Kunden bietern mit großem Aufwand parallel genutzt
angepasst und abrechenbar über ein Netz zur und aufrechterhalten werden. Die Vielzahl an
Verfügung gestellt werden. Angebot und Nutzung verschiedenen Zertifizierungen ist für Kunden
erfolgen dabei ausschließlich über technische jedoch schwer zu überschauen. Mit diesem
Schnittstellen und Protokolle. Im Übrigen gilt die Anforderungskatalog soll den Kunden eine Hil-
Definition von Cloud Computing des Bundesam- festellung für einen besseren Überblick zu mehr
tes für Sicherheit in der Informationstechnik (BSI) Sicherheit gegeben und Mehrfachprüfungen
(ebenso die Abgrenzung zur IT-Auslagerung), wie vermieden werden.
sie auf der Webseite des BSI1 beschrieben ist.
Cloud Computing basiert auf einem hohen Maß

an Standardisierung der Hard- und Software 1.2 Einheitliche Anforderungen auf
sowie der darauf aufbauenden Dienstleistungen, Basis vorhandener Standards
deren Details dem Kunden im Regelfall nicht
näher bekannt sind. Demzufolge ist ein besonders Das BSI legt mit diesem Anforderungskatalog
hohes Maß an Vertrauen in den Cloud-Dienstleis- seine derzeitige Sichtweise zu diesem informellen
ter erforderlich, das zunächst einmal hergestellt Konsens dar, insbesondere auch um eine vertiefte
werden muss. fachliche Diskussion zu ermöglichen. Die Anfor-
derungen wurden, wo immer es möglich war,
Eine mögliche Lösung besteht darin, dass die aus bekannten Sicherheitsstandards entnommen
hohe Standardisierung des Cloud Computing und gegebenenfalls konkretisiert. Nur soweit es
mit einer hohen Standardisierung der Informa- nötig erschien, erfolgte eine Ergänzung um eigene
tionssicherheit kombiniert wird. An verfügbaren Anforderungen. Die Herkunft der Anforderungen
Standards zur Informationssicherheit im Bereich wurde transparent dokumentiert, so dass für den
des Cloud Computing mangelt es nicht. Zu Cloud-Anbieter ein Vergleich mit dem eigenen
nennen sind beispielsweise die Standards ISO/IEC Sicherheitsniveau leicht möglich ist.
27001 sowie ISO/IEC 27017, die Regelungen der
CSA Cloud Controls Matrix und die Produkte des Wo dies für sinnvoll erachtet wurde, sind zu
BSI wie die IT-Grundschutz-Kataloge und Sicher- einzelnen Basisanforderungen zusätzlich
heitsprofile für Software-as-a-Service (SaaS). auch weiterführende Anforderungen in den
Anforderungskatalog aufgenommen worden.
Zwischen Sicherheitsexperten und Cloud-Dienst- Die Basisanforderungen sollten, wenn es sich
leistern existiert durchaus ein informeller um sicheres Cloud Computing handelt, aus der
Konsens darüber, welche Anforderungen sicheres fachlichen Sicht des BSI immer erfüllt sein. Im
Cloud Computing erfüllen muss. Einen allgemein Übrigen obliegt es dem Cloud-Kunden für seinen
konkreten Anwendungsfall zu entscheiden, ob
diese Basisanforderungen ausreichen oder ob
er zusätzliche, weiterführende Anforderungen
1 https://www.bsi.bund.de/DE/Themen/Digitale an den Cloud-Anbieter stellt. Hierfür stellen die
Gesellschaft/CloudComputing/Grundlagen/
Grundlagen_node.html
11
AnforDerungsKAtAlog ClouD ComputIng (C5) | eInleItung
weiterführenden Anforderungen des Anforde-

rungskatalogs einen sinnvollen Ausgangspunkt
dar.
Es bleibt die Herausforderung, dem Cloud-Kun-

den über eine transparente Prüfung durch einen
unabhängigen, vertrauenswürdigen Dritten
nachzuweisen, dass die Anforderungen des Anfor-
derungskataloges eingehalten werden. Vergleich-
bar zu den einzelnen Anforderungen selbst, soll
auch diese Prüfung auf bestehende Standards und
Zertifizierungen aufbauen und so einen möglichst
geringen Mehraufwand für den Cloud-Anbieter
generieren. Der Anforderungskatalog ist daher
so aufgebaut, dass er für eine Prüfung durch
Wirtschaftsprüfer gemäß eines internationalen
Prüfungsstandards geeignet ist. Dies zielt auf eine
Prüfung mit umfangreicher Berichterstattung zu
den geprüften aufbau- und ablauforganisatori-
schen Sicherungs- und Überwachungsmaßnah-
men (Kontrollen) und insbesondere unter Ein-
schluss einer Aussage über deren Angemessenheit
und Wirksamkeit.
Betreffend des Aufbaus und des Inhalts dieses

Anforderungskatalogs wird auf den Abschnitt 2
dieses Dokuments verwiesen. Hinweise zur
Durchführung einer Prüfung und Berichter-
stattung durch einen unabhängigen externen
Prüfer sind Gegenstand des Abschnitts 3. Im
Abschnitt 3.6 sind Anwendungshinweise für
potenzielle Cloud-Kunden aufgeführt. Die ausfor-
mulierten Anforderungen sind in den Abschnit-
ten 4 und 5 zu finden. Eine Referenzierung zu
einer Auswahl bekannter Standards ist in einem
separaten Hilfsdokument aufgeführt, das auf den
Webseiten des BSI zu finden ist.
12
2 Aufbau und Inhalt des
Anforderungskatalogs
13
AnforDerungsKAtAlog ClouD ComputIng (C5) | AufBAu unD InHAlt Des AnforDerungsKAtAlogs
2 Aufbau und Inhalt des

Anforderungskatalogs
2.1 Aufbau des Anforderungskatalogs klassifiziert, ob sie insbesondere die Vertraulich-

keit (C), die Verfügbarkeit (A) oder beide Eigen-
Als Cloud-Dienste im Sinne dieses Anforderungs- schaften (C/A) zugleich in Bezug auf die im Cloud-
katalogs sind IT-Dienstleistungen zu verstehen, Dienst verarbeiteten Daten adressieren sollen.
die einem Kunden durch ein Dienstleistungs- Es stellte sich heraus, dass es neben den Basisan-
unternehmen (Cloud-Anbieter, Anbieter oder forderungen keine wirksamen höherwertigen
Dienstleister) über ein Netz bereitgestellt werden. Anforderungen für Integrität (I) gibt, weshalb
Das Anbieten, Nutzen und Abrechnen der Cloud- diese Kategorie hier fehlt. Die weitergehenden
Dienste erfolgt dynamisch und an den Bedarf Anforderungen stellen einen Ausgangspunkt für
angepasst über definierte technische Schnitt- Anforderungen dar, die Cloud-Kunden aufgrund
stellen und Protokolle. Die Spannbreite der im ihres individuellen Anwendungsszenarios stellen
Rahmen von Cloud Computing angebotenen könnten.
Dienstleistungen umfasst das komplette Spek-
trum der Informationstechnik und beinhaltet Die Ausgestaltung, Beschreibung, Einrichtung
unter anderem Infrastruktur (z. B. Rechenleistung, und nachvollziehbar wirksame Durchführung
Speicherplatz), Plattformen und Software. von geeigneten aufbau- und ablauforganisatori-
schen Sicherungs- und Überwachungsmaßnah-
Der Anforderungskatalog selbst gliedert sich in 17 men (Kontrollen), mit denen die Anforderungen
Anforderungsbereiche (vgl. Abschnitt 2.2). beim Cloud-Anbieter umgesetzt werden, liegen
in der Verantwortung des Cloud-Anbieters. Die
Jedem Anforderungsbereich ist eine Zielsetzung Gesamtheit der erforderlichen Maßnahmen ist
zugewiesen (vgl. Abschnitt 2.2). Die Zielsetzung Teil seines die Cloud-Dienste betreffenden inter-
gibt dem Cloud-Anbieter eine zusammenfassende nen Kontrollsystems. Die Ausgestaltung dieses
Vorgabe, die er im zugehörigen Anforderungsbe- internen Kontrollsystems richtet sich nach der
reich durch entsprechende Maßnahmen in seiner Art des erbrachten Cloud-Dienstes, den Anfor-
Aufbau- und Ablauforganisation sicher zu stellen derungen der Cloud-Kunden und den unterneh-
hat. merischen Zielen des Cloud-Anbieters sowie den
damit verbundenen spezifischen Risiken.
Jeder Zielsetzung sind einzelne Anforderungen
zugewiesen (vgl. Abschnitt 5). Die Anforderungen Eine Besonderheit in diesem Anforderungskata-
geben allgemeine Grundsätze, Verfahren und log stellen die so genannten Umfeldparameter
Maßnahmen zur Erfüllung der Zielsetzung vor. dar, die den übrigen Anforderungen vorweg
Hierbei wird zwischen Basisanforderungen und gestellt sind. Umfeldparameter adressieren die
weiterführenden Anforderungen unterschieden. Transparenz über Randbedingungen nach denen
Die Basis- Anforderungen stellen die Gesamtheit der Cloud-Dienst erbracht wird (z. B. der Gerichts-
der grundlegenden Anforderungen dar, die der standort). Durch die Informationen aus der
Cloud-Anbieter zu erfüllen und im Rahmen einer Prüfung dieser Umfeldparameter kann der Kunde
Prüfung nach diesem Katalog mindestens nach- über die grundsätzliche Eignung gemäß seiner
zuweisen hat. internen Vorgaben entscheiden.
Ergänzend zu ausgewählten Basisanforderungen

sind darüber hinaus weiterführende, optionale
Anforderungen definiert. Diese sind dahingehend
14
2.2 Inhaltliche Darstellung der Nomenklatur und Struktur den übrigen Anforde-
Anforderungsbereiche rungen ähnlich. In welchem Rahmen sich diese
Parameter bewegen dürfen, entscheidet dabei der
Vor den einzelnen Anforderungen (Abschnitt 5) Kunde nach seinen eigenen unternehmensinter-
sind in Abschnitt 4 Aspekte in Form von so nen Vorgaben.
genannten Umfeldparametern aufgenommen,
welche die grundsätzlichen Rahmenbedingun- Der Anforderungskatalog selbst gliedert sich in 17
gen für eine Abfrage darstellen. Sie sind in der Anforderungsbereiche (vgl. Tabelle 1).
Anforderungsbereich Zielsetzung
Organisation der Planung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbes-

Informationssicherheit serung eines Rahmenwerks zur Informationssicherheit innerhalb der
Organisation.
Sicherheitsrichtlinien und Bereitstellen von Richtlinien und Anweisungen bzgl. des Sicherheits-
Arbeitsanweisungen anspruchs und zur Unterstützung der geschäftlichen Anforderungen.
Personal Sicherstellen, dass Mitarbeiter, Dienstleister und Lieferanten ihre Auf-

gaben verstehen, sich ihrer Verantwortung in Bezug auf Informations-
sicherheit bewusst sind und die Assets der Organisation bei Änderung
der Aufgaben oder Beendigung geschützt werden.
Asset Management Identifizieren der organisationseigenen Assets und der Verantwortli-

chen und gewährleisten eines angemessenen Schutzniveaus.
Physische Sicherheit Verhindern von unberechtigtem physischen Zutritt und Schutz vor
Diebstahl, Schaden, Verlust und Ausfall des Betriebs.
Regelbetrieb Sicherstellen eines ordnungsgemäßen Regelbetriebs einschließlich

angemessener Maßnahmen für Planung und Überwachung der
Kapazität, Schutz vor Schadprogrammen, Protokollierung und Über-
wachung von Ereignissen sowie den Umgang mit Schwachstellen,
Störungen und Fehlern.
Identitäts- und Absichern der Autorisierung und Authentifizierung von Benutzern

Berechtigungsmanagement des Cloud-Anbieters (in der Regel privilegierte Benutzer) und des
Cloud-Kunden zur Vermeidung von unberechtigtem Zugriff.
Kryptographie und Gewährleisten einer angemessenen und effektiven Verwendung von

Schlüsselmanagement Kryptographie zum Schutz der Sicherheit von Informationen.
Kommunikationssicherheit Sicherstellen des Schutzes von Informationen in Netzwerken und den

entsprechenden informationsverarbeitenden Systemen.
Portabilität und Ermöglichen der Eigenschaft, den Dienst auf unterschiedlichen

Interoperabilität IT-Plattformen sicher betreiben zu können sowie die Möglichkeit
zur sicheren Anbindung unterschiedlicher IT-Plattformen und
Dienstbeendigung.
15
Anforderungsbereich Zielsetzung
Beschaffung, Entwick- Einhalten der Sicherheitsvorgaben bei Neuentwicklungen und

lung und Änderung von Beschaffungen von Informationssystemen sowie Änderungen.
Informationssystemen
Steuerung und Über- Sicherstellen des Schutzes von Informationen auf die Dienstleister
wachung von Dienstleistern bzw. Lieferanten des Cloud-Anbieters (Unterauftragnehmer) zugrei-
und Lieferanten fen können, sowie Überwachung der vereinbarten Leistungen und
Sicherheitsanforderungen.
Security Incident Gewährleisten eines konsistenten und umfassenden Vorgehens zur

Management Überwachung, Erfassung, Bewertung, Kommunikation und Eskalation
von Sicherheitsvorfällen.
Sicherstellung des Strategische Etablierung und Steuerung eines Business Continuity

Geschäftsbetriebes und Managements (BCM). Planen, implementieren und testen von Notfall-
Notfallmanagement konzepten, sowie Verankerung von Maßnahmen zur Sicherstellung
und Aufrechterhaltung des Betriebs.
Sicherheitsprüfung und Überprüfen und Nachhalten, dass die Maßnahmen zur Informations-
-nachweis sicherheit in Übereinstimmung mit den organisationsweiten Richtli-
nien und Anweisungen implementiert und ausgeführt werden.
Compliance und Vermeiden von Verstößen gegen gesetzliche oder vertragliche Ver-
Datenschutz pflichtungen in Bezug auf Informationssicherheit.
Mobile Device Management Gewährleistung der Sicherheit beim Einsatz mobiler Endgeräte im
Verantwortungsbereich des Cloud-Anbieters für den Zugriff auf
IT-Systeme zur Entwicklung und zum Betrieb des Cloud-Dienstes.
tabelle 1: Anforderungsbereiche des Anforderungskatalogs mit zugewiesenen Zielsetzungen
16
2.3 Zugrundeliegende nationale über ausführliche Referenzen zwischen den

und internationale Standards Anforderungen des vorliegenden Katalogs und
den Anforderungen der genannten Standards in
Entsprechend der Zielsetzung wurden die einzel- einem separaten Hilfsdokument unterstützt, das
nen Anforderungen des Anforderungskatalogs auf den Webseiten des BSI zu finden ist.
inhaltlich auf Grundlage national und internatio-
nal etablierter Standards formuliert. Berücksich-
tigt wurden im Einzelnen:
» ISO/IEC 27001:2013
» CSA2 – Cloud Controls Matrix 3.01 (CSA CCM)
» AICPA3 – Trust Services Principles Criteria 2014

(TSP)
» ANSSI4 Référentiel Secure Cloud v2.0 (version

intermediaire validée du 20/03/2015, nicht
veröffentlicht)
» IDW5 ERS FAIT 5 (Entwurf einer Stellungnahme

zur Rechnungslegung: „Grundsätze ordnungs-
mäßiger Buchführung bei Auslagerung von
rechnungslegungsrelevanten Dienstleistungen
einschließlich Cloud Computing“, Stand vom
04.11.2014)
» BSI IT-Grundschutz Kataloge 14. EL 2014
» BSI SaaS Sicherheitsprofile 2014
Anbietern, die sich bei der Gestaltung ihrer

Organisation und Prozesse bereits jetzt an einem
oder mehreren dieser Standards orientieren,
haben damit die Möglichkeit die Umsetzung des
Anforderungskatalogs weitgehend durch eine
individuelle Referenzierung ihrer Maßnahmen zu
den Anforderungen des Anforderungskataloges
zu dokumentieren. Der Anwender wird hierbei
2 Cloud Security Alliance, eine Non-Profit-Organisation

zur Verbreitung von Sicherheitsstandards im Cloud
Computing
3 American Institute of Certified Public Accountants,
amerikansicher Berufsverband der Wirtschaftsprüfer
4 Agence nationale de la sécurité des systèmes d‘infor-
mation, französische Behörde für die Sicherheit von
Informationssystemen
5 Institut der Wirtschaftsprüfer, die Interessenver-
tretung der wirtschaftsprüfenden Berufsstände in
Deutschland
17
3 Nachweis der Konformität
der Anforderungen durch
eine unabhängige Prüfung
18
ANFORDERUNGSKATALOG CLOUD COMPUTING (C5) | NACHWEIS DER KONFORMITÄT DER ANFORDERUNGEN DURCH EINE UNABHÄNGIGE PRÜFUNG
3 Nachweis der Konformität

der Anforderungen durch eine
unabhängige Prüfung
3.1 Einführung Im Einzelnen sind dies der internationale

Prüfungsstandard ISAE6 3000 (Revised), der als
Die in diesem Dokument dargelegten Anforde- allgemeine Grundlage zur Prüfungsdurchfüh-
rungen können sowohl von Cloud-Anbietern als rung und Berichterstattung dient. Dieser wird
auch von Cloud-Kunden herangezogen werden. um weitere Prüfungsstandards ergänzt, die – in
Der Anbieter kann sich hieran bei der sicheren sinngemäßer Anwendung – bei Einzelfragen der
Gestaltung seiner Prozesse ausrichten. Der Cloud- Prüfungsdurchführung und Berichterstattung
Kunde wird den Anspruch haben, zu verifizieren, genutzt werden sollen. Zu nennen sind ISAE 3402
ob der Cloud-Anbieter diese Anforderungen oder der Prüfungsstandard (PS) 951 des Instituts
erfüllt. Eine Selbstauskunft für jeden einzelnen der Wirtschaftsprüfer (IDW). Ferner sind hier
Kunden wäre für den Anbieter nicht effizient und die Regelungen zur Prüfung und Dokumenta-
für den Kunden zu wenig verbindlich. Zudem tion nach Service Operation Controls (SOC) zu
wäre eine einheitliche Auskunftstiefe – wenn ein beachten.
Kunde mehrere Anbieter anfragt – nicht gegeben,
so dass ein Kunde nur schwer zwischen verschie- Der Bezug auf die Vorgaben und Regelungen der
denen Anbietern vergleichen könnte. Eine ein- nationalen und internationalen Wirtschaftsprü-
heitliche Prüfung durch einen unabhängigen und fung ist an dieser Stelle bewusst gewählt. Darüber
sachverständigen Dritten, der für den Cloud-An- sollen die besonderen Anforderungen an die
bieter einen einheitlichen Bericht zur Weitergabe Unabhängigkeit des Prüfers und an die Verbind-
an bestehende und potenzielle Kunden erstellt, ist lichkeit und Nachvollziehbarkeit der Prüfungs-
nach Auffassung des BSI eine wirtschaftliche und nachweise sichergestellt werden. Gleichzeitig
sinnvolle Lösung dieses Problems. erhalten Cloud-Anbieter, die sich bereits jetzt
einer Prüfung nach der im Abschnitt 2.3 genann-
Das BSI legt hierzu nachfolgend seine Auffassung ten Standards unterziehen, damit die Möglichkeit,
dar, nach der ein Prüfer, unbeschadet seiner bei ihnen bereits vorliegende Systemdokumenta-
Eigenverantwortlichkeit, bei einer derartigen tionen und gegebenenfalls auch Teile vorhande-
Prüfung vorzugehen hat und wie er darüber dem ner Prüfungsergebnisse parallel wieder zu ver-
Anbieter und den Kunden des Cloud-Dienstes wenden und damit auch Nachweise in Bezug auf
eine Berichterstattung zur Verfügung zu stellen die Anforderungen dieses Anforderungskataloges
hat. zu erbringen. Der zusätzliche Prüfungsaufwand
soll damit reduziert werden.
Bei der Ausgestaltung der Prüfungsanforderun-
gen wurde, wie bei der inhaltlichen Ausgestal- Das BSI ist der Auffassung, dass die in den
tung der Anforderungen selbst, ebenfalls auf genannten Prüfungsstandards dargelegten Anfor-
national und international etablierte Standards derungen an die Prüfung zum Zwecke aussage-
zurückgegriffen. kräftiger Testate keinesfalls unterschritten werden
dürfen. Im weiteren Verlauf dieses Abschnitts
folgen einige grundlegende Erläuterungen.
6 International Standard on Assurance Engagements
19
3.2 Prüfungsstandards und Kriterien (im internationalen Umfeld auch als „written
assertion“ oder „written statement“ bezeichnet)
3.2.1 ISAE 3000 (Revised) als den Ausgangspunkt für seine Prüfung.
Prüfungsstandard
Prüfung und Berichterstattung haben unter 3.2.2 Sinngemäße Anwendung

