Cloud Computing
BSI legt Mindeststandards für Cloud-Nutzung fest
von
Alexandra
Lindner - 09.05.2017
Foto: Sergey Nivens / shutterstock.com
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Mindeststandards für Cloud Computing veröffentlicht. Damit solle ein Mindestmaß an Sicherheit gewährt werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Mindeststandards zur Nutzung externer Cloud-Dienste festgelegt. Diese sollen Unternehmen und Organisationen dabei behilflich sein, den für sie am besten geeigneten Cloud-Anbieter auszuwählen. Dabei geht es vor allem um den Datenschutz und die damit verbundenen Anforderungen an den Cloud-Dienst. Bei der Erstellung der Mindeststandards habe sich die BSI an bereits existierenden Standards, Normen und Regularien wie etwa dem Anforderungskatalog Cloud Computing C5 (PDF) orientiert.
Die Mindeststandards wurden in drei strategischen Aspekte unterteilt: Der erste befasst sich mit der Risiko- und Chancentransparenz. Diese werde dafür sorgen, dass zwischen Kunde und Anbieter sowohl Gefahren als auch Präventionen und Verbesserungen besprochen werden.
Im zweiten Aspekt verlangt der Mindeststandard eine klare Aufteilung der Zuständigkeiten. Es müsse genau geregelt sein, wer für welche Sicherheitsvorkehrungen verantwortlich ist. Nur so könne jede Partei ihre Aufgaben richtig wahrnehmen.
Aspekt drei schreibt schließlich die Standards fest, die die Migration zwischen verschiedenen Cloud-Diensten ermöglichen soll. Damit werde laut BSI die Abhängigkeit von nur einem Anbieter vermieden.
Erfüllung der Mindeststandards ist für Behörden verpflichtend
Das BSI unterscheidet in seinen Mindeststandards für Cloud Computing außerdem die drei Phasen Beschaffung, Einsatz und Beendigung. Bei der Beschaffung geht es darum, den passenden Cloud-Anbieter auszuwählen. Hierbei sollte vor allem der vom Anbieter gebotenen Sicherheitsstandard mit den Datenschutzanforderungen des Unternehmens verglichen und abgestimmt werden.
In der Einsatzphase sollte die Organisation stets überprüfen, ob diese Sicherheit auch tatsächlich geboten ist. Behörden sind gar dazu verpflichtet, entsprechende Berichte des Cloud-Anbieters auszuwerten und lückenlos zu archivieren.
Wird die Cloud-Nutzung beendet oder der entsprechende Anbieter gewechselt, geben die Mindeststandards vor, wie dies abzulaufen hat. Etwa sollte bereits in der Beschaffungsphase vertraglich festgelegt werden, wie ein Vertragsende im Detail ausschaut. Hierbei geht es vor allem um die Rückgabe beziehungsweise Löschung der Daten des Kunden.
Die Einhaltung des Mindeststandards ist für Bundesbehörden verpflichtend. Privatwirtschaftliche Unternehmen sind angehalten sich so gut wie möglich daran zu orientieren.
