DE | Deutsch
IT-Sicherheit 18.10.2019

Fünf C für die Cloud-Security.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte 2016 erstmals den Cloud Computing Compliance Criteria Catalogue (kurz C5), der sich schnell als Standard etablierte. Nun steht aufgrund neuer Anwendungsszenarien und -konzepte eine Überarbeitung an. Um den eigenen Entwurf zu optimieren, stellte das BSI der Security-Fachwelt kürzlich einen Community Draft zur Verfügung. Ende Januar 2020 wird die neue Version zum Stand der Cloud-Sicherheit finalisiert.

Artikel teilen

C5 ist an alle Cloud-Anbieter gerichtet, die mit den verfügbaren Prüfkriterien die Einhaltung der Forderungen durch unabhängige Prüfer nachweisen wollen. Die Prüfkriterien wurden 2016 unter anderem aus den bereits etablierteren Standards ISO/IEC 27001 sowie der Cloud Controls Matrix der Cloud Security Alliance übernommen.

 

Angesichts des ständig wachsenden Angebots cloud-basierter Produkte, deren Komplexität und Einsatz in unternehmenskritischen und sicherheitskritischen Bereichen, wurde eine Aktualisierung des C5-Katalogs notwendig. Zudem müssen auch geopolitische Faktoren berücksichtigt werden, die wahrscheinlich nicht allen Nutzern eines Cloud-Dienstes präsent sind.

 

Der aktuelle Entwurf wurde der Fachwelt zur Diskussion und zur Einreichung der Verbesserungsvorschläge bis zum 22. November 2019 vorgelegt. Bis Ende Januar 2020 soll die endgültige Fassung vorgelegt werden. Die wesentlichen Änderungen betreffen folgende Themen …

 

  • Änderung oder Erweiterung der Kriterien hinsichtlich neuer Konzepte, z. B. „DevOps“
  • Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste um Produkt-spezifische Aspekte der Informationssicherheit;
  • Aufnahme ergänzender Hinweise und Informationen zum besseren Verständnis der Kriterien sowie zu deren kontinuierlicher Prüfung;
  • Ergänzung des bisherigen Prüfungsverfahrens, der Prüfung einer Erklärung zum IT-System, um die Möglichkeit einer direkten IT-Prüfung.

Der C5-Katalog kann sowohl von den Cloud-Anbietern als auch von Cloud-Kunden eingesetzt werden. Da eine Selbstauskunft des Anbieters aus der Sicht des Kunden wenig verbindlich und aus der Sicht des Cloud-Anbieters unwirtschaftlich ist, hält das BSI eine einheitliche, unabhängige Prüfung für sinnvoll. Diese zentrale Prüfung führt zu mehr Transparenz und ermöglicht dem Cloud-Kunden den Vergleich verschiedener Anbieter.

 

Sicher in die Cloud.

Dabei ist der C5-Katalog weit mehr als ein Zertifizierungslabel, das die Clouddienst-Anbieter nach erfolgreicher Prüfung vorweisen können. Das BSI definiert mit dem C5-Katalog sowohl Basiskriterien, die für die Mehrzahl der Kunden und Anwendungsfälle ein angemessenes Sicherheitsni­veau bieten, als auch Zusatzkriterien, die für Kunden oder Anwendungsfällen mit erhöhtem Schutzbedarf von großer Bedeutung sind.

 

Darüber hinaus definiert das BSI korrespondierende Kriterien für Kunden, die eine Kundenmitwirkung zur Wahrung der Informationssicherheit erfordern. An dieser Stelle wird bereits erkennbar, dass die Zertifizierung des Cloud-Anbieters alleine zur Wahrung der Informationssicherheit nicht unbedingt ausreichend ist. Der Kunde muss in der Lage sein, den Schutzbedarf für die verarbeiteten Daten und genutzten Dienste einschätzen zu können, er muss seine eigenen Pflichten kennen und diesen nachgehen.

 

Sicherheitsvorkehrungen nutzen.

Neben der Sicherheit der Cloud-Dienste an sich, die im C5-Katalog beleuchtet wird, liegt ein besonderes Augenmerk auf der sicheren Konfiguration und dem sicheren Betrieb der Dienste. In der Praxis stellen meine Kollegen und ich immer wieder fest, dass selbst einfache Sicherheitsvorkehrungen, wie beispielsweise die Zwei-Faktor-Authentifizierung, Passwort-Richtlinien, personalisierte Administrationszugänge und granulare Administratorrollen nicht umgesetzt werden. Viele Cloud-Anbieter oder Dritthersteller bieten automatisierte Test-Tools, um die Sicherheit der Konfiguration zu beurteilen; auch diese sind vielen nicht bekannt oder werden nicht verwendet.

 

 

Fehler, die immer wieder zu Problemen führen, sind fehlende Planung und die falsche Bewertung des eigenen Schutzbedarfs. So werden zum Beispiel Mail Services ohne ausreichenden Mail Protection, Virtuelle Server ohne Firewall und Datenbankinstanzen ohne einer Datensicherung betrieben.

 

Um den sicheren Betrieb cloud-basierter Dienste zu gewährleisten, ist neben der passgenauen Auswahl eines sicheren Cloud-Anbieters eine Cloud-Strategie zur Einführung und zum Betrieb der Dienste unabdingbar. Hierbei muss man neben der sicheren Konfiguration primärer Dienste weitere Lösungen zur Wahrung der Informationssicherheit betrachten: zum Beispiel E-Mail-Protection, Firewall, Archivierung und Backup und die Integration der On-Premise-Infrastruktur.

denis-borisov.png
Denis Borisov
Security Consultant

Kommentare.

Sagen Sie uns Ihre Meinung

Kommentar*
/500
Name*
E-Mail