Anwendung des ISAE 3000 (Revised) „Assurance weiterer Prüfungsstandards
Engagements Other than Audits or Reviews of
Historical Financial Information“ zu erfolgen. Zu besonderen Fragen des Prüfungsvorgehens
sowie der Dokumentation und Berichterstattung
ISAE 3000 (Revised) umfasst allgemeine Anfor- soll sinngemäß der ISAE 3402 „Assurance Reports
derungen an die Qualifikation und das Verhalten on Controls at a Service Organization“ herange-
eines Prüfers (z. B. sachverständige Beurteilung zogen werden. Alternativ oder ergänzend kann
und Skepsis) sowie an die Annahme, Planung und sich der Prüfer sinngemäß auch auf die deutsche
Durchführung eines Prüfungsauftrags. Darüber Variante dieses Standards (IDW PS 951 n. F. „Die
hinaus sind beispielsweise allgemeine Anforde- Prüfung des internen Kontrollsystems bei Dienst-
rungen an Prüfungskriterien enthalten, ohne leistungsunternehmen“) oder die US- amerikani-
dieses jedoch inhaltlich weiter zu spezifizieren. schen Vorgaben der „Statements on Standards for
ISAE 3000 (Revised) ist somit als ein übergeord- Attestation Engagements“ AT Section 801 bzw. AT
neter Prüfungsstandard zu verstehen, der den Section 101 für den Anwendungsfall sogenannter
erforderlichen übergeordneten Rahmen setzt. SOC Prüfungen beziehen.
Der Standard unterscheidet Prüfungen mit einer Alle diese Standards beschäftigen sich mit der
hinreichenden Sicherheit („reasonable assurance“) Angemessenheit und Wirksamkeit von internen
von Prüfungen mit einer gewissen Sicherheit Prozessen und Kontrollen, die bei einem Dienst-
(„limited assurance“). Ferner werden sogenannte leister zur Erreichung spezifischer Vorgaben
„attestation engagements“ von sogenannten und Ziele eingesetzt werden. Bei ISAE 3402, IDW
„direct engagements“ unterschieden.7 PS 951 n.F. und AT Section 801 stehen hierbei
Prozesse und Kontrollen im Vordergrund, soweit
Prüfungen zur Umsetzung der Anforderungen diese für die Finanzberichterstattung der Kunden
des hier vorgelegten Anforderungskataloges des Dienstleisters von Bedeutung sind. Im beson-
haben mit einer hinreichenden Sicherheit deren Anwendungsfall von SOC 2 Prüfungen
(„reasonable assurance“) als „attestation engage- gemäß AT Section 101 geht es um den Nachweis
ment“ zu erfolgen. Bei einem „attestation der Umsetzung der AICPA Trust Services Princip-
engagement“ geben die gesetzlichen Vertreter les and Criteria (Sicherheit, Verfügbarkeit, Integri-
des Cloud-Anbieters (z. B. ein Vertreter der tät, Vertraulichkeit und/oder Datenschutz). Diese
Unternehmensleitung des Cloud-Anbieters) Prinzipien und Kriterien wurden im Übrigen auch
respektive zeichnungsberechtigte Repräsentan- bei der Erstellung dieses Anforderungskataloges
ten der für die Erbringung des Cloud-Dienstes berücksichtigt (vgl. Abschnitt 2.3).
verantwortlichen Organisationseinheit (nachfol-
gend „Management des Cloud-Anbieters“) eine Eine sinngemäße Anwendung dieser Prü-
Erklärung über die Angemessenheit und – soweit fungsstandards bedeutet, dass der Prüfung
einschlägig – die Wirksamkeit der zur Abdeckung inhaltlich die einzelnen Anforderungen dieses
der Anforderungen eingerichteten Maßnahmen Anforderungskataloges als Kriterien zugrunde
ab. Gegenüber dem Cloud-Kunden signalisiert gelegt werden und dass die hier genannten
der Cloud-Anbieter hierüber die Verbindlichkeit, Prüfungsstandards zu Einzelfragen betreffend
mit der er der Umsetzung der Anforderungen Prüfungsplanung, Durchführung und Bericht-
nachkommt. Für den Prüfer bildet die Erklärung erstattung genutzt werden. Entsprechend
können auch die in den Abschnitten 3.3 und 3.4
detaillierter dargelegten Anforderungen an die
Prüfung unmittelbar auf diese Prüfungsstandards
7 Vgl. ISAE 3000, Textziffer 12.
20
zurückgeführt werden. Hiermit soll insbesondere » Verständlichkeit: Kriterien sind verständlich,

erreicht werden, dass alle beteiligten Interes- soweit sie klare Schlussfolgerungen ermögli-
sengruppen (Cloud-Anbieter, Prüfer sowie der chen und dadurch Fehlinterpretationen vermie-
Kunde des Anbieters als Adressat des Berichtes), den werden.
die bereits über entsprechende Erfahrungen
mit Prüfungen und/oder Berichten nach diesen Die Anforderungen des Anforderungskataloges
Prüfungsstandards verfügen, diese Erfahrungen orientieren sich an den im Abschnitt 2.3 auf-
unmittelbar auch bei der Prüfung selbst und/oder geführten Standards und Publikationen. Über
bei der Auswertung der Berichterstattung einset- diesen Bezug wird nach Ansicht des BSI sicherge-
zen können. stellt, dass die darin enthaltenen Anforderungen
geeignet sind, um als Grundlage für eine sach-
Gleichwohl bestehen zu einigen Punkten, spe- gerechte und nachvollziehbare Beurteilung der
zifische ergänzende Erwartungen des BSI. Sie Cloud-Dienste durch die Cloud-Anbieter selbst
betreffen beispielsweise die Qualifikation des und durch einen unabhängigen Prüfer herange-
Prüfers oder Einzelheiten zur Darstellung festge- zogen werden zu können.
stellter Abweichungen in der Berichterstattung.
Sie werden im Abschnitt 3.5 als „Gesondert und
ergänzende Anforderungen des BSI“ zusammen-
gefasst und erläutert. 3.3 Prüfungsgegenstand einschließlich
Systembeschreibung
3.2.3 Kriterien 3.3.1 Prüfungsgegenstand
Prüfungskriterien sollen allgemeinen übergeord- Gegenstand der Prüfung sind die zwei Dinge:
neten Anforderungen entsprechen (vgl. sinnge-
mäß z. B. ISAE 3000 (Revised), Textziffer A45 oder » Die Beschreibung des die Cloud-Dienste
IDW PS 951 n.F., Textziffer 50): betreffenden internen Kontrollsystems (Sys-
tembeschreibung) und
» Relevanz: Kriterien müssen für die Beurteilung
der durch den Cloud-Anbieter eingerichteten » die in der Systembeschreibung mit Bezug auf
Grundsätze, Verfahren und Maßnahmen sowie die einzelnen Anforderungen dargestellten
für die Entscheidungsfindung maßgebend sein. Kontrollen auf Basis einer vom Management
des Cloud-Dienstleisters abzugebenden
» Vollständigkeit: Kriterien sind vollständig, Erklärung.
wenn keine für die Beurteilung der durch den
Cloud-Anbieter eingerichteten Grundsätze, Die Verantwortung für die Systembeschreibung
Verfahren und Maßnahmen sowie keine für die und deren Inhalt liegt bei den gesetzlichen
Entscheidungsfindung wesentlichen Gesichts- Vertretern des Anbieters. Die Erklärung des
punkte ausgeklammert wurden. Managements umfasst die Angemessenheit und
in der Regel auch die Wirksamkeit des in der Sys-
» Verlässlichkeit: Kriterien sind verlässlich, wenn tembeschreibung dargestellten die Cloud-Dienste
sie eine konsistente und nachvollziehbare betreffenden internen Kontrollsystems. Hierbei
Beurteilung der durch den Cloud-Anbieter eingeschlossen sind auch die Prozesse und
eingerichteten Grundsätze, Verfahren und Verfahren zur Einrichtung und Durchführung der
Maßnahmen zulassen. dargestellten Kontrollen.
» Neutralität: Kriterien sind neutral, wenn sie Bei einer Prüfung hinsichtlich des Anforderungs-
eine objektive Beurteilung der durch den kataloges werden zwei Typen der Prüfung und
Cloud-Anbieter eingerichteten Grundsätze, Berichterstattung unterschieden, wie dies auch
Verfahren und Maßnahmen sicherstellen. bei ISAE 3402 oder IDW PS 951 n.F. der Fall ist.
21
» Prüfung und Berichterstattung vom Typ 1: Vertraulichkeitsbezug (im Abschnitt 5, Spalte

Der Prüfer hat zu beurteilen, ob die Systembe- „C/A“ mit „C“, bzw. „C/A“ klassifiziert) berück-
schreibung die tatsächliche Ausgestaltung und sichtigt werden. Für den Nachweis über höhere
Einrichtung des die Cloud-Dienste betreffenden Verfügbarkeit gilt entsprechendes. Welche
internen Kontrollsystems zu dem zu prüfenden weitergehenden Anforderungen als Kriterien
Zeitpunkt sachgerecht darstellt und die darin die Prüfung einbezogen waren, muss aus der
gestellten Kontrollen angemessen ausgestaltet Systembeschreibung des Cloud-Anbieters her-
sind. Eine Berichterstattung vom Typ 1 eignet vorgehen. Soweit alle weiterführenden Anforde-
sich beispielsweise im Falle einer Erstprüfung, rungen mit Vertraulichkeits-Bezug (C und C/A)
um für neu entwickelte Cloud-Dienste zeitnah bzw. alle Anforderungen mit Verfügbarkeits-
ein Prüfungsergebnis zu erhalten. Sie ist zum bezug (A und C/A) vollständig erfüllt werden,
Nachweis der tatsächlichen Umsetzung über ist dies darüber hinaus in der Beschreibung des
einen rückblickenden Zeitraum nicht geeignet. Prüfungsgegenstandes durch den Zusatz „Die
Systembeschreibung adressiert vollumfänglich
» Prüfung und Berichterstattung vom Typ 2: alle weitergehenden Anforderungen an [die
Der Prüfer führt, im Vergleich zur Prüfung Vertraulichkeit] / [(und) die Verfügbarkeit]“ zu
und Berichterstattung nach Typ 1, zusätzliche kennzeichnen. Sofern einzelne Anforderungen
Prüfungshandlungen zur Wirksamkeit der aus Sicht des Cloud-Anbieters nicht anwend-
Kontrollen (Funktionsprüfunggen) durch. bar sind, ist dies in der Systembeschreibung
Hierfür soll der Prüfungszeitraum im Regelfall entsprechend zu begründen. Der Zusatz in
zwölf Monate, zumindest aber sechs Monate der Beschreibung des Prüfungsgegenstandes
umfassen. Kürzere Prüfungszeiträume können entfällt in diesem Fall.
in begründeten Ausnahmefällen (z. B. bei der
Gründung des Cloud-Anbieters, Übernahme
neuer Cloud-Dienste) in Betracht kommen und 3.3.2 Systembeschreibung des
sind in der Berichterstattung zu begründen. Cloud-Anbieters
Nach Auffassung des BSI ist eine Prüfung und Die Systembeschreibung der Cloud-Dienste
Berichterstattung vom Typ 2 erforderlich, um wird vom Cloud-Anbieter erstellt. Der Mindest-
eine angemessene Aussagekraft zu erzeugen. umfang der Systembeschreibung ergibt sich in
Berichterstattungen vom Typ I sollten nur in den sinngemäßer Anwendung des ISAE 3402 (oder
oben genannten und zu begründenden Aus- des/der alternativ herangezogenen Standards,
nahmefällen erfolgen und keinesfalls mehrmals vgl. Abschnitt 3.2). Exemplarisch sind die folgen-
hintereinander in Betracht gezogen werden. den Bestandteile zu nennen:
Der Anforderungskatalog unterscheidet Basisan- » Art und Umfang der erbrachten Cloud-Dienste,
forderungen und optionale, weitergehende Anfor-
derungen (vgl. Abschnitt 2.1). » Grundsätze, Verfahren und Maßnahmen zur
Erbringung (Entwicklung und/oder Betrieb) des
» Der Prüfung und Berichterstattung können Cloud-Dienstes, einschließlich der eingerichte-
entweder die Basisanforderungen allein oder ten Kontrollen,
die Basisanforderungen zusammen mit den
weitergehenden Anforderungen zugrunde » Beschreibung der eingesetzten Infrastruktur-,
gelegt werden. Netzwerk- und Systemkomponenten für
Entwicklung und Betrieb des Cloud-Dienstes,
» Die Basisanforderungen (und soweit zutreffend einschließlich der geographischen Lage der
die weitergehenden Anforderungen) müssen Datenverarbeitung und Speicherung,
in jedem Fall vollständig und ohne Auslassun-
gen adressiert werden. Zum Nachweis einer
höheren Vertraulichkeit können weiterfüh-
rende Anforderungen mit entsprechendem
22
» Regelung des Umgangs mit bedeutsamen Vor- zusammen mit den Kontrollen beim
kommnissen und Verhältnissen, die Ausnahmen Cloud-Anbieter selbst ebenfalls Gegenstand
vom Regelbetrieb darstellen, wie beispielsweise der Prüfung sind.
der Ausfall von kritischen IT-Systemen,
» Carve-out Methode: Die Systembeschreibung
» Rollen und Zuständigkeiten des Cloud-An- umfasst keine detaillierte Beschreibung der
bieters und des Cloud-Kunden, einschließlich ausgelagerten Funktionen. Die beim Unter-
Mitwirkungspflichten und erforderlicher korre- auftragnehmer angesiedelten Kontrollen sind
spondierender Kontrollen beim Cloud-Kunden, nicht Gegenstand der Prüfung. In diesem Fall
erfolgt zumindest eine Prüfung der Kontrollen
» an Unterauftragnehmer vergebene oder ausge- des Dienstleisters, die der Überwachung der
lagerte Funktionen. Wirksamkeit der Kontrollen beim Unterauftrag-
nehmer dienen (vgl. hierzu auch die Anforde-
Bei der Berichterstattung vom Typ 2 muss die Sys- rungen DLL-01 und DLL-02 im Abschnitt 5). Am
tembeschreibung alle wesentlichen Änderungen unkompliziertesten ist es in diesem Fall, wenn
des die Cloud-Dienste betreffenden internen Kon- der Unterauftragnehmer nach den Vorgaben
trollsystems, die während des Berichtszeitraums aus diesem Dokument geprüft ist (und regel-
vorgenommen wurden, hinreichend detailliert mäßig geprüft wird) und dem Cloud-Anbieter
darstellen. Dies umfasst auch solche Änderungen, einen Prüfbericht über die Wirksamkeit der
die sich aus einer zwischenzeitlich erfolgten ausgelagerten Kontrollen vorlegt, den dieser
Aktualisierung des Anforderungskatalogs ergeben im Rahmen seiner Verfahren zur Steuerung
haben (vgl. Abschnitt 3.5.4). In keinem Fall darf und Überwachung seiner Unterauftragnehmer
die Systembeschreibung Informationen auslassen verarbeitet.
bzw. verzerren, die für den Aufgabenbereich des
die Cloud-Dienste betreffenden internen Kon- Der Cloud-Anbieter hat die anzuwendende
trollsystems relevant sind. Das bedeutet jedoch Methode nach eigenem Ermessen auszuwählen.
nicht, dass sämtliche Aspekte darzustellen sind, Diese Auswahl ist deutlich im Prüfbericht zu
die aus individueller Sicht einzelner auslagern- hinterlegen und dem (potenziellen) Cloud-Kun-
der Unternehmen als wichtig erachtet werden den transparent zu machen. Bei Anwendung der
können. Carve-out Methode wird der Wirtschaftsprüfer
beurteilen, ob der Umfang der Auslagerung in
Zu beachten ist hierbei, dass die Systembeschrei- der Systembeschreibung zutreffend beschrieben
bung in der Regel für eine Vielzahl von ausla- ist (z. B. auf Basis des Vertrags und Prüfberichten
gernden Unternehmen erstellt wird, dass aber die über das dienstleistungsbezogene interne Kon-
Prozesse in Teilen gleichwohl kundenindividuell trollsystem des Unterauftragnehmers) und die
ausgestaltet sein können. Wirksamkeit der ausgelagerten Kontrollen durch
den Cloud-Anbieter gemäß der Anforderung DLL-
Unter Umständen lagert der Cloud-Anbieter 02 überwacht wird.
Teile seiner Geschäftsprozesse zur Entwicklung
und/oder zum Betrieb des Cloud-Dienstes auf Inwiefern Unterauftragnehmer die Anforde-
weitere Dienstleistungsunternehmen aus (Einsatz rungen aus diesem Katalog erfüllen und wie
von Unterauftragnehmern). Dies muss in der die Umfeldparameter beim Unterauftragneh-
Systembeschreibung (und auch im Zuge der mer ausgestaltet sind, ist im Prüfbericht zu
Prüfung) entsprechend berücksichtigt werden. dokumentieren.
Hierfür werden die „Inclusive Methode“ und die
„Carve-out Methode“ unterschieden.
» Inclusive Methode: Die Systembeschreibung

umfasst auch die Art und den Umfang der
ausgelagerten Teile sowie die beim Unterauf-
tragnehmer angesiedelten Kontrollen, die dann
23
3.3.3 Verwertung von Nachweisen kann zur Identifizierung von Überschneidungen

aus anderen Prüfungen zwischen den im Abschnitt 2.3 genannten Stan-
dards und diesem Anforderungskatalog dienen.
Die einzelnen Anforderungen dieses Anforde-
rungskataloges basieren weitgehend auf national Die sonstigen allgemeinen Möglichkeiten des
und international bekannten Standards. Sofern Prüfers, im Rahmen seiner Eigenverantwortlich-
diese beim Cloud-Anbieter bereits als Referenz keit ggf. auch Ergebnisse Dritter zu verwenden,
genutzt werden, wird er entsprechende Prozesse bleiben hiervon natürlich unberührt.
und Kontrollen bereits in seinem Betriebsablauf
berücksichtigt haben. Diese Prozesse und Kont-
rollen bilden typischerweise auch die Grundlage
für weitere Prüfungen, die beim Cloud- Anbieter 3.4 Prüfungsziel und Berichterstattung
typischerweise durch unabhängige externe Prüfer
vorgenommen werden. Zu nennen sind in diesem 3.4.1 Prüfungsziel
Zusammenhang insbesondere Prüfungen nach
ISAE 3402, IDW PS 951 und/oder den US-Rege- Beim Prüfungsziel ist zu unterscheiden, ob
lungen für SOC 1 oder SOC 2. eine Berichterstattung nach Typ 1 oder Typ 2
(vgl. Abschnitt 3.3.1) vereinbart wurde. Je nach
In diesen Fällen bietet es sich an, diese Prüfungen vereinbartem Typ fällt der Prüfer unterschied-
organisatorisch und zeitlich mit einer Prüfung liche Prüfurteile. Ziel der Prüfung ist es, dem
nach diesem Anforderungskatalog zu kombinie- Prüfer eine Aussage mit hinreichender Sicherheit
ren. Hierdurch werden Prüfer und Cloud-Anbie- (Prüfungsurteil) darüber zu ermöglichen, ob
ter bei sich überschneidenden Kontrollen in die
Lage versetzt, Teile der Systembeschreibungen » die Systembeschreibung des Anbieters die
und der Prüfungsergebnisse parallel sowohl für tatsächliche Ausgestaltung und Einrichtung
eine Berichterstattung nach z. B. ISAE 3402 und/ des die Cloud-Dienste betreffenden internen
oder SOC 2 als auch für die Berichterstattung Kontrollsystems zum zu prüfenden Zeitpunkt
nach diesem Anforderungskatalog zu nutzen. (Berichterstattung vom Typ 1) bzw. während des
Dabei bietet es sich in der Regel an, der Prüfung zu prüfenden Zeitraums (Berichterstattung vom
nach diesem Anforderungskatalog jeweils den Typ 2) sachgerecht darstellt,
selben Prüfungszeitraum wie bei den anderen
Prüfungen zugrunde zu legen. » die in der Systembeschreibung dargestellten
Kontrollen zu dem zu prüfenden Zeitpunkt
Dies erlaubt, gleichermaßen bei der Umsetzung (Berichterstattung vom Typ 1) bzw. während
der Anforderungen dieses Anforderungskataloges, des zu prüfenden Zeitraums (Berichterstattung
der Dokumentation der Maßnahmen in einer vom Typ 2) im Hinblick auf die Erfüllung der
Systembeschreibung und bei der Prüfung selbst, Anforderungen des Anforderungskatalogs
unnötigen Mehraufwand zu reduzieren. angemessen ausgestaltet sind,
Sofern der Cloud-Anbieter weitergehende » die in der Systembeschreibung dargestellten

Zertifikate (z. B. nach ISO/IEC 27001, ISO 22301 Kontrollen (nur im Falle der Prüfung und
oder Datenschutzzertifikate) anstrebt, bietet es Berichterstattung vom Typ 2) während des zu
sich an, die entsprechenden Auditoren ggf. in das prüfenden Zeitraums wirksam sind.
Prüfungsteam mit aufzunehmen und die Prü-
fung, soweit möglich, gemeinsam durchzuführen.
Auf diese Weise bietet sich die Möglichkeit, die 3.4.2 Berichterstattung des Prüfers
Effizienz der Prüfungen insgesamt weiter zu opti-
mieren. Die Referenztabelle in einem separaten Die Berichterstattung über die Prüfung umfasst
Hilfsdokument zu diesem Anforderungskatalog (in analoger Anwendung des ISAE 3402) die
folgenden Bestandteile. Die Gliederung sollte sich
entsprechend an diesen Bestandteilen orientieren:
24
1. Bescheinigung des unabhängigen Prüfers 3.5 Gesonderte und ergänzende

Anforderungen des BSI
» Auftrag und Prüfungsumfang,
3.5.1 Qualifikation des Prüfers
» Verantwortung der gesetzlichen Vertreter des
Anbieters der Cloud-Dienstes bzw. des für die Die Beurteilung eines die Cloud-Dienste betref-
Cloud-Dienste verantwortlichen Manage- fenden internen Kontrollsystems auf Grundlage
ments des Cloud-Anbieters, des Anforderungskataloges stellt nach Auffassung
des BSI, aufgrund der damit verbundenen auch
» Unabhängigkeit und Qualitätssicherung des technisch geprägten Aspekte, besondere Anforde-
Prüfers/der Prüfungsgesellschaft, einschließ- rungen an die Qualifikation des Prüfers.
lich Angaben zur fachlichen Qualifikation des
Prüfers, Neben den mit der Anwendung des ISAE 3000
(Revised) allgemein verbundenen Anforderungen
» Verantwortung des Prüfers, an den Prüfer, werden an den Prüfer bzw. das von
ihm eingesetzte Prüfungsteam daher folgende
» Inhärente Grenzen von Kontrollen bei ergänzende Anforderungen gestellt.
Dienstleistungsunternehmen,
Mindestens die Hälfte der Mitglieder des
» Prüfungsurteil, Prüfungsteams verfügt über mehr als 3 Jahre
Berufserfahrung in der Wirtschaftsprüfung und
» Adressaten und Nutzung der Bescheinigung, darüber hinaus über zumindest eine der folgen-
den Berufsexamina/Zertifizierungen:
» Hinweis auf die Auftragsbedingungen.
» Information Systems Audit and Control Associ-
2. Erklärung der gesetzlichen Vertreter des ation (ISACA) – Certified Information Systems
Anbieters des Cloud-Dienstes bzw. des für die Auditor (CISA) oder Certified Information
Cloud-Dienste verantwortlichen Managements Security Manager (CISM) oder Certified in Risk
des Cloud-Anbieters (im internationalen and Information Systems Control (CRISC)
Umfeld auch als „written assertion“ oder
„written statement“ bezeichnet). » ISO/IEC 27001 Lead Auditor oder vom BSI
zertifizierter ISO 27001-Auditor für Audits auf
3. Beschreibung des die Cloud-Dienste betref- der Basis von BSI IT-Grundschutz
fenden internen Kontrollsystems (als Teil der
Systembeschreibung). » Cloud Security Alliance (CSA) – Certificate of
Cloud Security Knowledge (CCSK)
4. Darstellung der Anforderungen und der zuge-
ordneten Kontrollen (Teil der Systembeschrei- » (ISC)² – Certified Cloud Security Professional
bung), sowie Darstellung der durchgeführten (CCSP)
Prüfungshandlungen und der einzelnen
Prüfungsergebnisse des Prüfers. In der Berichterstattung ist anzugeben, welche der
hier genannten Berufsexamina/Zertifizierungen
5. Optional: sonstige Informationen, bereitgestellt im Prüfungsteam vorlagen (z. B. im Abschnitt zur
durch den Dienstleister. Unabhängig und Qualitätssicherung des Prüfers).
Die zugehörigen Nachweise sind dem Auftragge-
ber für die Prüfung auf Anfrage vorzulegen.
25
3.5.2 Berichterstattung über bestehende 3.5.3 Angaben zur Haftungsbegrenzung

bzw. festgestellte Abweichungen
von den Anforderungen Die Regelungen zur Haftung des Prüfers gegen-
über dem Dienstleister und den sonstigen
Es liegt in der Natur des Prüfungsgegenstandes, Empfängern der Berichterstattung können, auch
dass es im Zuge der Prüfung zu „negativen“ in Abhängigkeit landesspezifischer, den Prüfer
Prüfungsfeststellungen kommen kann. Unab- betreffende Regelungen, unterschiedlich ausge-
hängig von der Frage, ob eine solche Feststellung staltet sein.
insgesamt zu einer Einschränkung im Prüfungs-
urteil führt oder nicht, erwarten die Kunden des Nach Überzeugung des BSI sind Angaben zu
Cloud-Anbieters, dass dieser erkennbare Maß- Art und Höhe der Haftung des Prüfers für den
nahmen zur Fehlerbeseitigung und Optimierung Berichtsempfänger eine bedeutende Information.
seiner Systeme und Prozesse durchführt. Vor diesem Hintergrund muss die Berichterstat-
tung eine vorgesehene bzw. vereinbarte Haftungs-
Vor diesem Hintergrund sind in die Bericht- begrenzung erkennen lassen.
erstattung folgende Zusatzinformationen
aufzunehmen: Die Ausführungen hierzu können beispielsweise
im Abschnitt zum „Hinweis auf die Auftragsbe-
» Sofern der Mangel vom Dienstleister selbst dingen“ (ggf. mit Verweis auf weitere Anlagen)
erkannt wurde, ist anzugeben, wann und im erfolgen.
Zuge welcher Maßnahmen des Dienstleisters
der Mangel erkannt wurde.
3.5.4 Umgang mit Aktualisierungen
» Sofern der Mangel bereits Gegenstand der des Anforderungskataloges
Berichterstattung über einen vorhergehenden
Prüfungszeitraum war, ist anzugeben, wann Das BSI beabsichtigt, den Anforderungskatalog
und im Zuge welcher Maßnahmen der Mangel entsprechend der allgemeinen technischen
erkannt wurde; verbunden mit einem geson- Entwicklungen und auch der laufenden Fort-
derten Hinweis, dass die Entdeckung in einem entwicklung der zugrundeliegenden Standards,
vorherigen Prüfungszeitraum erfolgte. Dies regelmäßig zu aktualisieren.
setzt voraus, dass der Prüfer auf Prüfberichte
des Cloud-Anbieters aus vorangegangenen Cloud-Anbieter und Prüfer sollen in diesem
Prüfungszeiträumen zugreifen kann. Im Zwei- Zusammenhang über ausreichend Zeit verfügen,
felsfall hat sich der Prüfer dies im Zuge seiner um die mit der Aktualisierung des Anforderungs-
Beauftragung als Prüfer gesondert zusichern zu kataloges verbundenen Anpassungen der Systeme
lassen. und Prozesse sowie der Prüfungsdurchführung
vorzunehmen.
» In jedem Fall soll angegeben werden, welche
Maßnahmen zur künftigen Behebung des Nach Auffassung des BSI müssen die Anpassun-
Mangels vorgesehen sind und ab wann diese gen 12 Monate nach Veröffentlichung der neuen
Maßnahmen voraussichtlich abgeschlossen Version umgesetzt sein. Abweichungen hiervon
bzw. wirksam eingerichtet sein werden. sind gegenüber dem Kunden und Prüfern zu
begründen.
Die Berichterstattung hierüber kann beispiels-
weise in einem gesondert gekennzeichneten Wie im Abschnitt 3.3.2 dargelegt, sind alle im
Abschnitt der Systembeschreibung oder im Verlauf eines Prüfungszeitraumes vorgenomme-
optionalen Abschnitt der „Sonstige Informatio- nen wesentlichen Änderungen des die Cloud-
nen, bereitgestellt durch die gesetzlichen Vertreter Dienste betreffenden internen Kontrollsystems
des Dienstleisters“ erfolgen. hinreichend detailliert in der Systembeschreibung
darzustellen. Da die Umsetzung der Aktualisie-
rungen des Anforderungskataloges innerhalb von
26
12 Monaten erfolgen soll, kann es im Verlauf eines seiner Beauftragung ansehen und dies auch mit
Prüfungszeitraums vorkommen, dass sich die dem Anbieter vereinbaren. Dies gilt insbesondere
Beurteilung der Angemessenheit und der Wirk- für den Fall, wenn höherwertige Anforderungen
samkeit sowohl auf den Stand vor, als auch nach durch den Cloud-Anbieter erfüllt werden sollen.
Umsetzung dieser Maßnahmen bezieht.
Ferner sollte der potenzielle Cloud-Kunde seine
Soweit der Prüfungszeitraum in einem Zeitraum Entscheidung nicht nur auf ein vorhandenes,
endet, der zwischen sechs und zwölf Monaten aktuelles Testat (unabhängig, ob es sich lediglich
nach der Veröffentlichung der Aktualisierung des auf die Basisanforderungen oder auch auf höher-
Anforderungskataloges liegt, muss der Cloud-An- wertige bezieht) nach diesem Anforderungskata-
bieter in der Systembeschreibung ergänzende log gründen, sondern sollte sich den Prüfbericht
Angaben auch zu den noch erforderlichen und regelmäßig vorlegen lassen.
noch nicht abgeschlossenen Umsetzungsmaß-
nahmen machen. Hieraus muss auch hervorge-
hen, wann diese Maßnahmen abgeschlossen bzw.
wirksam eingerichtet sein sollen.
3.6 Anwendungshinweise an potenzielle

