18.5.2019
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) zur Nutzung externer Cloud-Dienste wie z. B. Datenräumen veröffentlicht. Der Mindeststandard betrachtet neben der vorgelagerten Datenkategorisierung und Risikoanalyse den gesamten Lebenszyklus einer Cloud-Nutzung von der Beschaffungs- über die Einsatz- bis hin zur Beendigungsphase und stellt für jede dieser Phasen Sicherheitsanforderungen auf. Dabei wird ein Schwerpunkt insbesondere auf die Verknüpfung mit den Basisanforderungen des bereits veröffentlichten Anforderungskatalogs Cloud Computing des BSI gesetzt.
Basisanforderungen an Informationssicherheit
Der Katalog adressiert vorrangig Datenraum- bzw. Cloud-Anbieter und definiert mit den dortigen Basisanforderungen bereits ein Niveau der Informationssicherheit von Datenraum-Diensten, das aus Sicht des BSI nicht unterschritten werden sollte. Stellen des Bundes haben bei einer Nutzung von externen Cloud-Diensten zu berücksichtigen, dass mindestens die Basisanforderungen vom Datenraum-Anbieter erfüllt werden und ihnen dies in geeigneter Form nachgewiesen wird, z. B. durch die Vorlage eines Prüfberichts. Auf der Grundlage dieses Berichts können Stellen des Bundes somit die Angebote von Cloud-Anbietern mit ihren eigenen Anforderungen abgleichen.
Mehr Transparenz bei den Anbietern
Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI): „Nach der Veröffentlichung des Katalogs setzen wir mit diesem Mindeststandard erneut ein klares Signal an den Cloud-Markt. Cloud-Dienste basieren auf einem hohen Maß an Vertrauen in den Cloud-Anbieter, denn die Details der Cloud bleiben den Kunden meist verborgen. Der neue Mindeststandard sorgt insgesamt für mehr Transparenz und ermöglicht, mit den Anbietern auf Augenhöhe über ein definiertes Mindestniveau an Informationssicherheit zu sprechen.“
Leitfaden für Cloud-Nutzung auch für Behörden
Der von der nationalen Cyber-Sicherheitsbehörde BSI entwickelte Mindeststandard definiert ein Mindestsicherheitsniveau für die Nutzung externer Cloud-Dienste durch die Stellen des Bundes. Gleichzeitig kann das beschriebene Verfahren auch Behörden der Länder und Kommunen sowie Unternehmen als Leitfaden für die eigene Cloud-Nutzung dienen. Der Mindeststandard Nutzung externer Cloud-Dienste ist auf der Webseite des BSI abrufbar.