Anforderungskatalog Cloud-Computing: Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten

08.04.2016
Im Rahmen der CeBIT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht.
Logo: Bundesamt für Sicherheit in der Informationstechnik

Basierend auf eigenen Erkenntnissen und anerkannten Standards zur IT-Sicherheit sind die Anforderungen in Basis-Anforderungen und höherwertige Anforderungen unterteilt, um unterschiedliche Sicherheitsbedürfnisse zu adressieren. Besonderes Augenmerk wird dabei auf die Transparenz der Cloud-Diensterbringung gelegt.

Zur Überprüfung der Sicherheit einer Cloud-Lösung wird neben der Umsetzung von Sicherheitsanforderungen auch die Offenlegung von Umfeldparametern gefordert.

Gebäude des BSI in Bonn

In den Umfeldparametern werden Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen nachgewiesen und für den Nutzer verständlich dargestellt. Dies unterstützt den Cloud-Kunden in seiner Entscheidungsfindung für oder gegen den Einsatz eines Cloud-Dienstes.

Der Anforderungskatalog bietet Cloud-Anbietern die Möglichkeit, sich im Rahmen einer Compliance- oder Wirtschaftsprüfung schnell und mit geringem Mehraufwand die Erfüllung der Anforderungen testieren zu lassen.

Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen SOC2-Bericht erbracht. Dieser basiert auf dem international anerkannten Testierungsregime der ISAE 3000, das von Wirtschaftsprüfern verwendet wird.

Der neue Anforderungskatalog steht auf der Webseite des BSI zum Download zur Verfügung.

Quelle: Bundesamt für Sicherheit in der Informationstechnik


© copyright @ Bachert Datentechnik GmbH 2018