Cloud-Kunden: Regelmäßige Prüfung
und vertragliche Zusicherung
In den vorhergehenden Abschnitten wurden die

grundlegenden Anforderungen an die Prüfung
und Berichterstattung von Cloud-Diensten
dargelegt. In den nachfolgenden Kapiteln fol-
gen die konkreten Anforderungen. In diesem
Abschnitt gibt das BSI Hinweise an potenzielle
Cloud-Kunden, wie sie eventuell vorhandene
Testate von Cloud-Anbietern nutzen sollten.
Zuerst gilt festzuhalten, dass die Sicherheit von

Cloud-Diensten eine fortlaufende Aufgabe ist.
Diese Einsicht hat sich auch im Testat widerzu-
spiegeln. Es muss daher regelmäßig – i. d. R. alle
12 Monate – erneuert werden.
Ferner gilt, dass das BSI auf die eigentliche

Prüfung durch den Wirtschaftsprüfer keinen
Einfluss hat und auch nicht selbst die Qualität
des Cloud-Dienstes überprüft. Der Wirtschafts-
prüfer erbringt seine Tätigkeit gegenüber dem
Cloud-Anbieter, nicht gegenüber dem Kunden
des Anbieters.
Der Kunde des Cloud-Anbieters sollte die

Einhaltung der Anforderungen aus diesem
Anforderungskatalog (inklusive der Anforderung
an Prüfung, Prüfungsintervalle und Bericht-
erstattung) als einen wesentlichen Bestandteil
27
4 Rahmenbedingungen
des Cloud-Dienstes
(Umfeldparameter)
28
AnforDerungsKAtAlog ClouD ComputIng (C5) | umfelDpArAmeter
4 Rahmenbedingungen des Cloud-

Dienstes (Umfeldparameter)
» Rollen und Zuständigkeiten des Cloud-An-

Zielsetzung: Die grundsätzlichen bieters und des Cloud-Kunden, einschließlich
organisatorischen und rechtlichen Mitwirkungspflichten und korrespondierender
rahmenbedingungen und Vorgaben sind für Kontrollen beim Cloud-Kunden,
einen sachverständigen Dritten nachvollziehbar
und zutreffend beschrieben, um die » an Unterauftragnehmer vergebene oder ausge-
grundsätzliche eignung des Cloud-Dienstes lagerte Funktionen.
für die gewünschte Anwendung zu beurteilen.
Ergänzende Informationen zur Basisanforderung
Die Beschreibung der Infrastruktur-, Netzwerk-

UP-01 Systembeschreibung und Systemkomponenten sollen so detailliert
sein, dass der Cloud-Kunde einen guten und für
Basisanforderung Risikoabwägungen im Rahmen seines Sicher-
heitsmanagements notwendigen Überblick erhält
Der Cloud-Anbieter macht in seiner Systembe- ohne jedoch die Sicherheit des Cloud-Anbieters
schreibung nachvollziehbare und transparente durch deren Darlegung zu gefährden.
Angaben zum Cloud-Dienst, die es einem sach-
verständigen Dritten erlauben, die grundsätzliche
Eignung des Cloud-Dienstes für die gewünschte UP-02 Gerichtsbarkeit und
Anwendung zu beurteilen. Lokationen der Datenspeicherung,
-verarbeitung und -sicherung
Die Systembeschreibung beschreibt die folgenden
Aspekte: Basisanforderung
» Art und Umfang der erbrachten Cloud-Dienste Der Cloud-Anbieter macht in Dienstgütever-
gemäß der Dienstgütevereinbarung (Service einbarungen (Service Level Agreements), seiner
Level Agreements), die einem Vertrag mit den Verfahrensdokumentation oder vergleichbaren
Cloud-Kunden typischerweise zugrunde liegt, Dokumentationen nachvollziehbare und trans-
parente Angaben zu seiner Gerichtsbarkeit sowie
» Grundsätze, Verfahren und Maßnahmen zur den Lokationen der Daten bei Datenspeicherung,
Erbringung (Entwicklung und/oder Betrieb) des -verarbeitung und -sicherung, die es einem sach-
Cloud-Dienstes, einschließlich der eingerichte- verständigen Dritten erlauben, die grundsätzliche
ten Kontrollen, Eignung des Cloud-Dienstes für die Kundenan-
wendung zu beurteilen. Das betrifft auch die Ver-
» Beschreibung der eingesetzten Infrastruktur-, arbeitung, Speicherung und Sicherung von Daten
Netzwerk- und Systemkomponenten für des Cloud-Kunden durch Unterauftragnehmer
Entwicklung und Betrieb des Cloud-Dienstes, des Cloud-Anbieters. Daten des Cloud-Kunden
werden außerhalb der vertraglich vereinbarten
» Umgang mit bedeutsamen Vorkommnissen Lokationen nur nach ausdrücklicher, schriftlicher
und Verhältnissen, die Ausnahmen vom Regel- Zustimmung des Cloud-Kunden verarbeitet,
betrieb darstellen, wie bspw. der Ausfall von gespeichert und gesichert.
kritischen IT-Systemen,
29
AnforDerungsKAtAlog ClouD ComputIng (C5) | umfelDpArAmeter
UP-03 Offenbarungs- und » ISO 22301

Ermittlungsbefugnisse
» von den zuständigen Datenschutzbehörden
Basisanforderung akzeptierter Nachweis über die Einhaltung des
Datenschutzes
Der Cloud-Anbieter macht in Dienstgütever-
einbarungen (Service Level Agreements), seiner » Prüfberichte nach ISAE 3402/SSAE 16/SOC1/
Verfahrensdokumentation oder vergleichbaren IDW PS 951
Dokumentationen nachvollziehbare und transpa-
rente Angaben zu geltenden Offenbarungs- und » Softwarebescheinigungen nach IDW PS 880
Ermittlungsbefugnissen staatlicher Stellen, die
Zugriff auf Daten des Cloud-Kunden ermöglicht. Wichtig ist hierbei der Zertifizierungsgegenstand
Die Angaben müssen einem sachverständigen bzw. bei Systemzertifizierung, welchen Bereich
Dritten erlauben, die grundsätzliche Eignung des diese abdecken.
Cloud-Dienstes für die Kundenanwendung zu
beurteilen. Sofern der Cloud-Anbieter auf Dienste
Dritter zugreift, hat er diese Angaben von diesen
eingeholt.
Verbundene Unternehmen sind Mutter- oder

Tochterunternehmen des Cloud-Anbieters im
Sinne des § 271 Abs. 2 HGB. Offenbarungs- und
Ermittlungsbefugnisse bestehen üblicherweise
gegenüber Polizei und Staatsanwaltschaft sowie
Geheimdienststellen.
UP-04 Zertifizierungen
Basisanforderung
Der Cloud-Anbieter macht in Dienstgütever-

einbarungen (Service Level Agreements), seiner
Verfahrensdokumentation oder vergleichbaren
Dokumentationen nachvollziehbare und trans-
parente Angaben zu vorhandenen und gültigen
Zertifizierungen oder Bescheinigungen unab-
hängiger Dritter, die es einem sachverständigen
Dritten erlauben, die grundsätzliche Eignung des
Cloud-Dienstes für die Kundenanwendung zu
beurteilen.
Folgende Zertifikate oder Bescheinigungen

können dabei vorgelegt werden:
» ISO/IEC 27001 (ggf. auch auf der Basis von

IT- Grundschutz)
30
5 Zielsetzungen und
Anforderungen
31
AnforDerungsKAtAlog ClouD ComputIng (C5) | ZIelsetZungen unD AnforDerungen
5 Zielsetzungen und Anforderungen
5.1 Organisation der Angemessenheit und Wirksamkeit unter anderem

Informationssicherheit durch Prüfung der folgenden Anforderungen
beurteilt werden:
Zielsetzung: planung, umsetzung,
» OIS-01 Strategische Vorgaben zur Infor-
Aufrechterhaltung und kontinuierliche
mationssicherheit und Verantwortung der
Verbesserung eines rahmenwerks
Unternehmensleitung
zur Informationssicherheit
innerhalb der organisation.
» OIS-07 Identifikation, Analyse, Beurteilung und
Behandlung von Risiken
OIS-01 Managementsystem für » SA-01, SA-02 und SA-03 Richtlinien und

Informationssicherheit Anweisungen
Basisanforderung » SPN-01 Informieren der Unternehmensleitung
Die Unternehmensleitung initiiert, steuert und Optionale, weitergehende Anforderungen

überwacht ein Managementsystem zur Informa- (Vertraulichkeit und Verfügbarkeit)
tionssicherheit (ISMS), das sich an ISO-Standards
der 2700x-Reihe orientiert. Die Unternehmensleitung initiiert, steuert und
überwacht ein Managementsystem zur Informa-
» Die hierzu eingesetzten Instrumente und tionssicherheit (ISMS), das eine gültige Zertifizie-
Methoden ermöglichen eine nachvollziehbare rung nach ISO/IEC 27001:2013 oder ISO 27001 auf
Lenkung der folgenden Aufgaben und Aktivi- Basis von IT-Grundschutz aufweist. Die Erklärung
täten zur dauerhaften Aufrechterhaltung der zur Anwendbarkeit (Statement of Applicability)
Informationssicherheit: Planung, Umsetzung umfasst die IT-Prozesse zur Entwicklung und
der Planung bzw. Durchführung des Vorhabens, Betrieb des Cloud-Dienstes.
» Erfolgskontrolle bzw. Überwachung der Zieler-

reichung und OIS-02 Strategische Vorgaben zur
Informationssicherheit und Verantwortung
» Beseitigung von erkannten Mängeln und der Unternehmensleitung
Schwächen sowie kontinuierliche Verbesserung.
Basisanforderung
Das ISMS umfasst auch die IT-Prozesse zur
Entwicklung und Betrieb des Cloud-Dienstes. Eine Sicherheitsleitlinie mit Sicherheitszielen und
strategischen Vorgaben, wie diese Ziele erreicht
Ergänzende Informationen zur Basisanforderung werden sollen, ist dokumentiert. Die Sicherheits-
ziele leiten sich von den Unternehmenszielen
Soweit durch den Cloud-Anbieter noch keine und Geschäftsprozessen, relevanten Gesetzen und
Zertifizierung des ISMS vorgelegt werden kann, Verordnungen, sowie der aktuellen und zukünftig
dessen Erklärung zur Anwendbarkeit (Statement erwarteten Bedrohungsumgebung in Bezug auf
of Applicability) die IT-Prozesse zur Entwicklung Informationssicherheit ab. Die strategischen Vor-
und Betrieb des Cloud-Dienstes umfasst, können gaben stellen grundlegende Rahmenbedingungen
dar, die in weiteren Richtlinien und Anweisungen
32
näher spezifiziert werden (vgl. SA-01). Die Leitlinie » Beauftragter für die Behandlung von IT-Sicher-
wird von der Unternehmensleitung verabschiedet heitsvorfällen (z. B. CERT-Leiter)
und an alle betroffenen internen und externen
Parteien des Cloud-Anbieters (z. B. Cloud-Kunden, Veränderungen an Verantwortlichkeiten und
Unterauftragnehmer) kommuniziert. Schnittstellen werden intern und extern so zeit-
nah kommuniziert, dass alle betroffenen internen
Ergänzende Informationen zur Basisanforderung und externen Parteien (z. B. Cloud-Kunden) mit
organisatorischen und technischen Maßnahmen
Die hier geforderte Leitlinie ist eine Basisanforde- angemessen darauf reagieren können, bevor die
rung. Weiterführende Richtlinien und Anweisun- Änderung wirksam wird.
gen müssen sich an der Größe und Komplexität
der Organisation des Cloud-Anbieters und der Ergänzende Informationen zur Basisanforderung
Art des angebotenen Cloud-Dienstes orientieren.
Während in der Leitlinie kurz und prägnant die Dokumentationen und Stellenprofile, welche
allgemeinen Sicherheitsziele und eine Strategie die Zuständigkeiten im Rahmen der Informa-
zur Erreichung dieser Ziele formuliert sein tionssicherheit definieren und festlegen sollten
müssen, sind typischerweise keine organisatori- vorliegen. Die Angemessenheit der Zuweisung
schen und technischen Details enthalten. Es hat von Rollen und Verantwortlichkeiten auf eine
sich bewährt diese in weiteren Richtlinien und oder mehrere Personen beim Cloud-Anbieter ist
Anweisungen auf verschiedenen Ebenen näher vor dem Hintergrund der Größe und Komplexität
zu regeln. Auf den unteren Ebenen steigt der seiner Organisation zu beurteilen.
Detaillierungsgrad, während sich die Änderungs-
intervalle verkürzen. Optionale, weitergehende Anforderungen
(Vertraulichkeit)
OIS-03 Zuständigkeiten und Der Cloud-Anbieter identifiziert sämtliche

Verantwortungen im Rahmen der Risiken im Zusammenhang mit überlappen-
Informationssicherheit den oder inkompatiblen Zuständigkeiten und
Verantwortungen.
Basisanforderung
Zwischen Cloud-Anbieter und Cloud-Kunden OIS-04 Funktionstrennung

geteilte Verantwortlichkeiten, Mitwirkungs-
pflichten sowie die Schnittstellen zum Melden Basisanforderung
von Sicherheitsvorfällen und Störungen sind in
Abhängigkeit des Cloud-Modells (Infrastructure-, Organisatorische und technische Kontrollen sind
Plattform- oder Software-as-a-Service) und den eingerichtet, um die Trennung von Rollen und
vertraglichen Verpflichtungen definiert, doku- Verantwortlichkeiten („Separation of Duties“/
mentiert, zugewiesen und an alle betroffenen Funktionstrennung), die hinsichtlich der Vertrau-
internen und externen Parteien (z. B. Cloud-Kun- lichkeit, Integrität und Verfügbarkeit der Infor-
den, Unterauftragnehmer des Cloud-Anbieters) mationen der Cloud-Kunden nicht miteinander
kommuniziert. Seitens des Cloud-Anbieters sind vereinbar sind, zu gewährleisten. Kontrollen zur
mindestens die folgenden Rollen (oder vergleich- Funktionstrennung sind insbesondere in den
bare Äquivalente) in der Sicherheitsleitlinie oder folgenden Bereichen eingerichtet:
zugehörigen Richtlinien beschrieben und ent-
sprechende Verantwortlichkeiten zugewiesen: » Administration von Rollen, Genehmigung
und Zuweisung von Zugriffsberechtigun-
» IT-Leiter (CIO) gen für Benutzer unter Verantwortung des
Cloud-Anbieters,
» IT-Sicherheitsbeauftragter (CISO)
33
» Entwicklung und Implementierung von Ände- » CERT-Verbünde DFN-CERT, TF-CSIRT etc.

rungen am Cloud-Dienst,
Optionale, weitergehenden Anforderungen
» Wartung der für den Cloud-Dienst relevanten (Vertraulichkeit und Verfügbarkeit)
physischen und logischen IT-Infrastruktur
(Netzwerke, Betriebssysteme, Datenbanken) Es sind Verfahren definiert und dokumentiert,
und der IT-Anwendungen, soweit diese gemäß um die erhaltenen Informationen an die internen
der vertraglichen Vereinbarungen mit dem und externen Mitarbeiter des Cloud-Anbieters
Cloud-Kunden im Verantwortungsbereich des zu kommunizieren und zeitnah und angemessen
Cloud-Anbieters liegen. darauf zu reagieren.
Operative und kontrollierende Funktionen sollten

nicht von einer Person gleichzeitig wahrgenom- OIS-06 Richtlinie für die Organisation
men werden dürfen. Kann aus organisatorischen des Risikomanagements
oder technischen Gründen keine Funktions-
trennung erreicht werden, sind angemessene Basisanforderung
kompensierende Kontrollen eingerichtet, um
missbräuchliche Aktivitäten zu verhindern oder Richtlinien und Anweisungen über das grund-
aufzudecken. sätzliche Verfahren zur Identifikation, Analyse,
Beurteilung und Behandlung von Risiken und
Optionale, weitergehende Anforderungen insbesondere IT-Risiken sind gemäß SA-01 doku-
(Vertraulichkeit) mentiert, kommuniziert und bereitgestellt.
Der Cloud-Anbieter hat vorhandene Funktions-

trennungskonflikte und die dazu eingerichteten OIS-07 Identifikation, Analyse,
kompensierenden Kontrollen nachvollziehbar Beurteilung und Behandlung von Risiken
dokumentiert (z. B. in einem Rollen- und Rech-
tekonzept), um eine Beurteilung über die Ange- Basisanforderung
messenheit und Wirksamkeit dieser Kontrollen zu
ermöglichen. Die Verfahren zur Identifikation, Analyse, Beurtei-
lung und Behandlung von Risiken, einschließlich
der für den Cloud-Dienst relevanten IT-Risiken,
OIS-05 Kontakt zu relevanten werden mindestens jährlich durchlaufen, um
Behörden und Interessenverbänden interne und externe Veränderungen und Einfluss-
faktoren zu berücksichtigen. Die identifizierten
Basisanforderung Risiken werden gemäß der Maßnahmen des Risi-
komanagements nachvollziehbar dokumentiert,
Angemessene und für den Cloud-Anbieter bewertet und mit mitigierenden Maßnahmen
relevante Kontakte zu Behörden und Interessen- versehen.
verbänden sind etabliert, um stets über aktuelle
Bedrohungslagen und Gegenmaßnahmen Ergänzende Informationen zur Basisanforderung
informiert zu sein.
Soweit es sich beim Cloud-Anbieter um eine Akti-
Ergänzende Informationen zur Basisanforderung engesellschaft (AG) oder eine Kommanditgesell-
schaft auf Aktien (KGaA) handelt, findet § 91 Abs.
Relevante Kontakte sind beispielsweise: 2 AktG Anwendung. Demnach hat der Vorstand
geeignete Maßnahmen zu treffen, insbesondere
» Bundesamt für Sicherheit in der Informations- ein Überwachungssystem einzurichten, damit
technik (BSI) den Fortbestand der Gesellschaft gefährdende
Entwicklungen früh erkannt werden. Soweit diese
» OWASP Foundation Maßnahmen bereits Gegenstand einer Prüfung
34
durch einen Wirtschaftsprüfer waren, können 5.2 Sicherheitsrichtlinien und

diese Ergebnisse berücksichtigt werden. Dabei Arbeitsanweisungen
ist sicherzustellen, dass die für den Cloud-Dienst
relevanten Risiken (i. d. R. IT-Risiken) Gegen-
Zielsetzung: Bereitstellen von
stand des überprüften Überwachungssystems
richtlinien und Anweisungen bzgl. des
sind. Durch Auslagern von Geschäftsprozessen
sicherheitsanspruchs und zur unterstützung
zur Entwicklung und/oder zum Betrieb des
der geschäftlichen Anforderungen.
Cloud-Dienstes auf weitere Dienstleistungsun-
ternehmen, verbleibt die Verantwortung für diese
Risiken beim Cloud-Anbieter. Sie sind durch
angemessene Verfahren zur Auswahl, Steuerung SA-01 Dokumentation, Kommunikation
und Überwachung der Dienstleistungsunterneh- und Bereitstellung von Richtlinien und
men zu adressieren (vgl. Anforderungen DLL-01 Anweisungen
und DLL-02).
Basisanforderung
Optionale, weitergehenden Anforderungen
(Vertraulichkeit und Verfügbarkeit) Von der Sicherheitsleitlinie abgeleitete Richtlinien
und Anweisungen zur Informationssicherheit
Vorgaben der Unternehmensleitung für den oder verwandter Themen sind nach einer einheit-
Risikoappetit und die Risikotoleranzen des lichen Struktur dokumentiert. Sie werden sach-
Cloud-Anbieters sind in der Richtlinie für das und bedarfsgerecht an alle internen und externen
Risikomanagement oder einem vergleichbaren Mitarbeiter des Cloud-Anbieters kommuniziert
offiziellen Dokument enthalten. Die zeitgerechte und bereitgestellt. Leitlinien werden versioniert
Implementierung der mitigierenden Maßnahmen und von der Unternehmensleitung des Cloud-An-
wird durch qualifiziertes Personal des Cloud-An- bieters freigegeben.
bieters überwacht. Die Unternehmensleitung wird
mindestens quartalsweise und in angemessener Die Richtlinien und Anweisungen beschreiben
Form über den Status der identifizierten Risiken mindestens die folgenden Aspekte:
und mitigierender Maßnahmen informiert.
» Ziele,
» Geltungsbereiche,
» Rollen und Verantwortlichkeiten, einschließ-

lich Anforderungen an die Qualifikation
des Personals und das Einrichten von
Vertretungsregelungen,
» die Koordination unterschiedlicher

Unternehmensbereiche,
» Sicherheitsarchitektur und -maßnahmen zum

Schutz von Daten, IT-Anwendungen und IT-In-
frastrukturen, die durch den Cloud-Anbieter
oder von Dritten verwaltet werden sowie
» Maßnahmen zur Einhaltung rechtlicher und

regulatorischer Anforderungen (Compliance).
35
Ergänzende Informationen zur Basisanforderung » Richtlinie zum Umgang mit und Sicherheitsan-
forderungen an Dienstleister und Lieferanten
Die sach- und bedarfsgerechte Kommunikation des Cloud-Anbieters (DLL-01)
und Bereitstellung sind vor dem Hintergrund
der Größe und Komplexität der Organisation des » Sicherstellung des Geschäftsbetriebes und
Cloud-Anbieters und der Art des angebotenen Notfallmanagement (BCM-02)
Cloud-Dienstes zu beurteilen. Mögliche Kriterien
sind: » Sicherheit mobiler Endgeräte (MDM-01)
» Thematisierung der Richtlinien und Anweisun-

gen in der Einarbeitung neuer Mitarbeiter SA-02 Überprüfung und Freigabe von
von Richtlinien und Anweisungen
» Schulung und Informationskampagnen bei Ver-
abschiedung von neuen oder der Überarbeitung Basisanforderung
bestehender Richtlinien und Anweisungen
Die Richtlinien und Anweisungen zur Infor-
» Form der Bereitstellung mationssicherheit werden mindestens jährlich
durch mit dem Thema vertraute Fachkräfte des
Richtlinien und Anweisungen werden zu den fol- Cloud-Anbieters hinsichtlich ihrer Angemessen-
genden Basisanforderungen gefordert und an den heit und Wirksamkeit überprüft.
angegebenen Stellen inhaltlich näher spezifiziert:
Die Überprüfung berücksichtigt mindestens
» Risikomanagement (OIS-06)
» organisatorische Änderungen beim
» Verwaltung von Datenträgern (AM-07) Cloud-Anbieter,
» Wartung von Infrastruktur und Geräten (PS-05) » die aktuelle und zukünftig erwartete Bedro-
hungsumgebung in Bezug auf Informationssi-
» Datensicherung und Wiederherstellung (RB-06) cherheit sowie
» Protokollierung und Überwachung (RB- 10/ » rechtliche und technische Änderungen im

