Mindeststandards zur Nutzung und Mitnutzung externer Cloud-Dienste

20.09.2019

Der Bedarf an sicheren Cloud-Diensten nimmt auch in der Bundesverwaltung stetig zu. Dabei können sich in der Praxis die Anwendungsbereiche stark unterscheiden, sodass auch in Abhängigkeit vom Schutzbedarf der zu verarbeitenden Daten die Informationssicherheit eine zunehmend zentrale Rolle einnimmt. Die Einforderung und Umsetzung von Sicherheitsanforderungen ist daher ein wichtiger Bestandteil bei der Inanspruchnahme von Cloud-Diensten. Vor diesem Hintergrund hat das BSI mit der sogenannten Nutzung und Mitnutzung zwei Anwendungsbereiche identifiziert, die für die Bundesverwaltung von besonderer Bedeutung sind, und für diese zielgerichtete Sicherheitsanforderungen als Mindeststandards nach § 8 Abs. 1 BSIG erarbeitet.

Nutzung externer Cloud-Dienste

In diesem Anwendungsbereich hat die Bundesbehörde (hier eine Stelle des Bundes im Sinne des § 8 Abs. 1 BSIG) einen Bedarf an einer IT-Leistung, die nicht durch eigene IT-Ressourcen, sondern über einen externen Cloud-Dienst erbracht werden soll. Hierbei handelt es sich letztendlich um eine sogenannte Make-or-Buy-Entscheidung der Bundesbehörde. Sofern sich die Bundesbehörde für die „Buy“-Option entscheidet, schließt diese mit einem Wirtschaftsunternehmen (Cloud-Anbieter) einen Vertrag über die Erbringung der IT-Leistung ab. Die Bundesbehörde nimmt somit die Rolle des Auftraggebers ein. In diesem Nutzungsszenario finden die Regelungen des Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste in der Bundesverwaltung Anwendung. Nach Einschätzung des BSI handelt es sich hierbei um den Regelfall bei der Inanspruchnahme von externen Cloud-Diensten durch Bundesbehörden.

Informationssicherheit, Transparenz der Cloud-Diensterbringung

Dieser Mindeststandard greift die Themenkomplexe Informationssicherheit, Transparenz der Cloud-Diensterbringung und Nachweis über diese Aspekte durch geeignete Prüfungen auf. Rahmenbedingungen für die Cloud-Diensterbringung werden konkretisiert. Zudem wird vorgegeben, wie die Prüfnachweise des Cloud-Anbieters für das Informationssicherheitsmanagement der jeweiligen Bundesbehörde genutzt werden sollen. Unberührt bleibt jedoch die Verantwortung für die IT-Objekte, die die Bundesbehörde im Rahmen ihrer IT-Grundschutzkonzeption innehat. Letztere wird durch die Nutzung externer Cloud-Dienste angepasst.

Mitnutzung externer Cloud-Dienste

Im Anwendungsbereich der Mitnutzung nehmen IT-Anwender einer Bundesbehörde externe Cloud-Dienste in Anspruch, ohne dass zwischen der Bundesbehörde und dem eigentlichen Cloud-Anbieter ein Vertragsverhältnis über die Mitnutzung besteht. Somit ist die Bundesbehörde in diesen Fällen nicht Auftraggeber des Cloud-Dienstes. Insbesondere wenn IT-Anwender im Rahmen von (internationalen) Projekten oder Arbeitsgruppen institutionsübergreifend zusammenarbeiten wollen, wird diese Form der Mitnutzung immer häufiger gewählt. Jedoch greifen die Sicherheitsanforderungen aus dem Mindeststandard zur Nutzung externer Cloud-Dienste – hier insbesondere zur Beschaffungsphase – regelmäßig zu weit. Daher regelt der Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Mitnutzung externer Cloud-Dienste in der Bundesverwaltung diesen Anwendungsbereich und hilft somit bei der Bewertung solcher Dienste.

Umsetzungshinweise

Als Unterstützung für IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Betriebspersonal stehen mit den Umsetzungshinweisen umfangreiche Informationen zur korrekten Interpretation und Umsetzung der beiden Mindeststandards bereit. Das Dokument geht dabei zunächst auf Gemeinsamkeiten und Unterschiede der beiden Mindeststandards ein und gibt dann detaillierte Umsetzungshinweise zu den jeweiligen Sicherheitsanforderungen. Mithilfe der Umsetzungshinweise können Verantwortliche ihren eigenen Informationssicherheitsprozess abgleichen. Darüber hinaus können die bekannten Kontaktadressen für weitere fachliche Rückfragen genutzt werden.

Informationsaustausch

Mit Veröffentlichung der Mindeststandards sind die Bundesbehörden aufgefordert, künftig an einem Austausch mit dem BSI über die Nutzung und Mitnutzung externer Cloud-Dienste teilzunehmen. Als Erhebungsstichtag ist der 31. Januar 2020 gesetzt.