Im Rahmen der CeBIT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht. Basierend auf eigenen Erkenntnissen und anerkannten Standards zur IT-Sicherheit sind die Anforderungen in Basis-Anforderungen und höherwertige Anforderungen unterteilt, um unterschiedliche Sicherheitsbedürfnisse zu adressieren. Besonderes Augenmerk wird dabei auf die Transparenz der Cloud-Diensterbringung gelegt.
Zur Überprüfung der Sicherheit einer Cloud-Lösung wird neben der Umsetzung von Sicherheitsanforderungen auch die Offenlegung von Umfeldparametern gefordert. In den Umfeldparametern werden Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen nachgewiesen und für den Nutzer verständlich dargestellt. Dies unterstützt den Cloud-Kunden in seiner Entscheidungsfindung für oder gegen den Einsatz eines Cloud-Dienstes.
Der Anforderungskatalog bietet Cloud-Anbietern die Möglichkeit, sich im Rahmen einer Compliance- oder Wirtschaftsprüfung schnell und mit geringem Mehraufwand die Erfüllung der Anforderungen testieren zu lassen. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen SOC2-Bericht erbracht. Dieser basiert auf dem international anerkannten Testierungsregime der ISAE 3000, das von Wirtschaftsprüfern verwendet wird.
Der neue Anforderungskatalog steht auf der Webseite des BSI zum Download zur Verfügung.
Kritik im Heise-Forum
Auf wenig Gegenliebe stieß die Ankündigung des BSI im Heise-Forum bei Benutzer “der_realistische”. Seine Kritik richtet sich insbesondere darauf, dass die Kriterien von der Mehrheit der Cloud Computing-Anbieter gar nicht erfüllt werden kann, sondern den “BIG Five” in die Hände spielen würde.