RB-11) Umfeld des Cloud-Anbieters.
» Identifizieren von und Umgang mit Schwach- Überarbeitete Richtlinien und Anweisungen
stellen (RB-19) werden durch hierzu autorisierten Gremien oder
Stellen des Cloud-Anbieters genehmigt, bevor
» Verwaltung von Zugangs- und Zugriffsberechti- diese Gültigkeit erlangen.
gungen (IDM-01)
Optionale, weitergehende Anforderungen
» Kryptographie und Schlüsselmanagement (Vertraulichkeit und Verfügbarkeit)
(KRY-01)
Die regelmäßige Überprüfung wird durch zent-
» Kommunikationssicherheit (KOS-05) rale Stellen beim Cloud-Anbieter nachgehalten.
» Portabilität und Interoperabilität (PI-03)
» Beschaffung und Entwicklung von

Cloud-Diensten (BEI-01)
» Change Management (BEI-03)
36
SA-03 Abweichungen von bestehenden 5.3 Personal

Richtlinien und Anweisungen
Basisanforderung Zielsetzung: sicherstellen, dass mitarbeiter,

Dienstleister und lieferanten ihre Aufgaben
Ausnahmen von Richtlinien und Anweisungen verstehen, sich ihrer Verantwortung in Bezug
zur Informationssicherheit werden durch hierzu auf Informationssicherheit bewusst sind und
autorisierten Gremien oder Stellen des Cloud-An- die Assets der organisation bei änderung der
bieters in dokumentierter Form genehmigt. Die Aufgaben oder Beendigung geschützt werden.
Angemessenheit genehmigter Ausnahmen und
die Beurteilung der daraus entstehenden Risiken
wird mindestens jährlich durch mit den Themen
vertraute Fachkräfte des Cloud-Anbieters vor HR-01 Sicherheitsüberprüfung
dem Hintergrund der aktuellen und zukünftig der Hintergrundinformationen
erwarteten Bedrohungsumgebung in Bezug auf
die Informationssicherheit überprüft. Basisanforderung
Optionale, weitergehende Anforderungen Die Vergangenheit aller internen und externen

(Vertraulichkeit und Verfügbarkeit) Mitarbeiter des Cloud-Anbieters mit Zugriff
auf Daten der Cloud-Kunden oder der geteilten
Die Angemessenheit genehmigter Ausnahmen IT-Infrastruktur wird vor Beginn des Beschäfti-
und die Beurteilung der daraus entstehenden gungsverhältnisses gemäß der lokalen Gesetzge-
Risiken wird mindestens jährlich durch einen bung und Regulierung durch den Cloud-Anbieter
unabhängigen Dritten dahingehend überprüft, überprüft.
ob sie ein tatsächliches Bild der aktuellen und
zukünftig erwarteten Bedrohungsumgebung in Soweit rechtlich zulässig, umfasst die Überprü-
Bezug auf die Informationssicherheit wiedergibt fung folgende Bereiche:
(vgl. SPN-01).
» Verifikation der Person durch Personalausweis
» Verifikation des Lebenslaufs
» Verifikation von akademischen Titeln und

Abschlüssen
» Anfrage eines polizeilichen Führungszeugnisses

bei sensiblen Positionen im Unternehmen
Die Überprüfung kann durch einen speziali-

sierten Dienstleister unterstützt werden. Haben
Mitarbeiter eines Dienstleisters Zugriff auf die
Nutzerdaten muss der Dienstleister gem. DLL-01
und DLL-02 diese Anforderung erfüllen und
transparent machen.
37
Optionale, weitergehende Anforderungen Cloud-Dienst erforderlichen IT-Anwendungen

(Vertraulichkeit) und IT-Infrastruktur, einschließlich mobiler
Endgeräte,
Besondere Genehmigungsverfahren im Einstel-
lungsprozess für Mitarbeiter und Positionen bei » der angemessene Umgang mit Daten der
denen Zugriff auf besonders sensible Informatio- Cloud-Kunden,
nen besteht, sind etabliert.
» die regelmäßige und dokumentierte Unterrich-
tung über bekannte Bedrohungen und
HR-02 Beschäftigungsvereinbarungen
» das regelmäßige und dokumentierte Training
Basisanforderung des Verhaltens beim Auftreten sicherheitsrele-
vanter Ereignisse.
Beschäftigungsvereinbarungen beinhalten die
Verpflichtungen der internen und externen Externe Dienstleister und Lieferanten des
Mitarbeiter des Cloud-Anbieters auf Einhaltung Cloud-Anbieters, die zur Entwicklung oder
einschlägiger Gesetze, Vorschriften und Rege- Betrieb des Cloud-Dienstes beitragen, werden
lungen in Bezug zur Informationssicherheit vertraglich verpflichtet ihre Mitarbeiter und
(vgl. KOS-10). Die Sicherheitsleitlinie sowie die Unterauftragnehmer auf die spezifischen
davon abgeleiteten Richtlinien und Anweisungen Sicherheitsanforderungen des Cloud-Anbieters
zur Informationssicherheit sind den Unterlagen hinzuweisen und ihre Mitarbeiter allgemein zum
zur Beschäftigungsvereinbarung beigefügt. Deren Thema Informationssicherheit zu schulen.
Einhaltung wird durch den Mitarbeiter schriftlich
bestätigt, bevor Zugriff auf Daten der Cloud-Kun- Optionale, weitergehende Anforderungen
den oder die (geteilte) IT-Infrastruktur möglich (Vertraulichkeit und Verfügbarkeit)
ist.
Das Programm berücksichtigt verschiedene Pro-
file und umfasst weiterführende Informationen
HR-03 Programm zur Sicherheits- für Positionen und Mitarbeiter die umfangreiche
ausbildung und Sensibilisierung Berechtigungen oder Zugriff auf sensible Daten
haben. Externen Mitarbeiter von Dienstleistern
Basisanforderung und Lieferanten des Cloud-Anbieters, die zur
Entwicklung oder Betrieb des Cloud-Dienstes
Ein Programm zur zielgruppenorientierten beitragen, werden in den spezifischen Sicher-
Sicherheitsausbildung und Sensibilisierung zum heitsanforderungen des Cloud-Anbieters sowie
Thema Informationssicherheit existiert und ist allgemein zum Thema Informationssicherheit
verpflichtend für alle internen und externen unterwiesen. Der Cloud-Anbieter überprüft
Mitarbeiter des Cloud-Anbieters. Das Programm stichprobenartig, dass Dienstleister und Lieferan-
wird regelmäßig in Bezug auf die gültigen Richtli- ten die Unterweisung angemessen durchgeführt
nien und Anweisungen, den zugewiesenen Rollen haben. Ergebnisse der Prüfung werden nachvoll-
und Verantwortlichkeiten sowie den bekannten ziehbar dokumentiert.
Bedrohungen aktualisiert und ist dann erneut zu
durchlaufen.
HR-04 Disziplinarmaßnahmen
Das Programm umfasst mindestens die folgenden
Inhalte: Basisanforderung
» die regelmäßige und dokumentierte Unter- Ein Prozess für die Durchführung von Diszip-
weisung hinsichtlich der sicheren Konfigu- linarmaßnahmen ist implementiert und an die
ration und des sicheren Betriebs der für den Mitarbeiter kommuniziert, um die Konsequenzen
38
von Verstößen gegen die gültigen Richtlinien und 5.4 Asset Management
Anweisungen, sowie rechtliche Vorgaben und
Gesetze transparent zu machen.
Zielsetzung: Identifizieren der
organisationseigenen Assets und der
Verantwortlichen und gewährleisten
HR-05 Beendigung des Beschäftigungs- eines angemessenen schutzniveaus.
verhältnisses oder Änderungen der
Verantwortlichkeiten
Basisanforderung AM-01 Asset Inventar

Interne sowie externe Mitarbeiter sind darüber Basisanforderung
informiert, dass die Verpflichtungen auf Einhal-
tung einschlägiger Gesetze, Vorschriften und Die zur Erbringung des Cloud-Dienstes eingesetz-
Regelungen in Bezug zur Informationssicherheit ten Assets (z. B. PCs, Peripheriegeräte, Telefone,
auch bei einem Wechsel des Aufgabengebietes Netzwerkkomponenten, Server, Installations-
oder der Auflösung des Beschäftigungsverhältnis- dokumentationen, Verfahrensanweisungen,
ses bestehen bleiben. IT-Anwendungen, Werkzeuge) sind identifiziert
und inventarisiert. Durch angemessene Prozesse
und Maßnahmen wird sichergestellt, dass dieses
Inventar vollständig, richtig, aktuell und kon-
sistent bleibt. Änderungen an den Einträgen im
Inventar werden nachvollziehbar historisiert.
Soweit hierzu keine wirksamen Automatismen
eingerichtet sind, wird dies durch eine mindes-
tens monatlich stattfindende manuelle Überprü-
fung der Inventardaten des Assets sichergestellt.
Zu Asset-Management siehe auch die ISO-Nor-

men 55001 und 55002.

(Verfügbarkeit)
Der Cloud-Anbieter kann bei einem Ausfall von

Assets, die für die Verfügbarkeit des Cloud-Diens-
tes von wesentlicher Bedeutung sind (z. B. zent-
rale Netzwerkkomponenten), zeitnah erkennen,
welche Cloud-Kunden davon betroffen sind, um
eine der Dienstgütevereinbarung entsprechende
Reaktion aufgetretene Störungen sicherzustellen.
Durch technische Maßnahmen ist sichergestellt,
dass sich das Inventar der Assets in regelmäßigen
Abständen automatisch aktualisiert.
39
AM-02 Zuweisung von Asset » Kritikalität für die Erbringung des

Verantwortlichen Cloud- Dienstes
Basisanforderung » Sensibilität gegenüber unautorisierter Offenle-

gung oder Modifizierung
Sämtliche inventarisierten Assets sind einem
Verantwortlichen auf Seiten des Cloud-Anbieters » Datentyp
zugewiesen. Die Verantwortlichen des Cloud-An-
bieters sind über den kompletten Lebenszyklus » Anwendbare Rechtsordnung des Assets
der Assets dafür zuständig, dass diese vollständig
inventarisiert und richtig klassifiziert sind. » Geographische Lokation
» Kontext
AM-03 Nutzungsanweisungen für Assets
» Rechtliche Einschränkungen
Basisanforderung
» Vertragliche Einschränkungen
Richtlinien und Anweisungen mit technischen
und organisatorischen Maßnahmen für den » Wert
ordnungsgemäßen Umgang mit Assets sind
gemäß SA-01 dokumentiert, kommuniziert und
der jeweils aktuellsten Version bereitgestellt. AM-06 Kennzeichnung von Informationen
und Handhabung von Assets
AM-04 Ab- und Rückgabe von Assets Basisanforderung
Basisanforderung Zu dem umgesetzten Klassifizierungsschema von

Informationen und Assets existieren Arbeitsan-
Alle internen und externen Mitarbeiter des weisungen und Prozesse, um die Kennzeichnung
Cloud-Anbieters sind verpflichtet sämtliche von Informationen, sowie die entsprechende
Assets, die Ihnen in Bezug auf den Cloud-Dienst Behandlung von Assets zu gewährleisten.
ausgehändigt wurden bzw. für die sie verantwort- Gemeint sind hier nur die Assets, die Informatio-
lich sind, zurückzugeben oder unwiderruflich nen speichern oder verarbeiten.
zu löschen sobald das Beschäftigungsverhältnis
beendet ist. Ergänzende Informationen zur Basisanforderung
Kennzeichnung (engl. Labeling) von Informatio-

AM-05 Klassifikation von Informationen nen ist im Nachgang zur Klassifizierung durchzu-
führen und liegt i. d. R. in der Verantwortung der
Basisanforderung Asset Owner. Eine Methode zur Kennzeichnung
könnte eine Regelung für Dokumente sein, dass
Der Cloud-Anbieter verwendet eine einheit- die Vertraulichkeitsstufe auf jeder Seite des Doku-
liche Klassifizierung von Informationen und ments an der jeweils gleichen Stelle angegeben
Assets, die für Entwicklung und Erbringung des ist. Methoden zur Behandlung von Assets sollen
Cloud-Dienstes relevant sind. Regelungen beinhalten, wie Assets gemäß jeder
Vertraulichkeitsstufe zu schützen sind.
Die Klassifizierung von Informationen und Assets

sollte u. a. folgende Angaben berücksichtigen:
40
AM-07 Verwaltung von Datenträgern 5.5 Physische Sicherheit
Basisanforderung
Zielsetzung: Verhindern von unberechtigtem
Richtlinien und Anweisungen mit technischen physischen Zutritt und schutz vor Diebstahl,
und organisatorischen Maßnahmen für den schaden, Verlust und Ausfall des Betriebs.
sicheren Umgang mit Datenträgern aller Art
sind gemäß SA-01 dokumentiert, kommuniziert
und bereitgestellt. Die Vorgaben stellen einen
Bezug zur Klassifikation von Informationen her PS-01 Perimeterschutz
(vgl. AM-05). Sie umfassen die sichere Verwen-
dung, den sicheren Transport sowie die unwie- Basisanforderung
derbringliche Löschung und Vernichtung von
Datenträgern. Die Begrenzungen von Räumlichkeiten oder
Gebäuden, die sensible oder kritische Informati-
Ergänzende Informationen zur Basisanforderung onen, Informationssysteme oder sonstige Netz-
werkinfrastruktur beherbergen, sind physisch
Richtlinien und Anweisungen sollten folgende solide und durch angemessene Sicherheitsmaß-
Aspekte berücksichtigen: nahmen geschützt, die dem Stand der Technik
entsprechen.
» Sichere und unwiderrufliche Löschung der
Daten und Entsorgung/Vernichtung der Ergänzende Informationen zur Basisanforderung
Datenträger,
Mögliche Sicherheitsmaßnahmen könnten
» Verschlüsselung von Wechseldatenträgern, beispielsweise Zäune, Mauern, Sicherheitsper-
sonal oder Videoüberwachung sein. Bei den
» Übertragung der Daten auf neue Datenträger äußeren Türen und Fenstern sollte einbruch-
bei Austausch eines Mediums. hemmendes Material (z. B. nach DIN EN 1627
Widerstandsklasse RC 2) und entsprechende
Schließvorrichtungen verbaut sein.
AM-08 Überführung und Entfernung
von Assets Optionale, weitergehende Anforderungen
(Vertraulichkeit)
Basisanforderung
Das Sicherheitskonzept beinhaltet die Einrich-
Geräte, Hardware, Software oder Daten dürfen tung von verschiedenen Sicherheitszonen, die
nur nach erfolgter Genehmigung durch autori- durch Sicherheitslinien als überwachte und
sierten Gremien oder Stellen des Cloud-Anbieters gesicherte Übergänge zwischen den Zonen
in externe Räumlichkeiten überführt werden. Die getrennt sind.
Überführung findet auf sicherem Wege statt, ent-
sprechend der Art des zu überführenden Assets.
PS-02 Physische Zutrittskontrolle
Basisanforderung
Zugänge zu Räumlichkeiten oder Gebäuden die

sensible oder kritische Informationen, Informati-
onssysteme oder sonstige Netzwerkinfrastruktur
beherbergen, sind durch physische Zutrittskont-
rollen gesichert und überwacht, um unbefugten
Zutritt zu verhindern.
41
Optionale, weitergehende Anforderungen Optionale, weitergehende Anforderungen

(Vertraulichkeit) (Verfügbarkeit)
Die physischen Zutrittskontrollen erfordern eine Es findet eine Überwachung der Umgebungspara-
Zwei-Faktor-Authentifizierung. meter statt. Bei Verlassen des zulässigen Regelbe-
reichs werden Alarmmeldungen generiert und an
die dafür zuständigen Stellen weitergeleitet.
PS-03 Schutz vor Bedrohungen
von außen und aus der Umgebung
PS-04 Schutz vor Unterbrechungen durch
Basisanforderung Stromausfälle und andere derartige Risiken
Räumlichkeiten oder Gebäude die sensible oder Basisanforderung

kritische Informationen, Informationssysteme
oder sonstige Netzwerkinfrastruktur beherbergen, Dem Ausfall von Versorgungsleistungen wie
sind durch bauliche, technische und organisato- Strom, Kühlung oder Netzanbindungen wird
rische Maßnahmen vor Feuer, Wasser, Erdbeben, durch geeignete Maßnahmen und Redundan-
Explosionen, zivile Unruhen und andere Formen zen, in Abstimmung mit den Maßnahmen zur
natürlicher und von Menschen verursachter Betriebssicherheit, vorgebeugt. Versorgungs-
Bedrohungen geschützt. leitungen für Strom und Telekommunikation,
welche Daten transportieren oder Informations-
An zwei georedundanten Standorten sind min- systeme versorgen, sind vor Abhören und Beschä-
destens die folgenden Maßnahmen getroffen: digung geschützt.
Bauliche Maßnahmen: Ergänzende Informationen zur Basisanforderung
» Einrichtung eines eigenen Brandabschnitts für Geeignete Maßnahmen zur Ausfallvorsorge

das Rechenzentrum umfassen typischerweise:
» Verwendung feuerbeständiger Materialien » Redundante Stromversorgung und

gemäß DIN 4102-1 oder EN 13501 (Feuerwider- Klimaanlagen
standsdauer von mindestens 90 Minuten)
» Einsatz von angemessen dimensionierten
Technische Maßnahmen: unterbrechungsfreien Stromversorgungen
(USV) und Netzersatzanlagen (NEA)
» Sensoren zum Überwachen von Temperatur
und Luftfeuchtigkeit » Redundante Netzwerkanbindung über unter-
schiedliche physische Anbindungen
» Aufschalten des Gebäudes an einer Brand-
meldeanlage mit Meldung an die örtliche Darüber hinaus sollte der Cloud-Anbieter ermit-
Feuerwehr teln und kommunizieren, welche externen Tem-
peraturen die Klimatisierung des Rechenzent-
» Brandfrüherkennungs- und Löschanlage rums wie lange aushalten (also z. B. 30 °C/14 Tage,
35 °C/6 Tage, 40 °C/4 Tage). Soweit mit Flusswas-
Organisatorische Maßnahmen: ser gekühlt, sollte angegeben werden, bei welchen
Wasserständen die Klimatisierung wie lange
» Regelmäßige Brandschutzübungen und Brand- aufrechterhalten werden kann. Zum Nachweis
schutzbegehungen, um die Einhaltung der über die Abhörsicherheit und dem Beschädi-
Brandschutzmaßnahmen zu prüfen gungsschutz können Verkabelungspläne und ein
entsprechendes Schutzkonzept vorgelegt werden,
das in Gesprächen mit dem Verantwortlichen
42
plausibilisiert wird. Bei einer Sichtprüfung ist » Analysen der Assets vor der Wiederverwendung
u. a. auf Spuren gewaltsamer Öffnungsversuche um Manipulationen oder Fehlfunktionen zu
an geschlossenen Verteilern, Aktualität der im vermeiden,
Verteiler befindlichen Dokumentation, Über-
einstimmung der tatsächlichen Beschaltung » Erneuerung von Assets, sofern Verfügbarkeit,
und Rangierungen mit der Dokumentation, Sicherheit, Integrität oder Vertraulichkeit
Unversehrtheit der Kurzschlüsse und Erdungen gefährdet sein könnten.
nicht benötigter Leitungen sowie auf unzulässige
Einbauten und Veränderungen zu achten.

(Verfügbarkeit)
Es findet eine Überwachung der Versorgungsleis-

tungen statt. Bei Verlassen des zulässigen Regelbe-
reichs werden Alarmmeldungen generiert und an
die dafür zuständigen Stellen weitergeleitet. Der
Cloud-Anbieter ermittelt und kommuniziert die
Autark-Zeiten, die durch die getroffenen Maß-
nahmen bei Ausfall der Versorgungsleistungen
oder beim Eintritt von außergewöhnlichen Ereig-
nissen (z. B. Hitzeperioden, länger anhaltender
Stromausfall) erreicht werden sowie die maximal
tolerierbaren Zeiten für einen Ausfall der Versor-
gungsleistungen. Verträge für die Aufrechterhal-
tung der Notfallversorgung mit entsprechenden
Dienstleistern sind abgeschlossen (z. B. für den
Treibstoff der Notstromversorgung).
PS-05 Wartung von Infrastruktur

und Geräten
Basisanforderung

und organisatorischen Maßnahmen sind
bereitgestellt, welche die Wartung (insbesondere
Fernwartung), Löschung, Aktualisierung und
Wiederverwendung von Assets in der Informati-
onsverarbeitung in ausgelagerten Räumlichkeiten
oder durch externes Personal beschreiben.
Richtlinien und Anweisungen sollten folgende

Aspekte berücksichtigen:
» die sichere Löschung von sensiblen Daten vor

einer externen Reparatur oder Wartung,
43
5.6 Regelbetrieb RB-02 Kapazitätsmanagement –

Überwachung
Zielsetzung: sicherstellen eines ordnungs- Basisanforderung
gemäßen regelbetriebs einschließlich
angemessener maßnahmen für planung Technische und organisatorische Maßnahmen
und überwachung der Kapazität, schutz vor zur Überwachung und Provisionierung bzw.
schadprogrammen, protokollierung und über- De-Provisionierung von Cloud-Dienstleistungen
wachung von ereignissen sowie den umgang sind definiert. Dadurch stellt der Cloud-Anbieter
mit schwachstellen, störungen und fehlern. sicher, dass Ressourcen bereitgestellt bzw. Leis-
tungen gemäß der vertraglichen Vereinbarungen
erbracht werden und die Einhaltung der Dienst-
RB-01 Kapazitätsmanagement – Planung gütevereinbarungen sichergestellt ist.
Basisanforderung Ergänzende Informationen zur Basisanforderung
Die Planung von Kapazitäten und Ressourcen Technische und organisatorische Maßnahmen
(Personal und IT-Ressourcen) folgt einem umfassen typischerweise:
etablierten Verfahren, um mögliche Kapazitäts-
engpässe zu vermeiden. Die Verfahren umfassen » Einsatz von Monitoring Tools mit Alarmie-
Prognosen von zukünftigen Kapazitätsanforde- rungsfunktion beim Überschreiten definierter
rungen, um Nutzungstrends zu identifizieren und Schwellwerte,
Risiken der Systemüberlastung zu beherrschen.
» Prozess zum Korrelieren von Events und
Ergänzende Informationen zur Basisanforderung Schnittstelle zum Incident Management,
Aus Wirtschaftlichkeitsgründen streben » eine durchgängige Überwachung der Systeme

