BSI veröffentlicht Cloud-Anforderungskatalog

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen umfangreichen Anforderungskatalog erstellt, der Anbietern und ihren Kunden bei der Beurteilung der Informationssicherheit von Cloud-Diensten unterstützen soll. Das Dokument gibt einen Überblick über Standards wie ISO/IEC 27001, ISO/IEC 27017, die Regelungen der CSA Cloud Controls Matrix, den IT-Grundschutz-Katalogen und Sicherheitsprofilen des BSI zum Thema SaaS (Software-as-a-Service).

Nach Ansicht des BSI gebe es zwar bereits einen informellen Konsens zwischen Sicherheitsexperten und Cloud-Dienstleistern, welche Anforderungen sicheres Cloud Computing erfüllen müsse. Einen allgemein anerkannten Anforderungskatalog habe es aber bislang noch nicht gegeben. Diese Lücke will das BSI mit dem jetzt veröffentlichten Dokument schließen. Es kann kostenlos von der Webseite der Behörde als PDF heruntergeladen werden.

Gegliedert ist der Cloud-Anforderungskatalog in siebzehn Bereiche, die sich zum Beispiel mit der Organisation der Informationssicherheit, den Sicherheitsrichtlinien und Arbeitsanweisungen und den Anforderungen an das Personal beschäftigen. Das Dokument geht aber auch auf Themen wie physische Sicherheit und Maßnahmen für den Regelbetrieb ein. Zuletzt erläutert es auch essentielle Aspekte wie Verschlüsselung und Berechtigungsmanagement. Insgesamt umfasst es 94 Seiten.