Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) zur Nutzung externer Cloud-Dienste veröffentlicht. Der Mindeststandard betrachtet neben der vorgelagerten Datenkategorisierung und Risikoanalyse den gesamten Lebenszyklus einer Cloud-Nutzung von der Beschaffungs- über die Einsatz- bis hin zur Beendigungsphase und stellt für jede dieser Phasen Sicherheitsanforderungen auf. Dabei wird ein Schwerpunkt insbesondere auf die Verknüpfung mit den Basisanforderungen des bereits veröffentlichten Anforderungskatalogs Cloud Computing des BSI (C5) gesetzt.
BSI
BSI-Anforderungskatalog Cloud-Computing: Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten
Im Rahmen der CeBIT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht. Basierend auf eigenen Erkenntnissen und anerkannten Standards zur IT-Sicherheit sind die Anforderungen in Basis-Anforderungen und höherwertige Anforderungen unterteilt, um unterschiedliche Sicherheitsbedürfnisse zu adressieren. Besonderes Augenmerk wird dabei auf die Transparenz der Cloud-Diensterbringung gelegt.
Experton Group: “Cloud-Verschlüsselung : Ja, nicht nur aus aktuellem Anlass”
Schon wieder das Thema Cloud-Verschlüsselung, werden sich manche bei diesem Beitrag denken. Ja, schon wieder, aber aus aktuellem Anlass und aus gutem Grund. Nicht nur die Experton Group bringt das Thema Cloud-Verschlüsselung mehrfach auf die Tagesordnung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) behandelt die notwendige Verschlüsselung der Cloud-Daten in der aktuellen BSI-Publikation “Sichere Nutzung von Cloud-Diensten”. Mehr noch: Die Aufsichtsbehörden für den Datenschutz haben sogar ihre bestehende “Orientierungshilfe Cloud Computing” überarbeitet und in einer neuen Version veröffentlicht. Dabei wird auch die Bedeutung der Cloud-Verschlüsselung unterstrichen. Einer der wesentlichen Gründe, sich erneut und immer wieder mit Cloud-Verschlüsselung zu befassen, ist, dass die Verschlüsselung in der Cloud immer neuen Risiken standhalten muss. Als Beispiel nennen die Aufsichtsbehörden die bekannt gewordenen Überwachungsmaßnahmen verschiedener Nachrichtendienste.