Cloud-Anbieter typischerweise eine hohe Aus- durch qualifiziertes Personal,
lastung der IT-Ressourcen (CPU, Arbeitsspeicher,
Speicherplatz, Netzwerk) an. In Multi-Mandan- » Redundanzen in den IT-Systemen.
ten-Umgebungen müssen die vorhandenen
Ressourcen zwischen den Cloud-Nutzern Optionale, weitergehende Anforderungen
(Mandanten) trotzdem so aufgeteilt werden, (Verfügbarkeit)
dass die Dienstgütevereinbarungen eingehalten
werden. Insoweit sind die angemessene Planung Zur Überwachung der Kapazität und der Verfüg-
und Überwachung von IT-Ressourcen kritisch barkeit stehen dem Cloud-Kunden die relevanten
für die Verfügbarkeit und Wettbewerbsfähigkeit Informationen in einem Self-Service-Portal zur
des Cloud-Dienstes. Soweit die Verfahren nicht Verfügung.
dokumentiert sind oder als Betriebsgeheimnis des
Cloud-Anbieters einer höheren Vertraulichkeit
unterliegen, müssen die Verfahren im Rahmen RB-03 Kapazitätsmanagement –
dieser Prüfung mindestens mündlich erläutert Datenlokation
werden können.
Basisanforderung
(Verfügbarkeit) Der Cloud-Kunde ist in der Lage die Lokationen
(Ort/Land) der Datenverarbeitung und -spei-
Die Prognosen werden in Abstimmung mit der cherung einschl. der Datensicherungen
Dienstgütevereinbarung zur Planung und Vorbe- festzulegen.
reitung der Provisionierung berücksichtigt.
44
Ergänzende Informationen zur Basisanforderung vom Kunden als auch die Cloud-Administration
des Dienstleisters), um diese vor Schadprogram-
Diese Anforderung ergänzt Anforderung UP-02, men zu schützen. Die Aktualisierung erfolgt mit
in der die Lokationen dokumentiert werden der höchsten Frequenz, die der/die Hersteller
sollen. Erbringt ein Cloud-Anbieter seine Dienste vertraglich anbietet/anbieten.
an mehreren Standorten, dann fragt diese Anfor-
derung danach, ob der Cloud-Anbieter genau
festlegen kann, an welchem Standort der Dienst RB-06 Datensicherung und
erbracht und die Daten prozessiert werden. Wiederherstellung – Konzept
Basisanforderung
RB-04 Kapazitätsmanagement –
Steuerung von Ressourcen Richtlinien und Anweisungen mit technischen
und organisatorischen Maßnahmen zum Vermei-
Basisanforderung den von Datenverlusten sind sind gemäß SA-01
dokumentiert, kommuniziert und bereitgestellt.
Der Cloud-Kunde ist bei IaaS/PaaS in der Lage Diese sehen zuverlässige Verfahren für die regel-
die Aufteilung der ihm zur Verwaltung/Nutzung mäßige Sicherung (Backup sowie ggf. Snapshots)
zugeordneten Systemressourcen (z. B. Rechen- und Wiederherstellung von Daten (Restore) vor.
oder Speicherkapazität) zu steuern und zu über- Umfang, Häufigkeit und Dauer der Aufbewahrung
wachen, um eine Überbelegung der Ressourcen entsprechen den vertraglichen Vereinbarungen
zu vermeiden. mit den Cloud-Kunden sowie den geschäftlichen
Anforderungen des Cloud-Anbieters. Der Zugriff
auf die gesicherten Daten ist auf autorisiertes Per-
RB-05 Schutz vor Schadprogrammen sonal beschränkt. Wiederherstellungsprozeduren
beinhalten Kontrollmechanismen die sicherstel-
Basisanforderung len, dass Wiederherstellungen ausschließlich nach
Genehmigung durch hierfür autorisierte Perso-
Die logischen und physischen IT-Systeme, nen gemäß den vertraglichen Vereinbarungen mit
die der Cloud-Anbieter zur Entwicklung- und den Cloud-Kunden oder den internen Richtlinien
Erbringung des Cloud-Dienstes verwendet sowie des Cloud-Anbieters erfolgen.
die Perimeter des Netzwerks, die dem Verantwor-
tungsbereich des Cloud-Anbieters unterliegen, Ergänzende Informationen zur Basisanforderung
sind mit Viren-Schutz- und Reparaturprogram-
men versehen, die eine signatur- und verhal- Bei der Datensicherung ist zwischen Backups und
tensbasierte Erkennung und Entfernung von Snapshots virtueller Maschinen zu unterscheiden.
Schadprogrammen ermöglichen. Die Programme Snapshots ersetzen kein Backup, können jedoch
werden gemäß den vertraglichen Vereinbarungen Teil der Backup-Strategie zum Erreichen des
mit dem/n Hersteller/n, mindestens aber täglich Recovery Point Objectives (RPO) sein, sofern sie
aktualisiert. zusätzlich außerhalb der ursprünglichen Daten-
lokation gespeichert werden. Die geschäftlichen
Optionale, weitergehende Anforderungen Anforderungen des Cloud-Anbieters für Umfang,
(Vertraulichkeit und Verfügbarkeit) Häufigkeit und Dauer der Datensicherung
ergeben sich aus der Business Impact Analyse
Der Cloud-Anbieter erstellt regelmäßige Reports (vgl. Kontrolle BCM-03) für Entwicklungs- und
über die durchgeführten Überprüfungen, welche Betriebsprozesse des Cloud-Dienstes. Soweit
durch autorisierte Stellen oder Gremien überprüft unterschiedliche Datensicherungs- und Wieder-
und analysiert werden. Richtlinien und Anwei- herstellungsverfahren für Daten unter Verantwor-
sungen beschreiben die technischen Maßnahmen tung des Cloud-Kunden und des Cloud-Anbieter
zur sicheren Konfiguration und Überwachung bestehen, sind beide Varianten in eine Prüfung
der Managementkonsole (sowohl des Self-Service nach diesem Anforderungskatalog einzubeziehen.
45
Für Verfahren zur Sicherung der Daten des werden kann. Die Tests werden durch qualifizierte
Cloud-Anbieters ist nur die Angemessenheit und Mitarbeiter durchgeführt und die Ergebnisse
Implementierung der Kontrollen nachzuweisen, nachvollziehbar dokumentiert. Auftretende
nicht aber deren Wirksamkeit. Für Verfahren Fehler werden zeitnah behoben.
zur Sicherung der Daten der Cloud-Kunden hat
darüber hinaus auch eine Nachweisführung über Optionale, weitergehende Anforderungen
die Wirksamkeit zu erfolgen. (Verfügbarkeit)
Optionale, weitergehende Anforderungen Auf Kundenwunsch informiert der Cloud-Anbie-

(Vertraulichkeit) ter den Cloud-Kunden über die Ergebnisse der
Wiederherstellungstests. Wiederherstellungstests
Die Datensicherung erfolgt in verschlüsselter sind in das Notfallmanagement des Cloud-Anbie-
Form, die dem aktuellen Stand der Technik ters eingebettet.
entspricht.
RB-09 Datensicherung und

RB-07 Datensicherung und Wiederherstellung – Aufbewahrung
Wiederherstellung – Überwachung
Basisanforderung
Basisanforderung
Zu sichernde Daten werden an einen Remo-
Die Ausführung der Datensicherung wird durch te-Standort (z. B. weiteres Rechenzentrum des
technische und organisatorische Maßnahmen Cloud-Anbieters) übertragen oder auf Siche-
überwacht. Störungen werden durch qualifizierte rungsdatenträgern an einem Remote-Standort
Mitarbeiter untersucht und zeitnah behoben, um transportiert. Soweit die Datensicherung über ein
die Einhaltung der vertraglichen Verpflichtungen Netzwerk zum Remote-Standort übertragen wird,
gegenüber den Cloud-Kunden oder den geschäft- erfolgt dies in einer verschlüsselten Form, die dem
lichen Anforderungen des Cloud-Anbieters in Stand der Technik entspricht. Die Entfernung
Bezug auf Umfang, Häufigkeit und Dauer der zum Hauptstandort ist hinreichend gewählt, dass
Aufbewahrung zu gewährleisten. dortige Katastrophen zu keinem Datenverlust am
Remote-Standort führen und gleichzeitig gering
Optionale, weitergehende Anforderungen genug, um die vertraglichen Verpflichtungen zu
(Verfügbarkeit) Wiederherstellungszeiten erfüllen zu können. Die
Maßnahmen zur physischen und umgebungsbe-
Zur Überwachung der Datensicherung stehen zogenen Sicherheit am Remote-Standort entspre-
dem Cloud-Kunden die relevanten Protokolle chen dem Niveau am Hauptstandort.
oder die zusammengefassten Ergebnisse in einem
Self-Service Portal zur Verfügung.
RB-10 Protokollierung und
Überwachung – Konzept
RB-08 Datensicherung und
Wiederherstellung – Regelmäßige Tests Basisanforderung
Basisanforderung Richtlinien und Anweisungen mit technischen

und organisatorischen Maßnahmen sind gemäß
Sicherungsdatenträger und Wiederherstellungs- SA-01 dokumentiert, kommuniziert und bereit-
verfahren sind von qualifizierten Mitarbeitern gestellt, um Ereignisse auf allen Assets, die zur
regelmäßig mit dedizierten Testmedien zu prüfen. Entwicklung oder Betrieb des Cloud-Dienstes
Die Tests sind so gestaltet, dass die Verlässlichkeit verwendet werden, zu protokollieren und an
der Sicherungsdatenträger und die Wiederherstel- zentraler Stelle aufzubewahren. Die Protokollie-
lungszeit mit hinreichender Sicherheit überprüft rung umfasst definierte Ereignisse, welche die
46
Sicherheit und Verfügbarkeit des Cloud-Dienstes nicht mehr erforderlich sind. Der Zeitraum, in
beeinträchtigen können, einschließlich einer dem Metadaten gespeichert werden, ist vom
Protokollierung des Aktivierens, Stoppens und Cloud-Anbieter festgelegt. Er steht im angemes-
Pausierens der verschiedenen Protokollierungen. senen Zusammenhang mit den Zwecken, die mit
Die Protokolle werden bei unerwarteten oder auf- der Sammlung der Metadaten verfolgt werden.
fälligen Ereignissen durch autorisiertes Personal
anlassbezogen überprüft, um eine zeitnahe Unter- Ergänzende Informationen zur Basisanforderung
suchung von Störungen und Sicherheitsvorfällen
sowie das Einleiten geeigneter Maßnahmen zu Metadaten sind alle Daten, die beim Cloud-Anbie-
ermöglichen. ter durch die Nutzung seines Dienstes durch den
Cloud-Kunden anfallen und keine Inhaltsdaten
Ergänzende Informationen zur Basisanforderung sind. Dazu gehören u. a. Anmelde/Abmelde-Zei-
ten, IP-Adressen, GPS-Position des Kunden, wel-
Sicherheitsrelevante Ereignisse sind u. a. che Ressourcen (Netz, Storage, Computer) genutzt
wurden, auf welche Daten wann zugegriffen
» An- und Abmeldevorgänge wurde, mit wem Daten geteilt wurden, mit wem
kommuniziert wurde etc. Diese Daten werden
» Erstellung, Änderung oder Löschung von zum Teil für Abrechnungszwecke und für das
Benutzern und Erweiterung der Berechtigungen (Security) Incident Management verwendet. Sie
sind darüber hinaus aber auch geeignet, Kunden-
» Verwendung, Erweiterung und Änderungen von verhalten und (je nach Cloud-Dienst) ein Großteil
privilegierten Zugriffsberechtigungen von Entscheidungs- und Arbeitsprozessen für den
Cloud-Anbieter transparent zu machen. Mit der
» Nutzung von temporären Berechtigungen Anforderung soll die Sammlung und Nutzung
der Metadaten transparent und klar eingegrenzt
Da es sich bei den protokollierten Daten i. d. R. um werden.
personenbezogene Daten handelt, sind in dem
Fall datenschutzrechtliche Anforderungen an die
Aufbewahrung zu beachten und zu überprüfen. RB-12 Protokollierung und
Erfahrungsgemäß sollte eine Frist von einem Jahr Überwachung – Kritische Assets
nicht überschritten werden.
Basisanforderung
RB-11 Protokollierung und Der Cloud-Anbieter führt eine Liste aller proto-
Überwachung – Metadaten kollierungs- und überwachungskritischen Assets
und überprüft diese Liste regelmäßig auf deren
Basisanforderung Aktualität und Korrektheit. Für diese kritischen
Assets wurden erweiterte Protokollierungs- und
Richtlinien und Anweisungen mit technischen Überwachungsmaßnahmen definiert.
und organisatorischen Maßnahmen zur sicheren
Handhabung von Metadaten (Nutzungsdaten)
sind gemäß SA-01 dokumentiert, kommuniziert RB-13 Protokollierung und Überwachung –
und bereitgestellt. Die Sammlung und Benutzung Aufbewahrung der Protokolle
von Metadaten erfolgt ausschließlich für Abrech-
nungszwecke, zum Beheben von Störungen und Basisanforderung
Fehlern (Incident Management) sowie zum Bear-
beiten von Sicherheitsvorfällen (Security Incident Die erstellten Protokolle werden auf zentralen
Management). Eine kommerzielle Nutzung der Protokollierungsservern aufbewahrt, wo sie vor
Metadaten findet nicht statt. Metadaten sind unautorisierten Zugriffen und Veränderungen
unverzüglich zu löschen, wenn sie zur Erreichung geschützt sind. Protokolldaten sind unverzüglich
des, gemäß dieser Anforderung legitimen, Zwecks zu löschen, wenn sie zur Erreichung des Zwecks
47
nicht mehr erforderlich sind. Zwischen den Optionale, weitergehende Anforderungen

Protokollierungsservern und den protokollierten (Vertraulichkeit)
Assets erfolgt eine Authentisierung, um die
Integrität und Authentizität der übertragenen Der Cloud-Anbieter stellt auf Anfrage des
und gespeicherten Informationen zu schützen. Cloud-Kunden die ihn betreffenden Protokolle in
Die Übertragung erfolgt nach einer dem Stand angemessener Form und zeitnah zur Verfügung,
der Technik entsprechenden Verschlüsselung damit dieser die ihn betreffenden Vorfälle selbst
oder über ein eigenes Administrationsnetz untersuchen kann.
(Out-of-Band-Management).
Optionale, weitergehende Anforderungen RB-15 Protokollierung und

(Vertraulichkeit) Überwachung – Konfiguration
Der Cloud-Anbieter bietet auf Anfrage des Basisanforderung

Cloud-Kunden eine kundenspezifische Proto-
kollierung (in Bezug auf Umfang und Dauer der Der Zugriff und die Verwaltung der Protokol-
Aufbewahrung) an und stellt diese dem Kunden lierungs- und Überwachungsfunktionalitäten
zur Verfügung. In Abhängigkeit des Schutzbedarfs ist beschränkt auf ausgewählte und autorisierte
und der technisch Realisierbarkeit wird eine Mitarbeiter des Cloud-Anbieters. Änderungen der
logische oder eine physikalische Trennung von Protokollierungen und Überwachungen werden
Protokoll- und Nutzdaten vorgenommen. vorab durch unabhängige und autorisierte Mitar-
beiter überprüft und freigegeben.
RB-14 Protokollierung und Optionale, weitergehende Anforderungen

Überwachung – Zurechenbarkeit (Vertraulichkeit)
Basisanforderung Der Zugriff und die Verwaltung der Protokol-

lierungs- und Überwachungsfunktionalitäten
Die erstellten Protokolle erlauben eine eindeutige erfordert eine Multi-Faktor-Authentifizierung.
Identifizierung von Benutzerzugriffen auf Tenant-
Ebene, um (forensische) Analysen im Falle eines
Sicherheitsvorfalls zu unterstützen. RB-16 Protokollierung und Überwachung –
Verfügbarkeit der Überwachungs-Software
Basisanforderung
Das Protokoll sollte die folgenden Angaben
enthalten: Die Verfügbarkeit der Protokollierungs- und
Überwachungssoftware wird unabhängig über-
» Benutzer ID wacht. Bei einem Ausfall der Protokollierungs-
und Überwachungssoftware werden die verant-
» Datum und Zeit wortlichen Mitarbeiter umgehend informiert.
» Quelle & Ziel (z. B. Identität oder Name der Optionale, weitergehende Anforderungen
betroffenen Daten, Systemkomponenten oder (Vertraulichkeit und Verfügbarkeit)
Ressourcen)
Die Protokollierungs- und Überwachungssoft-
» durchgeführte Aktivitäten ware ist redundant vorhanden, um auch bei
Ausfällen die Sicherheit und Verfügbarkeit der
» Angaben über Erfolg oder Fehlschlag des Kunden-Systeme zu überwachen.
Zugriffs
48
RB-17 Umgang mit Schwachstellen, Ergänzende Informationen zur Basisanforderung

Störungen und Fehlern – Konzept
Die Schwachstellen sollten gemäß Schadenpoten-
Basisanforderung zial klassifiziert sein und einen Zeitraum für die
erforderliche Reaktion nennen. Als Orientierung
Richtlinien und Anweisungen mit technischen kann die folgende Einstufung gemäß der SI-Pub-
und organisatorischen Maßnahmen sind gemäß likation „Ein Praxis-Leitfaden für IS-Penetrations-
SA-01 dokumentiert, kommuniziert und bereit- tests“ dienen:
gestellt, um das zeitnahe Identifizieren und
Adressieren von Schwachstellen über alle Ebenen » Hoch: Sofortige Reaktion
des Cloud-Dienstes, die unter seiner Verantwor-
tung stehen, zu gewährleisten. Die Maßnahmen » Mittel: Kurzfristige Reaktion
umfassen unter anderem:
» Niedrig: Mittelfristige Reaktion
» Regelmäßiges Identifizieren und Analysieren
von Schwachstellen (Vulnerabilities), » Information: Langfristige Reaktion
» Regelmäßiges Nachhalten von Maßnahmen Optionale, weitergehende Anforderungen

zum Adressieren identifizierter Maßnahmen (Vertraulichkeit und Verfügbarkeit)
(z. B. Einspielen von Sicherheitsaktualisierungen
gemäß interner Zielvorgaben). Die Tests finden halbjährlich statt. Diese müssen
zwingend durch unabhängige Externe durch-
geführt werden. Internes Personal für Penetra-

RB-18 Umgang mit Schwachstellen, tionstests darf die externen Dienstleister dabei
Störungen und Fehlern – Penetrationstests unterstützen.
Basisanforderung
RB-19 Umgang mit Schwachstellen,
Der Cloud-Anbieter lässt mindestens jährlich Störungen und Fehlern – Integration mit
Penetrationstests durch qualifiziertes internes Änderungs- und Incident Management
Personal oder externe Dienstleister durchfüh-
ren. Die Penetrationstests erfolgen nach einer Basisanforderung
dokumentierten Testmethodik und umfassen die
für den sicheren Betrieb des Cloud-Dienstes als Richtlinien und Anweisungen mit technischen
kritisch definierten Infrastruktur-Komponenten, und organisatorischen Maßnahmen für den
die im Rahmen einer Risiko-Analyse als solche Umgang mit kritischen Schwachstellen sind
identifiziert wurden. Art, Umfang Zeitpunkt/Zeit- gemäß SA-01 dokumentiert, kommuniziert und
raum und Ergebnisse werden für einen sachver- bereitgestellt. Die Maßnahmen sind mit den
ständigen Dritten nachvollziehbar dokumentiert. Aktivitäten des Änderungsverfahrens (Change
Feststellungen aus den Penetrationstests werden Management) und der Störungs- und Fehlerbehe-
bewertet und bei mittlerer oder hoher Kritikalität bung (Incident Management) abgestimmt.
in Bezug auf die Vertraulichkeit, Integrität oder
Verfügbarkeit des Cloud-Dienstes nachverfolgt
und behoben. Die Einschätzung der Kritikalität
und der mitigierenden Maßnahmen zu den
einzelnen Feststellungen werden dokumentiert.
49
RB-20 Umgang mit Schwachstellen, Optionale, weitergehende Anforderungen

Störungen und Fehlern – Einbindung (Vertraulichkeit)
des Cloud-Kunden
Auf Kundenwunsch informiert der Cloud-An-
Basisanforderung bieter den Cloud-Kunden in angemessener
Form über offene Schwachstellen. Die offenen
Der Cloud-Kunde wird durch den Cloud-Anbieter Schwachstellen werden ohne Ausnahme zeitnah
regelmäßig und in einer angemessener Form, die behoben.
den vertraglichen Vereinbarungen entspricht,
über den Status der ihn betreffenden Störungen
(Incidents) informiert oder in deren Behebung RB-22 Umgang mit Schwachstellen,
eingebunden. Sobald ein Incident aus Sicht Störungen und Fehlern – System-Härtung
des Cloud-Anbieters behoben wurde, wird der
Cloud-Kunde über die getroffenen Maßnahmen Basisanforderung
informiert. Diese Information ist so detailliert,
dass der Cloud-Kunde sie in seinem Sicherheits- Systemkomponenten, welche für die Erbringung
management verwenden kann. des Cloud-Dienstes verwendet werden, sind
gemäß allgemein etablierter und akzeptierter
Industriestandards gehärtet. Die herangezogenen
RB-21 Umgang mit Schwachstellen, Härtungsanleitungen werden ebenso wie der
Störungen und Fehlern – Prüfung Umsetzungsstatus dokumentiert.
offener Schwachstellen
Basisanforderung (Vertraulichkeit)
Die IT-Systeme, welche der Cloud-Anbieter für die Auf Nachfrage sind die verwendeten Standards
Entwicklung und Erbringung des Cloud-Diens- und die Maßnahmen zur Härtung der System-
tes verwendet, werden mindestens monatlich komponenten dem Cloud-Kunden mitzuteilen.
automatisiert auf bekannte Schwachstellen
(Vulnerabilities) geprüft. Im Falle von Abwei-
chungen zu den erwarteten Konfigurationen (u. a. RB-23 Segregation der gespeicherten
dem erwarteten Patch-Level) werden die Gründe und verarbeiteten Daten der Cloud-Kunden
hierzu zeitnah analysiert und die Abweichungen in gemeinsam genutzten Ressourcen
behoben oder gemäß des Ausnahme-Prozesses
dokumentiert (vgl. SA-03). Basisanforderung
Ergänzende Informationen zur Basisanforderung Daten sind auf gemeinsam genutzten virtuellen
und physischen Ressourcen (Speichernetz,
Im Gegensatz zu Penetrationstests (vgl. RB-18), die Arbeitsspeicher) gemäß eines dokumentierten
manuell und nach einem individuellem Schema Konzepts sicher und strikt separiert, um die
ablaufen, erfolgt die Prüfung auf offene Schwach- Vertraulichkeit und Integrität der gespeicherten
stellen automatisiert, unter Verwendung sog. und verarbeiteten Daten zu gewährleisten.
Vulnerability Management Werkzeuge.
Eine technische Segregation (Trennung) der

gespeicherten und verarbeiteten Daten der
Cloud-Kunden in gemeinsam genutzten Ressour-
cen kann durch Firewalls, Zugriffslisten, Tagging
(Auszeichnung des Datenbestandes), VLANs,
Virtualisierung und Maßnahmen im Speichernetz
50
(z. B. LUN Masking) erreicht werden. Soweit 5.7 Identitäts- und

Angemessenheit und Wirksamkeit der Segrega- Berechtigungsmanagement
tion nicht mit hinreichender Sicherheit beurteilt
werden können (z. B. aufgrund einer komplexen
Implementierung), kann der Nachweis auch über Zielsetzung: Absichern der Autorisierung
Prüfungsergebnisse sachverständiger Dritter und Authentifizierung von Benutzern
erfolgen (z. B. Penetrationstests zur Validierung des Cloud-Anbieters (i. d. r. privilegierte
des Konzepts). Die Segregation übertragener Benutzer) und des Cloud-Kunden zum
Daten ist Gegenstand der Kontrolle KOS-05. Vermeiden von unberechtigtem Zugriff.

(Vertraulichkeit)
IDM-01 Richtlinie für Zugangs- und
Ressourcen im Speichernetz (Storage) sind durch Zugriffsberechtigungen
sichere Zonierung (LUN Binding und LUN
Masking) segmentiert. Basisanforderung
Ein auf den Geschäfts- und Sicherheitsanfor-

derungen des Cloud-Anbieters basierendes
Rollen- und Rechtekonzept sowie eine Richtlinie
zur Verwaltung von Zugangs- und Zugriffsbe-
rechtigungen sind gemäß SA-01 dokumentiert,
kommuniziert und bereitgestellt und adressieren
die folgenden Bereiche:
» die Vergabe und Änderung (Provisionie-

rung) von Zugriffsberechtigungen auf Basis
des Prinzips der geringsten Berechtigung
(„Least-Privilege-Prinzip“) und wie es für
die Aufgabenwahrnehmung notwendig ist
(„Need-to-know-Prinzip“),
» Funktionstrennung zwischen operativen und

kontrollierenden Funktionen („Separation of
Duties“),
» Funktionstrennung in der Administration von

Rollen, Genehmigung und Zuweisung von
Zugriffsberechtigungen,
» regelmäßige Überprüfung vergebener

Berechtigungen,
» Berechtigungsentzug (Deprovisionierung) bei

Veränderungen des Arbeitsverhältnisses,
» Anforderungen an Genehmigung und Doku-

mentation der Verwaltung von Zugangs- und
Zugriffsberechtigungen.
51
IDM-02 Benutzerregistrierung Optionale, weitergehende Anforderungen

(Vertraulichkeit)
Basisanforderung
Der Cloud-Anbieter bietet Möglichkeiten des
Zugangsberechtigungen für Benutzer unter Self-Services für Cloud-Kunden an, um Zugriffs-
Verantwortung des Cloud-Anbieters (interne und berechtigungen eigenständig vergeben und
externe Mitarbeiter) werden in einem formalen ändern zu können.
Verfahren erteilt. Organisatorische und/oder
technische Maßnahmen stellen sicher, dass
eindeutige Benutzerkennungen vergeben werden, IDM-04 Berechtigungsentzug
die jeden Benutzer eindeutig identifizieren. (Deprovisionierung) bei Veränderungen
des Arbeitsverhältnisses
(Vertraulichkeit) Basisanforderung
Der Cloud-Anbieter bietet Möglichkeiten des Zugriffsberechtigungen von Benutzern unter

Self-Services für Cloud-Kunden an, um Benutzer- Verantwortung des Cloud-Anbieters (interne und
kennungen eigenständig erteilen zu können. externe Mitarbeiter) werden bei Änderungen im
Beschäftigungsverhältnis (Kündigung, Verset-
zung, längerer Abwesenheit/Sabatical/Elternzeit)
IDM-03 Vergabe und Änderung zeitnah, spätestens aber 30 Tage nach Inkrafttre-
(Provisionierung) von Zugriffsberechtigungen ten entzogen bzw. vorübergehend ruhe stellend
gesetzt. Zugänge werden vollständig deaktiviert
Basisanforderung sobald das Beschäftigungsverhältnis erlischt.
Vergabe und Änderung von Zugriffsberechti-

gungen für Benutzer unter Verantwortung des IDM-05 Regelmäßige Überprüfung
Cloud-Anbieters erfolgen gemäß der Richtlinie der Zugriffsberechtigungen
zur Verwaltung von Zugangs- und Zugriffsberech-
tigungen. Organisatorische und/oder technische Basisanforderung
Maßnahmen stellen sicher, dass die vergebenen
Zugriffe die folgenden Anforderungen erfüllen: Zugriffsberechtigungen von Benutzern unter
Verantwortung des Cloud-Anbieters (interne und
» Zugriffsberechtigungen entsprechen externe Mitarbeiter) werden mindestens jährlich
dem Prinzip der geringsten Berechtigung überprüft, um diese zeitnah auf Änderungen im
(„Least-Privilege-Prinzip“), Beschäftigungsverhältnis (Kündigung, Verset-
zung, längerer Abwesenheit/Sabatical/Elternzeit)
» Zugriffsberechtigungen werden nur so ver- anzupassen. Die Überprüfung erfolgt durch
geben, wie es für die Aufgabenwahrnehmung hierzu autorisierte Personen aus den Unterneh-
notwendig ist („Need-to-know-Prinzip“), mensbereichen des Cloud-Anbieters, die aufgrund
ihres Wissens über die Zuständigkeiten die
» die formale Genehmigung erfolgt durch eine Angemessenheit der vergebenen Berechtigungen
autorisierte Person, bevor die Zugriffsberech- überprüfen können. Die Überprüfung sowie die
tigungen eingerichtet werden (d. h. bevor der sich daraus ergebenden Berechtigungsanpassun-
Benutzer auf Daten der Cloud-Kunden oder gen werden nachvollziehbar dokumentiert.
Komponenten der geteilten IT-Infrastruktur
zugreifen kann), Optionale, weitergehende Anforderungen
(Vertraulichkeit)
» die technisch zugewiesenen Zugriffsberech-
tigungen die formale Genehmigung nicht Administrative Berechtigungen werden mindes-
übersteigen. tens halbjährlich überprüft.
52
IDM-06 Administratorenberechtigungen notwendig ist („Need-to-know-Prinzip“).

Die Zugriffe werden dokumentiert und dem
Basisanforderung Cloud-Kunden mitgeteilt.
Vergabe und Änderung von Zugriffsberechtigun- Optionale, weitergehende Anforderungen

gen für interne und externe Benutzer mit admi- (Vertraulichkeit)
nistrativen oder weitreichenden Berechtigungen
unter Verantwortung des Cloud-Anbieters Die Benutzer unterschreiben eine Erklärung,
erfolgen gemäß der Richtlinie zur Verwaltung in der sie versichern, dass sie persönliche (oder
von Zugangs- und Zugriffsberechtigungen geteilte) Authentisierungsinformationen ver-
(vgl. IDM-01) oder einer separaten Richtlinie. traulich behandeln und ausschließlich für sich
Die Zuweisung erfolgt personalisiert und wie es (innerhalb der Mitglieder der Gruppe) behalten.
für die Aufgabenwahrnehmung notwendig ist
(„Need-to-know-Prinzip“). Organisatorische und/
oder technische Maßnahmen stellen sicher, dass IDM-08 Sichere Anmeldeverfahren
durch die Vergabe dieser Berechtigungen keine
ungewollten, kritischen Kombinationen entste- Basisanforderung
hen, die gegen das Prinzip der Funktionstrennung
verstoßen (z. B. Zuweisen von Berechtigungen Die Vertraulichkeit der Anmeldeinformationen
zur Administration der Datenbank wie auch des von internen und externen Benutzern unter
Betriebssystems). Soweit dies in ausgewählten Verantwortung des Cloud-Anbieter sind durch die
Fällen nicht möglich ist, sind angemessene, kom- folgenden Maßnahmen geschützt:
pensierende Kontrollen eingerichtet, um einen
Missbrauch dieser Berechtigungen zu identifi- » Identitätsprüfung durch vertrauenswürdige
zieren (z. B. Protokollierung und Überwachung Verfahren,
durch eine SIEM-Lösung (Security Information
and Event Management)). » Verwendung anerkannter Industriestandards
zur Authentifizierung und Autorisierung
(z. B. Multi-Faktor-Authentifizierung, keine Ver-
IDM-07 Geheimhaltung von wendung von gemeinsam genutzten Authentifi-
Authentifizierungsinformationen zierungsinformationen, automatischer Ablauf),
Basisanforderung » Multi-Faktor-Authentifizierung für Administ-

ratoren des Cloud-Anbieters (z. B. durch Smart
Die Zuteilung geheimer Authentifizierungsin- Card oder biometrische Merkmale) ist zwingend
formationen (z. B. Passwörter, Zertifikate, Sicher- erforderlich.
heitstoken) an interne und externe Benutzer des
Cloud-Anbieters oder des Cloud-Kunden erfolgt,
soweit dies organisatorischen oder technischen IDM-09 Umgang mit Notfallbenutzern
Verfahren des Cloud-Anbieters unterliegt, in
einem geordneten Verfahren, das die Vertraulich- Basisanforderung
keit der Informationen sicherstellt. Soweit diese
initial vergeben werden, sind diese nur temporär, Die Verwendung von Notfallbenutzern (für Akti-
höchstens aber 14 Tage gültig. Benutzer werden vitäten, die mit personalisierten, administrativen
ferner gezwungen, diese bei der ersten Verwen- Benutzern nicht durchgeführt werden können,
dung zu ändern. Der Zugriff des Cloud-Anbie- vgl. IDM-06) ist dokumentiert, zu begründen und
ters auf Authentifizierungsinformationen der bedarf der Genehmigung durch eine autorisierte
Cloud-Kunden ist streng reglementiert, mit Person, die unter Berücksichtigung des Prinzips
dem Cloud-Kunden kommuniziert und erfolgt der Funktionstrennung zu erfolgen hat. Die
nur, wenn es für die Aufgabenwahrnehmung
53
Freischaltung des Notfallbenutzers erfolgt nur Passwort-Richtlinie organisatorisch gefordert.

so lange, wie es für die Aufgabenwahrnehmung Die Vorgaben müssen mindestens die folgenden
notwendig ist. Anforderungen erfüllen:
Ergänzende Informationen zur Basisanforderung » Minimale Passwortlänge von 8 Zeichen,
Die Genehmigung kann auch nachträglich » Mindestens zwei der folgenden Zeichentypen
erfolgen, soweit dies begründet wird. müssen enthalten sein: Großbuchstaben, Klein-
buchstaben, Sonderzeichen und Zahlen,
(Vertraulichkeit) » Maximale Gültigkeit von 90 Tagen, minimale
Gültigkeit von 1 Tag,
Mindestens monatlich wird ein manueller
Abgleich zwischen den erfolgten Freischaltungen » Passworthistorie von 6,
der Notfallbenutzer und den entsprechenden
Genehmigungen durchgeführt. Auffälligkeiten » Übertragung und Speicherung der Passwörter
werden untersucht, um Missbrauch dieser in einem verschlüsselten Verfahren, das dem
Benutzer festzustellen und zukünftig zu verhin- aktuellen Stand der Technik entspricht.
dern. Die Aktivitäten der Notfallbenutzer werden
revisionssicher protokolliert. Die Protokollierung Ergänzende Informationen zur Basisanforderung
ist hinreichend detailliert, um es einem sachver-
ständigen Dritten zu ermöglichen die Aktivitäten Sicherheitsparameter umfassen z. B. die Verwen-
nachzuvollziehen. dung sicherer Anmeldeverfahren (vgl. IDM-08),
Sperre nach fehlgeschlagenen Anmeldungen,
keine Mehrfachanmeldungen mit dem gleichen
IDM-10 Systemseitige Zugriffskontrolle Benutzer, automatische Abmeldung/Sperre nach
Inaktivität).
Basisanforderung
Der Zugriff auf Informationen und Anwen- (Vertraulichkeit)
dungs-Funktionen wird durch technische Maß-
nahmen eingeschränkt, mit denen das Rollen- Automatische Kontrollen sind implementiert, die
und Rechtekonzept umgesetzt wird. sich an den folgenden Regelungen orientieren:
» es erfolgt eine Sperrung von 15 Minuten nach

IDM-11 Passwortanforderungen 5 fehlgeschlagenen Anmeldungen, mit jedem
und Validierungsparameter Fehlversuch steigt die Wartezeit,
Basisanforderung » eine Mehrfachanmeldung des gleichen Benut-

zer ist nicht möglich,
Sicherheits-Parameter auf Netzwerk,- Betriebs-
system- (Host und Gast), Datenbank-, und » nach Anmeldung erfolgt eine automatische
Anwendungsebene (soweit für den Cloud-Dienst Sperre nach 15 Minuten Inaktivität,
relevant) sind angemessen konfiguriert, um
unautorisierte Zugriffe zu verhindern. Soweit » die minimale Passwortlänge für privilegierte
keine Zwei-Faktor-Authentifizierung oder die Benutzer beträgt 14 Zeichen und für Benutzer
Verwendung von Einmalpasswörtern möglich ohne weitreichende Berechtigungen 8 Zeichen,
ist, wird die Verwendung sicherer Passwörter
auf allen Ebenen und Geräten (einschl. mobilen » es müssen Großbuchstaben, Kleinbuchstaben,
Endgeräten) unter Verantwortung des Cloud-An- Sonderzeichen und Zahlen enthalten sein,
bieters technisch erzwungen oder in einer
54
» nach 90 Tagen wird der Passwortwechsel bei der 5.8 Kryptographie und
nächsten Anmeldung erzwungen, Schlüsselmanagement
» die Passworthistorie beträgt 12.

Zielsetzung: gewährleisten einer
angemessenen und effektiven Verwendung
IDM-12 Einschränkung und von Kryptographie zum schutz der
Kontrolle administrativer Software sicherheit von Informationen.
Basisanforderung
Die Verwendung von Dienstprogrammen und KRY-01 Richtlinie zur Nutzung von
Managementkonsolen (z. B. zur Verwaltung Verschlüsselungsverfahren und Schlüssel-
des Hypervisors oder virtuellen Maschinen), verwaltung
die weitreichenden Zugriff auf die Daten der
Cloud-Kunden ermöglichen, ist auf autorisierte Basisanforderung
Personen beschränkt. Vergabe und Änderung
entsprechender Zugriffsberechtigungen erfol- Richtlinien und Anweisungen mit technischen
gen gemäß der Richtlinie zur Verwaltung von und organisatorischen Maßnahmen für Ver-
Zugangs- und Zugriffsberechtigungen. Der Zugriff schlüsselungsverfahren und Schlüsselverwaltung
wird durch starke Authentifizierungstechniken, sind gemäß SA-01 dokumentiert, kommuniziert
einschließlich Multi-Faktor-Authentifizierung und bereitgestellt, in denen die folgenden Aspekte
gesteuert (vgl. KOS-06). beschrieben sind:
» die Nutzung von starker Verschlüsselungs-

IDM-13 Zugriffskontrolle zu Quellcode verfahren (z. B. AES) und die Verwendung von
sicheren Netzwerkprotokollen, die dem Stand
Basisanforderung der Technik entsprechen (z. B. TLS, IPsec, SSH),
Der Zugriff auf den Quellcode und ergänzende » risikobasierte Vorschriften für den Einsatz von
für die Entwicklung des Cloud-Dienstes relevante Verschlüsselung die mit Schemata zur Infor-
Informationen (z. B. Architektur-Dokumentation, mationsklassifikation abgeglichen sind und den
Testpläne) sind restriktiv vergeben und werden Kommunikationskanal, Art, Stärke und Qualität
überwacht, um die Einführung von nicht autori- der Verschlüsselung berücksichtigen,
sierten Funktionen oder das Durchführen unbe-
absichtigter Änderungen zu vermeiden. » Anforderungen für das sichere Erzeugen,
Speichern, Archivieren, Abrufen, Verteilen,
Entziehen und Löschen der Schlüssel,
» Berücksichtigung der relevanten rechtlichen

und regulatorischen Verpflichtungen und
Anforderungen.
Der Stand der Technik bezüglich starker Ver-

schlüsselungsverfahren und sichere Netzwerk-
protokolle ist in der jeweils aktuellen Fassung
der folgenden technischen Richtlinien des BSI
festgelegt:
55
» BSI TR-02102-1 „Kryptographische Verfahren: Optionale, weitergehende Anforderungen

Empfehlungen und Schlüssellängen“ (Vertraulichkeit)
» BSI TR-02102-2 „Kryptographische Verfahren: Soweit Daten mit einem höheren Schutzbedarf
Verwendung von Transport Layer Security übertragen werden, ist auch innerhalb der
(TLS)“ Infrastruktur des Cloud-Anbieters eine starke
Verschlüsselung zu implementieren.
» BSI TR-02102-3 „Kryptographische Verfahren:
Verwendung von Internet Protocol Security
(IPSec) und Internet Key Exchange (IKEv2)“ KRY-03 Verschlüsselung von
sensiblen Daten bei der Speicherung
» BSI TR-02102-4 „Kryptographische Verfahren:
Verwendung von Secure Shell (SSH)“ Basisanforderung
Verfahren und technische Maßnahmen zur Ver-

KRY-02 Verschlüsselung von Daten bei schlüsselung sensibler Daten der Cloud-Kunden
der Übertragung (Transportverschlüsselung) bei der Speicherung sind etabliert. Ausnahmen
gelten für Daten, die für die Erbringung des
Basisanforderung Cloud-Dienstes funktionsbedingt nicht verschlüs-
selt sein können. Die für die Verschlüsselung
Verfahren und technische Maßnahmen zur verwendeten privaten Schlüssel sind ausschließ-
starken Verschlüsselung und Authentifizierung lich dem Kunden nach geltenden rechtlichen und
bei der Übertragung von Daten der Cloud-Kun- regulatorischen Verpflichtungen und Anforde-
den (z. B. über öffentliche Netze transportierte rungen bekannt. Ausnahmen (z. B. Verwendung
elektronische Nachrichten) sind etabliert. eines Generalschlüssels durch den Cloud-An-
bieter) folgen einem geregelten Verfahren und
Ergänzende Informationen zur Basisanforderung sind mit dem Cloud-Kunden einvernehmlich
abzustimmen.
Bei der Übertragung von Daten mit einem
normalen Schutzbedarf innerhalb der Infra- Ergänzende Informationen zur Basisanforderung
struktur des Cloud-Anbieters ist keine zwin-
gende Verschlüsselung anzuwenden, soweit die Soweit es ein Verfahren zur Verwendung eines
Übertragung nicht über öffentliche Netzwerke Generalschlüssels durch den Cloud-Provider gibt,
erfolgt. In diesem Fall kann die nicht-öffentliche ist die Angemessenheit des Verfahrens zu prüfen
Umgebung des Cloud-Anbieters grundsätzlich als und deren Einhaltung für eine Stichprobe von
vertrauenswürdig angesehen werden kann. Als Einsätzen zu überprüfen.
starke Transportverschlüsselung, die dem Stand
der Technik entspricht, wird aktuell das Protokoll
TLS 1.2 in Kombination mit Perfect Forward KRY-04 Sichere Schlüsselverwaltung
Secrecy angesehen. Im übrigen gilt die Technische
Richtlinie des BSI TR-02102-2 „Kryptographische Basisanforderung
Verfahren: Empfehlungen und Schlüssellängen.
Teil 2 – Verwendung von Transport Layer Secu- Verfahren und technische Maßnahmen zur siche-
rity (TLS)“ in der jeweils aktuellen Fassung. Die ren Schlüsselverwaltung beinhalten mindestens
Verwendung von SSL (einschließlich der Version die folgenden Aspekte:
3.0) ist kein sicheres Verfahren.
» Schlüsselgenerierung für unterschiedliche
kryptographische Systeme und Applikationen,
» Ausstellung und Einholung von

Public-Key-Zertifikaten,
56
» Provisionierung und Aktivierung von Schlüssel 5.9 Kommunikationssicherheit

für Kunden und beteiligte Dritte,
» Sicheres speichern eigener Schlüssel (nicht Zielsetzung: sicherstellen des

die der Cloud-Kunden oder sonstiger Dritter) schutzes von Informationen in
einschließlich der Beschreibung wie autorisierte netzwerken und den entsprechenden
Nutzer den Zugriff erhalten, informationsverarbeitenden systemen.
» Ändern oder Aktualisieren von kryptographi-

schen Schlüssel einschließlich Richtlinien die
festlegen unter welchen Bedingungen und auf KOS-01 Technische Schutzmaßnahmen
welcher Weise die Änderungen bzw. Aktualisie-
rungen zu realisieren sind, Basisanforderung
» Umgang mit kompromittierten Schlüssel, Basierend auf den Ergebnissen einer gemäß
OIS-06 durchgeführten Risiko-Analyse, hat der
» Entzug und Löschen von Schlüsseln, beispiels- Cloud-Anbieter technische Schutzmaßnahmen
weise im Falle von Kompromittierung oder implementiert, die geeignet sind, um netzwerkba-
Mitarbeiterveränderungen, sierte Angriffe auf Basis anomaler Eingangs- oder
Ausgangs-Traffic-Muster (z. B. durch MAC-Spoo-
» Speicherung der Schlüssel der Cloud-Nut- fing und ARP-Poisoning-Angriffe) und/oder
zer nicht beim Cloud-Anbieter (d. h. beim Distributed-Denial-of-Service (DDoS) Angriffe
Cloud-Nutzer oder einem vertrauenswürdigen zeitnah zu erkennen und darauf zu reagieren.
Dritten).
(Vertraulichkeit und Verfügbarkeit)
Intrusion Prevention / Intrusion Detection

Systeme (IDS/IPS) sind in ein übergreifendes
SIEM-System (Security Information and Event
Management) integriert, sodass Ereignisse aus
IDS/IPS mit anderen Ereignissen korreliert
werden können, um daraus hervorgehend
erforderliche (Gegen-) Maßnahmen initiieren
zu können. Durch technische Maßnahmen wird
sichergestellt, dass keine unbekannten (physi-
schen oder virtuellen) Geräte dem (physischen
oder virtuellen) Netzwerk des Cloud-Anbieters
beitreten (bspw. durch MACSec gemäß IEEE
802.1X:2010), vgl. IDM-08).
KOS-02 Überwachen von Verbindungen

Basisanforderung
Physische und virtualisierte Netzwerkumgebun-

gen sind so konzipiert und konfiguriert, dass die
Verbindungen zwischen vertrauenswürdigen und
nicht vertrauenswürdigen Netzen zu beschränken
und überwachen sind. In festgelegten Abständen
57
wird die geschäftliche Rechtfertigung für die KOS-05 Segregation des Datenverkehrs in
Verwendung aller Dienste, Protokolle und Ports gemeinsam genutzten Netzwerkumgebungen
überprüft. Darüber hinaus umfasst die Überprü-
fung auch die Begründungen für kompensierende Basisanforderung
Kontrollen für die Verwendung von Protokollen,
die als unsicher angesehen werden. Der Datenverkehr in gemeinsam genutzten Netz-
werkumgebungen wird gemäß eines dokumen-
tierten Konzepts zur logischen Segmentierung
KOS-03 Netzwerkübergreifende Zugriffe zwischen den Cloud-Kunden auf Netzwerkebene
segregiert, um die Vertraulichkeit und Integrität
Basisanforderung der übertragenen Daten zu gewährleisten.
Jeder Netzwerkperimeter wird von Sicherheits- Ergänzende Informationen zur Basisanforderung

gateways kontrolliert. Die Zugangsberechtigung
für Netzübergreifende Zugriffe basiert auf Soweit Angemessenheit und Wirksamkeit der
einer Sicherheitsbewertung auf Grundlage der logischen Segmentierung nicht mit hinreichender
Kundenanforderungen. Sicherheit beurteilt werden können (z. B. auf-
grund einer komplexen Implementierung), kann
Optionale, weitergehende Anforderungen der Nachweis auch über Prüfungsergebnisse
(Vertraulichkeit) sachverständiger Dritter erfolgen (z. B. Penetrati-
onstests zur Validierung des Konzepts). Die Seg-
Jeder Netzwerkperimeter wird von redundan- regation gespeicherter und verarbeiteten Daten
ten und hochverfügbaren Sicherheitsgateways ist Gegenstand der Kontrolle RB-23. Zur sicheren
kontrolliert. Die Zugangsberechtigung für Segmentierung gemeinsam genutzter Ressourcen
netzübergreifende Zugriffe basiert auf einer bei Webanwendungen, die als SaaS bereitgestellt
Sicherheitsbewertung auf Grundlage der werden, sollte die Session-ID in der Grundstufe
Kundenanforderungen.
» zufallsgeneriert sein und eine ausreichende
Entropie von mindestens 128 Bit (16 Zeichen)
KOS-04 Netzwerke zur Administration haben, um dem Erraten der Session-ID (zum
Beispiel durch einen Brute-Force-Angriff)
Basisanforderung standzuhalten,
Es existieren gesonderte Netzwerke zur administ- » bei der Übertragung und clientseitigen Speiche-
rativen Verwaltung der Infrastruktur und für den rung ausreichend geschützt sein,
Betrieb von Managementkonsolen, die logisch
oder physisch vom Netzwerk der Cloud-Kunden » eine begrenzte Gültigkeit (Timeout) haben, die
getrennt und durch Multi-Faktor-Authentifi- gemessen an den Anforderungen zur Nutzung
zierung vor unberechtigten Zugriffen geschützt der Webanwendung möglichst kurz ist,
sind (vgl. IDM-08). Netzwerke, die zum Zwecke
der Migration oder dem erzeugen von virtuellen » nach erfolgreicher Authentisierung oder
Maschinen dienen sind ebenfalls physisch oder Wechsel von einem ungesicherten Kommu-
logisch von anderen Netzwerken zu separieren. nikationskanal (HTTP) auf einen gesicherten
Kommunikationskanal (HTTPS) gewechselt
werden.
Bei IaaS/PaaS kann sich in der Grundstufe an den

Anforderungen für einen höheren Schutzbedarf
orientiert werden.
58
Optionale, weitergehende Anforderungen Anforderungen sind zu identifizieren, dokumen-

(Vertraulichkeit) tieren und in regelmäßigen Abständen (min-
destens jährlich) zu überprüfen. Soweit sich aus
Bei IaaS/PaaS ist die sichere Trennung durch der Überprüfung ergibt, dass die Anforderungen
physisch getrennte Netze oder durch stark anzupassen sind, werden mit den internen Mit-
verschlüsselter VLANs sichergestellt. arbeitern, den externen Dienstleistern sowie den
Lieferanten des Cloud-Anbieters neue Geheim-
haltungs- oder Vertraulichkeitserklärungen
KOS-06 Dokumentation der Netztopologie abgeschlossen. Die Geheimhaltungs- oder Ver-
traulichkeitserklärungen sind vor Beginn des Ver-
Basisanforderung tragsverhältnisses bzw. vor Erteilung des Zugriffs
auf Daten der Cloud-Nutzer durch interne
Die Architektur des Netzwerks ist nachvoll- Mitarbeiter, externe Dienstleister oder Lieferan-
ziehbar und aktuell dokumentiert (z. B. in Form ten des Cloud-Anbieters zu unterzeichnen.
von Diagrammen), um im Wirkbetrieb Fehler
in der Verwaltung zu vermeiden und um im Ergänzende Informationen zur Basisanforderung
Schadensfall eine zeitgerechte Wiederherstellung
gemäß der vertraglichen Verpflichtungen zu In einer Vertraulichkeitsvereinbarung sollte
gewährleisten. Aus der Dokumentation gehen die beschrieben sein:
unterschiedlichen Umgebungen (z. B. Administra-
tions-Netzwerk und geteilte Netzwerksegmente) » welche Informationen vertraulich behandelt
und Datenflüsse hervor. Darüber hinaus werden werden müssen,
die geografischen Lokationen angegeben, in
denen die Daten gespeichert werden. » für welchen Zeitraum diese Vertraulichkeitsver-
einbarung gilt,
KOS-07 Richtlinien zur Datenübertragung » welche Aktionen bei Beendigung dieser

Vereinbarung vorgenommen werden müs-
Basisanforderung sen, z. B. Vernichtung oder Rückgabe von
Datenträgern,
und organisatorischen Maßnahmen zum Schutz » wie die Eigentumsrechte an Informationen
der Datenübertragung vor unbefugtem Abfangen, geregelt sind,
Manipulieren, Kopieren, Modifizieren, Umleiten
oder Vernichten (z. B. Einsatz von Verschlüsse- » welche Regelungen für den Gebrauch und die
lung) sind gemäß SA-01 dokumentiert, kommu- Weitergabe von vertraulichen Informationen an
niziert und bereitgestellt. Die Vorgaben stellen weitere Partner gelten, falls dies notwendig ist,
einen Bezug zur Klassifikation von Informationen
her (vgl. AM-05). » welche Konsequenzen bei Verletzung der
Vereinbarung eintreten.
KOS-08 Vertraulichkeitserklärung Optionale, weitergehende Anforderungen

(Vertraulichkeit)
Basisanforderung
Soweit sich aus der Überprüfung Anpassungen an
Die mit internen Mitarbeitern, externen den Geheimhaltungs- oder Vertraulichkeitserklä-
Dienstleistern sowie Lieferanten des Cloud-An- rungen ergeben, sind die internen und externen
bieters zu schließenden Geheimhaltungs- oder Mitarbeiter des Cloud-Anbieters darüber in
Vertraulichkeitserklärungen basieren auf den Kenntnis zu setzen und neue Bestätigungen
Anforderungen des Cloud-Anbieters zum Schutz einzuholen.
vertraulicher Daten und betrieblicher Details. Die
59
5.10 Portabilität und Interoperabilität bereitgestellt, um die diesbezüglichen Anforde-

rungen und Verpflichtungen des Cloud-Kunden
zu gewährleisten.
Zielsetzung: ermöglichen der eigenschaft
den Dienst auf unterschiedlichen
It-plattformen sicher betreiben zu PI-04 Sicherer Datenimport und -export
können sowie die möglichkeit zur
sicheren Anbindung unterschiedlicher Basisanforderung
It-plattformen und Dienstbeendigung.
Der Cloud-Anbieter verwendet sichere Netz-
werkprotokolle für den Import und Export von
Informationen, sowie die Verwaltung des Dienstes
PI-01 Nutzung öffentlicher API‘s um die Integrität, Vertraulichkeit und Verfügbar-
und Industriestandards keit der transportierten Daten sicherzustellen.
Basisanforderung
PI-05 Sichere Datenlöschung
Um die Interoperabilität von Cloud-Diensten zu
gewährleisten, stehen Daten über dokumentierte Basisanforderung
Eingangs- und Ausgangs-Schnittstellen und in
anerkannten Industriestandards (z. B. das Open Sowohl beim Wechsel der Speichermedien zu
Virtualization Format für Virtual Appliances) zur Wartungszwecken als auch bei auf Verlangen des
Verfügung, um die Kommunikation zwischen Cloud-Kunden oder Beendigung des Vertragsver-
verschiedenen Komponenten und die Migration hältnisses erfolgt eine vollständige Löschung der
von Applikationen zu unterstützten. Inhaltsdaten des Cloud-Kunden, einschließlich
der Datensicherungen und der Metadaten (sobald
diese für die ordnungsgemäße Dokumentation
PI-02 Export von Daten der Abrechnung nicht mehr benötigt werden).
Die hierzu eingesetzten Methoden (z. B. durch
Basisanforderung mehrfaches Überschreiben der Daten, löschen des
Schlüssels) verhindern eine Wiederherstellung
Bei Vertragsende kann der Cloud-Kunde die mit forensischen Mitteln.
Daten, die ihm gemäß der vertraglichen Rahmen-
bedingungen zustehen, bei dem Cloud-Anbieter Ergänzende Informationen zur Basisanforderung
anfragen und erhält diese in weiterverarbeitbaren
elektronischen Standardformaten wie z. B. CSV Das Löschen von Metadaten und Protokolldateien
oder XML. ist Gegenstand der Anforderungen RB-11 und
RB-13.
PI-03 Richtlinie zur Portabilität

und Interoperabilität
Basisanforderung
Soweit keine individuellen Vereinbarungen

zwischen Cloud-Anbieter und Cloud-Kunden
die Interoperabilität und Portabilität der Daten
regeln, sind Richtlinien und Anweisungen mit
technischen und organisatorischen Maßnahmen
60
5.11 Beschaffung, Entwicklung und zertifizierten Produkten abweichend unzertifi-

Änderung von Informationssystemen zierte Produkte beschafft, ist dies zu dokumentie-
ren und zu begründen.
Zielsetzung: einhalten der sicherheitsvorgaben

bei neuentwicklungen und Beschaffungen von BEI-02 Auslagerung der Entwicklung
Informationssystemen sowie änderungen.
Basisanforderung
Bei ausgelagerter Entwicklung des Cloud-Diens-

BEI-01 Richtlinien zur Entwicklung / tes (oder Teilen davon) in Bezug auf Design,
Beschaffung von Informationssystemen Entwicklung, Test und/oder Bereitstellung von
Quellcode des Cloud-Dienstes ist ein hohes Maß
Basisanforderung an Sicherheit gefordert. Deshalb sind mindestens
die folgenden Aspekte vertraglich zwischen
Richtlinien und Anweisungen mit technischen Cloud-Anbieter und externen Dienstleister zu
und organisatorischen Maßnahmen für die vereinbaren:
ordnungsgemäße Entwicklung und/oder
Beschaffung von Informationssystemen für die » Anforderungen an einen sicheren Soft-
Entwicklung oder den Betrieb des Cloud-Diens- ware-Entwicklungsprozess (insbesondere
tes, einschließlich Anwendungen, Middleware, Design, Entwicklung und Test),
Datenbanken, Betriebssystemen und Netzwerk-
komponenten sind gemäß SA-01 dokumentiert, » Bereitstellung von Nachweisen, dass eine ausrei-
kommuniziert und bereitgestellt. In den Richt- chende Prüfung vom externen Dienstleister
linien und Anweisungen sind mindestens die durchgeführt wurde,
folgenden Aspekte beschrieben:
» Abnahmeprüfung der Qualität der erbrachten
» Sicherheit in der Softwareentwicklungsmetho- Leistungen gemäß den vereinbarten funktiona-
dik in Übereinstimmung mit in der Industrie len und nicht-funktionalen Anforderungen,
etablierten Sicherheitsstandards (z. B. OWASP
für Webapplikationen), » Das Recht, den Entwicklungsprozess und Kont-
rollen einer Prüfung, auch stichprobenartig, zu
» Sicherheit der Entwicklungsumgebung unterziehen.
(z. B. getrennte Entwicklungs-/Test-/
Produktivumgebungen),
BEI-03 Richtlinien zur Änderung von
» Programmierrichtlinien für jede verwendete Informationssystemen
Programmiersprache (z. B. bezüglich Buffer
Overflows, verbergen interner Objektreferenzen Basisanforderung
gegenüber Benutzern),
» Sicherheit in der Versionskontrolle. und organisatorischen Maßnahmen für eine
ordnungsgemäße Verwaltung von Änderungen
Optionale, weitergehende Anforderungen (Change Management) an Informationssyste-
(Vertraulichkeit) men für die Entwicklung oder den Betrieb des
Cloud-Dienstes, einschließlich Anwendungen,
Bei der Beschaffung werden Produkte vor- Middleware, Datenbanken, Betriebssystemen
gezogen, die nach den „Common Criteria for und Netzwerkkomponenten sind gemäß SA-01
Information Technology Security Evaluation“ dokumentiert, kommuniziert und bereitgestellt.
(kurz: Common Criteria – CC) gemäß Prüftiefe Mindestens die folgenden Aspekte sind dabei zu
EAL 4 zertifiziert wurden. Werden bei verfügbaren berücksichtigen:
61
» Kriterien zur Klassifizierung und Priorisierung BEI-06 Priorisierung der Änderungen

von Änderungen und damit verbundene Anfor-
derungen an Art und Umfang durchzuführen- Basisanforderung
der Tests und einzuholender Genehmigungen,
Alle Änderungen werden basierend auf einer
» Anforderungen zur Benachrichtigung betrof- Risikobewertung priorisiert (z. B. als niedrig,
fener Cloud-Kunden gemäß den vertraglichen normal, hoch, Notfall), um eine angemessene
Vereinbarungen, Autorisierung vor Bereitstellung der Änderung in
der Produktivumgebung einzuholen.
» Anforderungen an die Dokumentation von
Tests sowie zur Beantragung und Genehmigung
von Änderungen, BEI-07 Testen der Änderungen
» Anforderungen an die Dokumentation von Basisanforderung
Änderungen in der System-, Betriebs- und
Benutzerdokumentation. Alle Änderungen am Cloud-Dienst werden Tests
(z. B. auf Integration, Regression, Sicherheit und
Ergänzende Informationen zur Basisanforderung Benutzerakzeptanz) während der Entwicklung
und vor der Bereitstellung in der Produktivumge-
Änderungen an der bestehenden Netzwerk- bung unterzogen. Die Tests werden von angemes-
konfiguration müssen ebenfalls ein geregeltes sen qualifiziertem Personal des Cloud-Anbieters
Verfahren durchlaufen, da sie für eine wirksame durchgeführt. Gemäß Dienstgütevereinbarung
Mandantentrennung notwendig sind. (SLA) werden Änderungen ebenfalls durch den/
die dazu geeigneten Kunden (Tenants) getestet.
BEI-04 Risikobewertung der Änderungen

BEI-08 Zurückrollen der Änderungen
Basisanforderung
Basisanforderung
Der Auftraggeber einer Änderung führt zuvor eine
Risikobewertung durch. Alle möglicherweise von Es sind Abläufe definiert, um erforderliche Ände-
der Änderung betroffenen Konfigurationsobjekte rungen in Folge von Fehlern oder Sicherheitsbe-
werden auf potenzielle Auswirkungen hin bewer- denken zurückrollen zu können und betroffene
tet. Das Ergebnis der Risikobewertung ist ange- Systeme oder Dienste im vorherigen Zustand
messen und nachvollziehbar zu dokumentieren. wiederherzustellen.
BEI-05 Kategorisierung der Änderungen BEI-09 Überprüfen von ordnungsgemäßer

Testdurchführung und Genehmigung
Basisanforderung
Basisanforderung
Alle Änderungen werden basierend auf einer Risi-
kobewertung kategorisiert (z. B. als geringfügige, Bevor eine Änderung in der Produktivumgebung
erhebliche oder weitreichende Folgen), um eine veröffentlicht wird (Release), ist diese durch eine
angemessene Autorisierung vor Bereitstellung der hierzu autorisierte Stelle oder ein entsprechendes
Änderung in der Produktivumgebung einzuholen. Gremium dahingehend zu überprüfen, ob die
geplanten Tests erfolgreich abgeschlossen und die
erforderlichen Genehmigungen erteilt sind.
62
Optionale, weitergehende Anforderungen BEI-12 Funktionstrennung

Basisanforderung
Mindestens vierteljährlich wird für eine ange-
messene Zufallsstichprobe von Änderungen in Verfahren zum Change Management beinhalten
der Produktivumgebung (d. h. min. 10% aller in rollenbasierte Autorisierungen, um eine ange-
diesem Zeitraum abgeschlossenen Änderungen) messene Funktionstrennung bei Entwicklung,
überprüft, ob die internen Anforderungen in Freigabe und Migration von Änderungen zwi-
Bezug auf ordnungsgemäße Klassifizierung, Test schen den Umgebungen sicherzustellen.
und Genehmigung von Änderungen eingehalten
wurden.
BEI-10 Notfalländerungen
Basisanforderung
Notfalländerungen sind als solche von dem

Änderungsmanager zu klassifizieren, der die
Änderungsdokumentation vor Übertragung der
Änderung in die Produktivumgebung erstellt.
Anschließend (z. B. innerhalb von 5 Werktagen)
fügt der Änderungsmanager Begründung und
Ergebnis der Übertragung der Notfalländerung
zu der Änderungsdokumentation hinzu. Aus
der Begründung muss hervorgehen, warum der
reguläre Änderungsprozess nicht durchlaufen
werden konnte und was die Folgen einer Verzö-
gerung durch Einhaltung des regulären Prozesses
gewesen wären. Die Änderungsdokumentation
wird an die betroffenen Kunden weitergeleitet
und gemäß der vertraglichen Vereinbarungen
eine nachträgliche Freigabe durch die hierzu
autorisierten Stellen eingeholt.
BEI-11 Systemlandschaft
Basisanforderung
Produktivumgebungen sind von Nicht-Produkti-

vumgebungen physisch oder logisch getrennt, um
unbefugten Zugriff oder Änderungen an Produk-
tivdaten zu vermeiden. Produktivdaten werden
nicht in Test- oder Entwicklungsumgebungen
repliziert, um deren Vertraulichkeit zu wahren.
63
5.12 Steuerung und Überwachung von » Weitergabe und vertragliche Verpflichtung

Dienstleistern und Lieferanten auf die Mindest-Sicherheitsanforderungen
auch an Unterauftragnehmer, wenn diese
nicht nur unwesentliche Teile zu Entwicklung
Zielsetzung: sicherstellen des schutzes oder Betrieb des Cloud-Dienstes beitragen
von Informationen auf die Dienstleister (z. B. RZ-Dienstleister).
bzw. lieferanten des Cloud-Anbieters
(unterauftragnehmer) zugreifen können Die Definition der Anforderungen ist in das
sowie überwachung der vereinbarten Risikomanagement des Cloud-Anbieters einge-
leistungen und sicherheitsanforderungen. bunden. Gemäß der Anforderung OIS-07 werden
sie regelmäßig auf ihre Angemessenheit hin
überprüft.
DLL-01 Richtlinie zum Umgang mit und Optionale, weitergehende Anforderungen

Sicherheitsanforderungen an Dienstleister (Vertraulichkeit und Verfügbarkeit)
und Lieferanten des Cloud-Anbieters
Unterauftragnehmer des Cloud-Anbieters werden
Basisanforderung vertraglich dazu verpflichtet, dem Cloud-Anbieter
Prüfungsrechte über die Wirksamkeit des dienst-
Richtlinien und Anweisungen zur Sicherstellung leistungsbezogenen internen Kontrollsystems
des Schutzes von Informationen auf die sons- sowie das Einhalten der vereinbarten Sicherheits-
tige Dritte (z. B. Dienstleister bzw. Lieferanten anforderungen einzuräumen. Der Unterauftrag-
des Cloud-Anbieters), die wesentliche Teile zur nehmer kann den Nachweis auch durch Vorlage
Entwicklung oder zum Betrieb des Cloud-Diens- entsprechender Bescheinigungen unabhängiger
tes beitragen, sind gemäß SA-01 dokumentiert, Dritter (z. B. in Form von Berichterstattungen
kommuniziert und bereitgestellt. Die Vorgaben nach ISAE 3402/IDW PS 951) erbringen. Dies
dienen der Mitigierung von Risiken, die durch schließt auch Unterauftragnehmer des Unterauf-
den potenziellen Zugriff auf Informationen der tragnehmers ein.
Cloud-Kunden entstehen können. Dabei werden
mindestens die folgenden Aspekte berücksichtigt:
DLL-02 Überwachung der Leistungs-
» Definition und Beschreibung von Mindest-Si- erbringung und Sicherheitsanforderungen
cherheitsanforderungen in Bezug auf die an Dienstleister und Lieferanten des Cloud-
verarbeiteten Informationen, die sich an Anbieters
anerkannten Industriestandards wie ISO/IEC
27001 orientieren, Basisanforderung
» rechtliche und regulatorische Anforderun- Verfahren zur regelmäßigen Überwachung

gen, einschließlich Datenschutz, Recht am und Überprüfung der vereinbarten Leistungen
geistigen Eigentum, Copyright, Umgang mit und Sicherheitsanforderungen von Dritten
Metadaten (vgl. RB-11) sowie eine Beschreibung (z. B. Dienstleister bzw. Lieferanten des Cloud-An-
wie diese gewährleistet werden (z. B. Stand- bieters), die wesentliche Teile zur Entwicklung
ort der Datenverarbeitung und Haftung, oder zum Betrieb des Cloud-Dienstes beitragen,
vgl. Umfeldparameter), sind etabliert.
» Anforderungen an das Incident- und Vulnera- Die Maßnahmen umfassen mindestens:

bility-Management (insbesondere Benachrich-
tigungen und Kollaborationen während einer » regelmäßige Überprüfung von Dienstleistungs-
Störungsbehebung), berichten (z. B. SLA Reportings), soweit diese
von Dritten erbracht werden,
64
» Überprüfung von sicherheitsrelevanten Vor- 5.13 Security Incident Management

fällen, Betriebsstörungen oder Ausfällen und
Unterbrechungen, die mit der Dienstleistung
zusammenhängen, Zielsetzung: gewährleisten eines konsistenten
und umfassenden Vorgehens zur überwachung,
» außerplanmäßige Überprüfungen nach wesent- erfassung, Bewertung, Kommunikation
lichen Änderungen der Anforderungen oder und eskalation von sicherheitsvorfällen.
des Umfelds. Die Wesentlichkeit ist durch den
Cloud- Anbieter zu beurteilen und für Audits
nachvollziehbar zu dokumentieren.
SIM-01 Verantwortlichkeiten und
Festgestellte Abweichungen werden gemäß der Vorgehensmodell
Anforderung OIS-07 einer Risikoanalyse unter-
zogen, um diese zeitgerecht durch mitigierende Basisanforderung
Maßnahmen wirksam zu adressieren.
Optionale, weitergehende Anforderungen und organisatorischen Maßnahmen sind
(Vertraulichkeit und Verfügbarkeit) gemäß SA-01 dokumentiert, kommuniziert und
bereitgestellt, um eine schnelle, effektive und
Schnittstellen für eine automatisierte Echt- ordnungsgemäße Reaktion auf alle bekannten
zeit-Überwachung der Dienstleistung (mindes- Sicherheitsvorfälle zu gewährleisten. Seitens
tens Kapazität, Verfügbarkeit sowie Behebung von des Cloud-Anbieters sind dabei mindestens
Störungen) sind eingerichtet, um die Einhaltung die in OIS-03 aufgeführten Rollen zu besetzen,
der vereinbarten Dienstgütevereinbarungen zu Vorgaben zur Klassifizierung, Priorisierung und
überwachen und zeitnah auf Abweichungen Eskalation von Sicherheitsvorfällen zu definieren
reagieren zu können. Mindestens jährlich erfolgt und Schnittstellen zum Incident Management
eine Prüfung durch unabhängige, externe Prüfer sowie dem Business Continuity Management zu
oder qualifiziertes Personal des Cloud-Anbieters, schaffen. Zusätzlich hat der Cloud-Anbieter ein
um die Wirksamkeit der beim Dienstleister „Computer Emergency Response Team“ (CERT)
eingerichteten Kontrollen, die im Zusammen- eingerichtet, das zur koordinierten Lösung von
hang mit dem Vertragsverhältnis stehen sowie konkreten Sicherheitsvorfällen beiträgt. Von
die vereinbarten Sicherheitsanforderungen zu Sicherheitsvorfällen betroffene Kunden werden
überprüfen. Die Nachweisführung kann z. B. in zeitnah und in angemessener Form darüber
Form von Berichterstattungen nach ISAE 3402/ informiert.
IDW PS 951 erfolgen. Die zeitgerechte Adressie-
rung von Prüfungsfeststellungen werden durch Optionale, weitergehende Anforderungen
den Cloud-Anbieter nachgehalten. (Vertraulichkeit)
Es gibt Anweisungen, wie bei einem Sicherheits-

vorfall die Daten eines verdächtigen Systems
beweisfest gesammelt werden können. Weiterhin
existieren Analysepläne für typische Sicherheits-
vorfälle sowie eine Auswertemethodik, so dass die
gesammelten Informationen in einer eventuell
späteren juristischen Würdigung ihre Beweiskraft
nicht verlieren.
65
SIM-02 Klassifizierung von Kunden Zwischen Cloud-Anbieter und Cloud-Kunden

Systemen ist vertraglich geregelt, welche Daten dem
Cloud-Kunden bei Sicherheitsvorfällen zur
Basisanforderung eigenen Analyse zur Verfügung gestellt werden.
Alle Kundensysteme sind gemäß der Verein-

barungen (SLA) zwischen Cloud-Anbieter und SIM-05 Security Incient Event
Cloud-Kunden bezüglich der Kritikalität zur Management
Dienstleistungserbringung klassifiziert. Die
Zuweisung der vereinbarten Klassifizierungen Basisanforderung
wird regelmäßig sowie nach wesentlichen
Änderungen/Ereignissen für sämtliche Kun- Protokollierte Vorfälle werden zentral aggregiert
densysteme überprüft. Abweichungen werden und konsolidiert (Event-Korrelation). Regeln zur
nachverfolgt und zeitnah aufgelöst. Ferner geht Erkennung von Beziehungen zwischen Vorfällen
aus der Klassifizierung hervor, welche Parameter und zur Beurteilung gemäß Kritikalität sind
bzgl. der Wiederverfügbarkeit eines Systems mit implementiert. Die Behandlung dieser Vorfälle
dem Cloud-Kunden vereinbart wurden. erfolgt gemäß dem Security Incident Manage-
ment Prozess.
SIM-03 Bearbeitung von Sicherheits-

vorfällen SIM-06 Verpflichtung der Nutzer
zur Meldung von Sicherheitsvorfällen
Basisanforderung an eine zentrale Stelle
Ereignisse, die einen Sicherheitsvorfall darstellen Basisanforderung

könnten, werden durch qualifiziertes Personal des
Cloud-Anbieters oder in Verbindung mit externen Mitarbeiter und externe Geschäftspartner werden
Sicherheitsdienstleistern klassifiziert, priorisiert über ihre Verpflichtungen informiert. Falls erfor-
und einer Ursachenanalyse unterzogen. derlich willigen sie dazu ein oder verpflichten
sich vertraglich dazu, alle Sicherheitsereignisse
zeitnah an eine zuvor benannte zentrale Stelle zu
SIM-04 Dokumentation und melden. Zusätzlich wird darüber informiert, dass
Berichterstattung über Sicherheitsvorfälle „Falschmeldungen“ von Ereignisses, die sich im
Nachhinein nicht als Vorfälle herausstellen, keine
Basisanforderung negativen Folgen nach sich ziehen.
Nach Verarbeitung eines Sicherheitsvorfalls

wird die Lösung gemäß den vertraglichen Ver- SIM-07 Auswertung und Lernprozess
einbarungen dokumentiert und der Bericht zur
abschließenden Kenntnisnahme oder ggf. als Basisanforderung
Bestätigung an betroffene Kunden übermittelt.
Mechanismen sind Vorhanden, um Art und
Optionale, weitergehende Anforderungen Umfang der Sicherheitsvorfälle messen und
(Vertraulichkeit) überwachen sowie wie an unterstützende Stellen
melden zu können. Die aus der Auswertung
Der Kunde kann Lösungen entweder aktiv gewonnenen Informationen werden dazu ver-
zustimmen oder der Lösung wird nach Ablauf wendet, wiederkehrende oder mit erheblichen
eines bestimmten Zeitraumes automatisch Folgen verbundene Vorfälle zu identifizieren und
zugestimmt. Informationen zu Sicherheitsvorfäl- Notwendigkeiten für erweiterte Schutzmaßnah-
len oder bestätigten Sicherheitsverstößen werden men festzustellen.
allen betroffenen Kunden zur Verfügung gestellt.
66
Ergänzende Informationen zur Basisanforderung 5.14 Sicherstellung des Geschäftsbetriebs

und Notfallmanagement
Unterstützende Stellen können externe Dienst-
leister oder staatliche Stellen wie z. B. das BSI sein.
Zielsetzung: strategische etablierung
& steuerung eines Business Continuity
managements (BCm). planen, implementieren
und testen von notfallkonzepten sowie
verankern von maßnahmen zur sicherstellung
und Aufrechterhaltung des Betriebs.
BCM-01 Verantwortung durch die

Unternehmensleitung
Basisanforderung
Die Unternehmensleitung (bzw. ein Mitglied der

Unternehmensleitung) ist als Prozesseigentümer
des Kontinuitäts- und Notfallmanagements
benannt und trägt die Verantwortung für die Eta-
blierung des Prozesses im Unternehmen und die
Einhaltung der Leitlinien. Sie muss dafür sorgen,
dass ausreichende Ressourcen für einen effekti-
ven Prozess bereitgestellt werden. Personen in der
Unternehmensleitung und anderen relevanten
Führungspositionen demonstrieren Führung und
Engagement im Bezug auf dieses Thema, in dem
sie beispielsweise die Mitarbeiter dazu auffordern
beziehungsweise ermutigen, zu der Effektivität
des Kontinuitäts- und Notfallmanagements aktiv
beizutragen.
BCM-02 Richtlinien und Verfahren

zur Business Impact Analyse
Basisanforderung
Richtlinien und Anweisungen zum Ermitteln

von Auswirkungen etwaiger Störungen des
Cloud-Dienstes oder des Unternehmens sind
bereitgestellt.
Mindestens die folgenden Aspekte werden dabei

berücksichtigt:
» mögliche Szenarien basierend auf einer Risi-

koanalyse (z. B. Ausfall von Personal, Gebäude,
Infrastruktur und Dienstleister),
67
» Identifizierung kritischer Produkte und » definierter Zweck und Umfang unter Beachtung
Dienstleistungen, der relevanten Abhängigkeiten,
» Identifizierung von Abhängigkeiten, ein- » Zugänglichkeit und Verständlichkeit der Pläne

schließlich der Prozesse (inkl. dafür benötigter für Personen, die danach handeln sollen,
Ressourcen), Anwendungen, Geschäftspartner
und Dritter, » Eigentümerschaft durch mindestens eine
benannte Person, die für die Überprüfung,
» Erfassung von Bedrohungen gegenüber kriti- Aktualisierung und Genehmigung zuständig ist,
scher Produkte und Dienstleistungen,
» festgelegte Kommunikationswege, Rollen und
» Ermittlung von Auswirkungen resultierend aus Verantwortlichkeiten einschließlich Benach-
geplanten und ungeplanten Störungen und die richtigung des Kunden,
Veränderung im Laufe der Zeit,
» Wiederherstellungsverfahren, manuelle Über-
» Feststellung der maximal vertretbaren Dauer gangslösungen und Referenzinformationen
von Störungen, (unter Berücksichtigung der Priorisierung bei
der Wiederherstellung von Cloud-Infrastruktur
» Feststellung der Prioritäten zur Komponenten und Diensten sowie Ausrichtung
Wiederherstellung, an Kunden),
» Feststellung zeitlicher Zielvorgaben zur Wie- » Methoden zur Inkraftsetzung der Pläne,
deraufnahme kritischer Produkte und Dienst-
leistungen innerhalb des maximal vertretbaren » kontinuierlicher Verbesserungsprozess der
Zeitraums (RTO), Pläne,
» Feststellung zeitlicher Vorgaben zum maximal » Schnittstellen zum Security Incident

vertretbaren Zeitraum, in dem Daten verloren Management.
und nicht wiederhergestellt werden können
(RPO),
BCM-04 Verifizierung, Aktualisierung
» Abschätzung der zur Wiederaufnahme benötig- und Test der Betriebskontinuität
ten Ressourcen.
Basisanforderung
BCM-03 Planung der Betriebskontinuität Die Business Impact Analyse sowie die Pläne zur
betrieblichen Kontinuität und Notfallpläne wer-
Basisanforderung den regelmäßig (mindestens jährlich) oder nach
wesentlichen organisatorischen oder umgebungs-
Basierend auf der Business Impact Analyse wird bedingten Veränderungen überprüft, aktualisiert
ein einheitliches Rahmenwerk zur Planung der und getestet. Tests beziehen betroffene Kunden
betrieblichen Kontinuität und des Geschäftsplans (Tenants) und relevante Dritte (z. B. kritische Lie-
eingeführt, dokumentiert und angewendet, um feranten) mit ein. Die Tests werden dokumentiert
sicherzustellen, dass alle Pläne (z. B. der verschie- und Ergebnisse werden für zukünftige Maßnah-
denen Standorte des Cloud-Anbieters) konsistent men der betriebliche Kontinuität berücksichtigt.
sind. Die Planung richtet sich nach etablierten
Standards, was in einem „Statement of Applicabi- Ergänzende Informationen zur Basisanforderung
lity“ nachvollziehbar festgeschrieben ist.
Tests finden in erster Linie auf operativer Ebene
Pläne zur betrieblichen Kontinuität und Notfall- statt und richten sich an operative Zielgruppen.
pläne berücksichtigen dabei folgende Aspekte: Dazu gehören z. B.:
68
» Test der technischen Vorsorgemaßnahmen vermuteter oder festgestellter Mängel werden für
den Zeitraum der zuvor vertraglich vereinbarter
» Funktionstests Frist aufbewahrt. Nach dieser Frist werden die
Wartungsprotokolle ordnungsgemäß und dauer-
» Plan-Review haft vernichtet.
Übungen finden zusätzlich auf taktischer und Optionale, weitergehende Anforderungen

strategischer Ebene statt. Dazu gehören z. B.: (Verfügbarkeit)
» Planbesprechung Simulierte Ausfälle der Versorgung der Rechen-

zentren wird in die Übungen (vgl. BCM-03) mit
» Stabsübung eingebunden.
» Stabsrahmenübung
» Kommunikations- und Alarmierungsübung
» Simulation von Szenarien
» Ernstfall- oder Vollübung
Im Anschluss an eine durchgeführte Übung:
» Überprüfung und eventuelle Anpassung des

vorhandenen Alarmierungsplanes

(Verfügbarkeit)
Zusätzlich zu den Tests werden auch Übungen

durchgeführt, die u. a. Szenarien aus in der
Vergangenheit bereits aufgetretenen Sicherheits-
vorfällen hervorgegangen sind.
BCM-05 Rechenzentrumsversorgung
Basisanforderung
Die Versorgung der Rechenzentren (z. B. Wasser,

Elektrizität, Temperatur- und Feuchtigkeitskon-
trolle, Telekommunikation und Internetver-
bindung) ist abgesichert, überwacht und wird
regelmäßig gewartet und getestet, um eine durch-
gängige Wirksamkeit zu gewährleisten. Sie ist mit
automatischen Ausfallsicherungen und anderen
Redundanzen konzipiert. Die Wartung wird in
Übereinstimmung mit den von den Lieferanten
empfohlenen Wartungsintervallen und Vorgaben
sowie ausschließlich von autorisiertem Personal
durchgeführt. Wartungsprotokolle einschließlich
69
5.15 Sicherheitsprüfung und -nachweis SPN-03 Interne Überprüfungen der

Compliance von IT-Systemen mit internen
Sicherheitsrichtlinien und Standards
Zielsetzung: überprüfen und nachhalten, dass
Basisanforderung
die maßnahmen zur Informationssicherheit in
übereinstimmung mit den organisationsweiten
Qualifiziertes Personal (z. B. Interne Revision) des
richtlinien und Anweisungen implementiert
Cloud-Anbieters oder durch den Cloud-Anbieter
und ausgeführt werden.
beauftragte sachverständige Dritte überprü-
fen mindestens jährlich die Compliance der
IT-Systeme, soweit diese ganz oder teilweise im
Verantwortungsbereich des Cloud-Anbieters
SPN-01 Informieren der Unternehmens- liegen und für die Entwicklung oder den Betrieb
leitung des Cloud-Dienstes relevant sind, mit den ent-
sprechenden internen Richtlinien und Standards
Basisanforderung sowie der für den Cloud-Dienst relevanten
rechtlichen, regulativen und gesetzlich vorge-
Die Unternehmensleitung wird durch regelmä- schriebenen Anforderungen. Die identifizierten
ßige Berichte über den Stand der Informationssi- Abweichungen werden priorisiert und in Abhän-
cherheit auf Grundlage der Sicherheitsprüfungen gigkeit ihrer Kritikalität, werden Maßnahmen
informiert und ist verantwortlich für die zeit- zur Behebung zeitnah definiert, nachverfolgt und
nahe Behebung von daraus hervorgegangenen umgesetzt.
Feststellungen.
SPN-02 Interne Überprüfungen der
Compliance von IT-Prozessen mit internen Auf Anfrage der Cloud-Kunden stellt der
Sicherheitsrichtlinien und Standards Cloud-Anbieter Informationen über die Ergeb-
nisse, Auswirkungen und Risiken dieser Prüfun-
Basisanforderung gen und Beurteilungen in angemessener Form
zur Verfügung. Der Cloud-Anbieter verpflichtet
Qualifiziertes Personal (z. B. Interne Revision) des seine Unterauftragnehmer zu solchen Prüfun-
Cloud-Anbieters oder durch den Cloud-Anbieter gen und lässt sich die Prüfberichte im gleichen
beauftragte sachverständige Dritte überprüfen Turnus vorlegen und verwertet sie bei seinen
jährlich die Compliance der internen IT-Prozesse Überprüfungen.
mit den entsprechenden internen Richtlinien
und Standards sowie der für den Cloud-Dienst
relevanten rechtlichen, regulativen und gesetzlich
vorgeschriebenen Anforderungen. Die identifi-
zierten Abweichungen werden priorisiert und in
Abhängigkeit ihrer Kritikalität, werden Maßnah-
men zur Behebung zeitnah definiert, nachverfolgt
und umgesetzt.

Die Prüfung wird mindestens halbjährlich durch-

geführt. Die Prüfung umfasst auch die Einhaltung
der Anforderungen dieses Anforderungskatalogs.
70
5.16 Compliance und Datenschutz COM-02 Planung unabhängiger,

externer Audits
Zielsetzung: Vermeiden von Verstößen gegen Basisanforderung

gesetzliche oder vertragliche Verpflichtungen
in Bezug auf Informationssicherheit. Unabhängige Überprüfungen und Beurteilungen
von Systemen oder Komponenten die zur Erbrin-
gung der Cloud-Dienste beitragen, sind vom
Cloud-Anbieter so geplant, dass die folgenden
COM-01 Identifizierung anzuwendender Anforderungen erfüllt werden:
gesetzlicher, vertraglicher und
datenschutzrechtlicher Anforderungen » Es erfolgt ausschließlich lesender Zugriff auf
Software und Daten.
Basisanforderung
» Aktivitäten, die möglicherweise die Ver-
Rechtliche, regulative und gesetzlich vorgeschrie- fügbarkeit der Systeme oder Komponenten
bene Anforderungen, sowie die Vorgehensweise, beeinträchtigen und so zu einem Verstoß des
um diese Vorgaben einzuhalten sind durch den SLAs führen könnten, werden außerhalb der
Cloud-Anbieter für den Cloud-Dienst anwen- regulären Geschäftszeiten bzw. nicht zu Zeiten
dungsbezogen zu identifizieren, dokumentieren von Lastspitzen durchgeführt.
und regelmäßig zu aktualisieren.
» Die durchgeführten Aktivitäten werden proto-
Ergänzende Informationen zur Basisanforderung kolliert und überwacht.
Die Dokumentation des Cloud-Anbieters kann Optionale, weitergehende Anforderungen

u. a. auf die folgenden regulatorischen Anforde- (Verfügbarkeit)
rungen Bezug nehmen:
Der Cloud-Anbieter hat Vorkehrungen für außer-
» allgemein anerkannte Buchführungsgrundsätze planmäßige Audits getroffen.
(z. B. gemäß HGB oder IFRS)
» Anforderungen bzgl. des Datenzugriffs und der COM-03 Durchführung unabhängiger,

Prüfbarkeit digitaler Unterlagen (z. B. gemäß externer Audits
GDPdU)
Basisanforderung
» Anforderungen zum Schutz personenbe-
zogener Daten (z. B. gemäß BDSG oder EU Prüfungen und Beurteilungen von Prozessen,
Datenschutzrichtlinie) IT-Systemen und IT-Komponenten, soweit diese
ganz oder teilweise im Verantwortungsbereich des
» Anforderungen der Regierung (z. B. gemäß BSIG Cloud-Anbieters liegen und für die Entwicklung
oder AktG) oder den Betrieb des Cloud-Dienstes relevant
sind, werden mindestens jährlich durch unab-
hängige Dritte (z. B. Wirtschaftsprüfer) durchge-
führt, um Nichtkonformitäten mit rechtlichen,
regulativen und gesetzlich vorgeschriebenen
Anforderungen zu identifizieren. Die identifi-
zierten Abweichungen werden priorisiert und in
Abhängigkeit ihrer Kritikalität werden Maßnah-
men zur Behebung zeitnah definiert, nachverfolgt
und umgesetzt.
71
Optionale, weitergehende Anforderungen 5.17 Mobile Device Management

Auf Anfrage der Cloud-Kunden stellt der Zielsetzung: gewährleistung der sicherheit
Cloud-Anbieter Informationen über die Ergeb- beim einsatz mobiler endgeräte im
nisse, Auswirkungen und Risiken dieser Prüfun- Verantwortungsbereich des Cloud-Anbieters
gen und Beurteilungen in angemessener Form zur für den Zugriff auf It-systeme zur entwicklung
Verfügung. Falls notwendig, können außerplan- und zum Betrieb des Cloud-Dienstes.
mäßige Überprüfungen durch unabhängige Dritte
durchgeführt werden.
MDM-01 Richtlinien und Verfahren

zur Risikominimierung des Zugriffs über
mobile Endgeräte des Cloud-Anbieters
Basisanforderung

und organisatorischen Maßnahmen für die ord-
nungsgemäße Verwendung mobiler Endgeräte im
Verantwortungsbereich des Cloud-Anbieters, die
Zugriff auf IT-Systeme zur Entwicklung und zum
Betrieb des Cloud-Dienstes ermöglichen, sind
bereitgestellt. Darin werden mindestens folgende
Aspekte beachtet, soweit diese auf die Situation
des Cloud-Anbieters anwendbar sind:
» Verschlüsselung der Geräte und der

Datenübertragung,
» verstärkter Zugriffsschutz,
» erweitertes Identitäts- und

Berechtigungsmanagement,
» Verbot von Jailbreaking/Rooting,
» Installation nur von freigegebenen Anwendun-

gen aus als vertrauenswürdig eingestuften „App
Stores“,
» Bring-Your-Own-Device (BYOD) – Mindestan-

forderungen an private Endgeräte.

Es erfolgt eine zentrale Verwaltung und Überwa-

chung mittels MDM-Lösungen, einschließlich
Möglichkeit zur Fernlöschung. Es erfolgt eine
72
Standort-Plausibilisierung der Zugriffe. Eine

Inventarisierungsliste mobiler Endgeräte mit
Zugriff auf den Cloud-Dienst (u. a. mit Informa-
tionen über Betriebssystem und Patch-Status,
zugeordneter Mitarbeiter, Freigabe bzgl. BYOD)
wird geführt (vgl. AM-01).
73
Impressum
Herausgeber
Bundesamt für Sicherheit in der Informationstechnik – BSI
Godesberger Allee 185–189
53175 Bonn
E-Mail: cloudsecurity@bsi.bund.de
Internet: www.bsi.bund.de/C5
Bezugsquelle
Godesberger Allee 185–189
53175 Bonn
Telefon: +49 (0) 22899 9582-0
Telefax: +49 (0) 22899 9582-5400
Stand
September 2017
Druck
Druck- und Verlagshaus Zarbock GmbH & Co. KG
Sontraer Straße 6
63086 Frankfurt am Main
Internet: www.zarbock.de
Texte und Redaktion

Bildnachweis
Titelbild: Fotolia
Artikelnummer
BSI-Cloud17/202
Diese Broschüre ist Teil der Öffentlichkeitsarbeit des BSI; sie wird
kostenlos abgegeben und ist nicht zum Verkauf bestimmt.
www.bsi.bund.de

Anforderungskatalog-Cloud Computing

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Anforderungskatalog-Cloud Computing

Hochgeladen von

Copyright:

Verfügbare Formate

Anforderungskatalog

Cloud Computing (C5)

1.2 Einheitliche Anforderungen auf Basis vorhandener Standards 11

2 Aufbau und Inhalt des Anforderungskatalogs 14

2.1 Aufbau des Anforderungskatalogs 14

2.2 Inhaltliche Darstellung der Anforderungsbereiche 15

2.3 Zugrundeliegende nationale und internationale Standards 17

3 Nachweis der Konformität der Anforderungen durch eine

3.2 Prüfungsstandards und Kriterien 20

3.2.1 ISAE 3000 (Revised) als Prüfungsstandard 20

3.3 Prüfungsgegenstand einschließlich Systembeschreibung 21

3.4 Prüfungsziel und Berichterstattung 24

3.5 Gesonderte und ergänzende Anforderungen des BSI 25

3.5.1 Qualifikation des Prüfers 25

3.6 Anwendungshinweise an potenzielle Cloud-Kunden:

4 Rahmenbedingungen des Cloud-Dienstes (Umfeldparameter) 29

 UP-02 Gerichtsbarkeit und Lokationen der

 UP-03 Offenbarungs- und Ermittlungsbefugnisse 30

5 Zielsetzungen und Anforderungen 32

5.1 Organisation der Informationssicherheit 32

 OIS-01 Managementsystem für Informationssicherheit 32

 OIS-02 Strategische Vorgaben zur

 OIS-03 Zuständigkeiten und Verantwortungen im

 OIS-05 Kontakt zu relevanten Behörden und

 OIS-06 Richtlinie für die Organisation des

 OIS-07 Identifikation, Analyse, Beurteilung und

5.2 Sicherheitsrichtlinien und Arbeitsanweisungen 35

 SA-01 Dokumentation, Kommunikation und

 SA-02 Überprüfung und Freigabe von von Richtlinien

 SA-03 Abweichungen von bestehenden Richtlinien und

 HR-01 Sicherheitsüberprüfung der

 HR-03 Programm zur Sicherheitsausbildung und

 HR-05 Beendigung des Beschäftigungsverhältnisses

5.4 Asset Management 39

 AM-01 Asset Inventar 39

 AM-02 Zuweisung von Asset

 AM-03 Nutzungsanweisungen für Assets 40

 AM-04 Ab- und Rückgabe von Assets 40

 AM-05 Klassifikation von Informationen 40

 AM-06 Kennzeichnung von Informationen und

 AM-07 Verwaltung von Datenträgern 41

 AM-08 Überführung und Entfernung

5.5 Physische Sicherheit 41

 PS-02 Physische Zutrittskontrolle 41

 PS-03 Schutz vor Bedrohungen von außen und aus der

 PS-04 Schutz vor Unterbrechungen durch Stromausfälle

 PS-05 Wartung von Infrastruktur

 RB-01 Kapazitätsmanagement – Planung 44

 RB-02 Kapazitätsmanagement – Überwachung 44

 RB-03 Kapazitätsmanagement – Datenlokation 44

 RB-04 Kapazitätsmanagement – Steuerung von

 RB-05 Schutz vor Schadprogrammen 45

 RB-06 Datensicherung und Wiederherstellung – Konzept 45

 RB-07 Datensicherung und Wiederherstellung –

 RB-08 Datensicherung und Wiederherstellung –

 RB-09 Datensicherung und Wiederherstellung –

 RB-10 Protokollierung und Überwachung – Konzept 46

 RB-11 Protokollierung und Überwachung – Metadaten 47

 RB-12 Protokollierung und Überwachung – Kritische

 RB-13 Protokollierung und Überwachung –

 RB-14 Protokollierung und Überwachung –

 RB-15 Protokollierung und Überwachung – Konfiguration 48

 RB-16 Protokollierung und Überwachung –

UP-02 Gerichtsbarkeit und Lokationen der

UP-03 Offenbarungs- und Ermittlungsbefugnisse 30

OIS-01 Managementsystem für Informationssicherheit 32

OIS-02 Strategische Vorgaben zur

OIS-03 Zuständigkeiten und Verantwortungen im

OIS-05 Kontakt zu relevanten Behörden und

OIS-06 Richtlinie für die Organisation des

OIS-07 Identifikation, Analyse, Beurteilung und

SA-01 Dokumentation, Kommunikation und

SA-02 Überprüfung und Freigabe von von Richtlinien

SA-03 Abweichungen von bestehenden Richtlinien und

HR-01 Sicherheitsüberprüfung der

HR-03 Programm zur Sicherheitsausbildung und

HR-05 Beendigung des Beschäftigungsverhältnisses

AM-01 Asset Inventar 39

AM-02 Zuweisung von Asset

AM-03 Nutzungsanweisungen für Assets 40

AM-04 Ab- und Rückgabe von Assets 40

AM-05 Klassifikation von Informationen 40

AM-06 Kennzeichnung von Informationen und

AM-07 Verwaltung von Datenträgern 41

AM-08 Überführung und Entfernung

PS-02 Physische Zutrittskontrolle 41

PS-03 Schutz vor Bedrohungen von außen und aus der

PS-04 Schutz vor Unterbrechungen durch Stromausfälle

PS-05 Wartung von Infrastruktur

RB-01 Kapazitätsmanagement – Planung 44

RB-02 Kapazitätsmanagement – Überwachung 44

RB-03 Kapazitätsmanagement – Datenlokation 44

RB-04 Kapazitätsmanagement – Steuerung von

RB-05 Schutz vor Schadprogrammen 45

RB-06 Datensicherung und Wiederherstellung – Konzept 45

RB-07 Datensicherung und Wiederherstellung –

RB-08 Datensicherung und Wiederherstellung –

RB-09 Datensicherung und Wiederherstellung –

RB-10 Protokollierung und Überwachung – Konzept 46

RB-11 Protokollierung und Überwachung – Metadaten 47

RB-12 Protokollierung und Überwachung – Kritische

RB-13 Protokollierung und Überwachung –

RB-14 Protokollierung und Überwachung –

RB-15 Protokollierung und Überwachung – Konfiguration 48

RB-16 Protokollierung und Überwachung –

RB-17 Umgang mit Schwachstellen, Störungen und

RB-18 Umgang mit Schwachstellen, Störungen und

RB-19 Umgang mit Schwachstellen, Störungen und

RB-20 Umgang mit Schwachstellen, Störungen und

RB-21 Umgang mit Schwachstellen, Störungen und

RB-22 Umgang mit Schwachstellen, Störungen und

RB-23 Segregation der gespeicherten und verarbeiteten

IDM-01 Richtlinie für Zugangs- und

IDM-03 Vergabe und Änderung (Provisionierung) von

IDM-04 Berechtigungsentzug (Deprovisionierung) bei

IDM-05 Regelmäßige Überprüfung der

IDM-07 Geheimhaltung von

IDM-08 Sichere Anmeldeverfahren 53

IDM-09 Umgang mit Notfallbenutzern 53

IDM-10 Systemseitige Zugriffskontrolle 54

IDM-11 Passwortanforderungen und

IDM-12 Einschränkung und Kontrolle administrativer

IDM-13 Zugriffskontrolle zu Quellcode 55

KRY-01 Richtlinie zur Nutzung von

KRY-02 Verschlüsselung von Daten bei der Übertragung

KRY-03 Verschlüsselung von sensiblen Daten bei der

KRY-04 Sichere Schlüsselverwaltung 56

KOS-01 Technische Schutzmaßnahmen 57

KOS-02 Überwachen von Verbindungen 57

KOS-03 Netzwerkübergreifende Zugriffe 58

KOS-04 Netzwerke zur Administration 58

KOS-05 Segregation des Datenverkehrs in gemeinsam

KOS-06 Dokumentation der Netztopologie 59

KOS-07 Richtlinien zur Datenübertragung 59

PI-01 Nutzung öffentlicher API‘s

PI-02 Export von Daten 60

PI-03 Richtlinie zur Portabilität und Interoperabilität 60

PI-04 Sicherer Datenimport und -export 60

PI-05 Sichere Datenlöschung 60

BEI-01 Richtlinien zur Entwicklung /

BEI-02 Auslagerung der Entwicklung 61

BEI-03 Richtlinien zur Änderung von

BEI-04 Risikobewertung der Änderungen 62