Die flexible Bereitstellung von Anwendungen und Ressourcen aus der Cloud gehört mittlerweile zum Alltag in Unternehmen. Laut Cloud-Monitor 2021 von Bitkom Research und KPMG nutzen inzwischen 82 Prozent der deutschen Unternehmen Rechenleistung oder Anwendungen aus der Cloud – im Vorjahr waren es „nur“ 76 Prozent. Kein Wunder. Schließlich können Firmen mit Hilfe der Cloud schnell und bedarfsgerecht auf neue Anforderungen reagieren, ihre Prozesse optimieren oder auch datenbasierte Geschäftsmodelle umsetzen.
Sicherheit in der Cloud
Zwar zögern viele Unternehmen anfangs aus Sicherheitsbedenken, ihre Daten oder Anwendungen in die Cloud zu verlagern. Doch in den meisten Fällen erhöht die Cloud sogar die Sicherheit. Denn bei Cloud-Providern gehören IT-Sicherheit und Compliance zum Kerngeschäft. Sie investieren sehr viel Geld in die Absicherung ihrer Cloud-Umgebungen, setzen aktuelle Sicherheitstechnologien inklusive End-to-End-Verschlüsselung ein und beschäftigen ein großes Team mit IT-Experten, die ausschließlich Security-Maßnahmen umsetzen, prüfen und anpassen.
Bei kleinen und mittleren Unternehmen sieht das anders aus. Sie müssen sich fragen, ob sie mit ihrem internen IT-Personal zu den Kosten der Cloud-Lösung in der Lage wären, in ihren eigenen Rechenzentren selbst die Sicherheit für die Daten und Compliance gewährleisten könnten. Das ist meist nicht der Fall. Damit weisen Cloud-Lösungen in der Regel immer noch mehr Sicherheit auf als intern betriebene Rechenzentren – angesichts der steigenden Zahl an Cyberattacken ein zentraler Vorteil.
Cloud-Sicherheit als Auswahlkriterium
Bei der Wahl des richtigen Cloud-Providers sollten grundsätzlich alle wichtigen Parteien im Unternehmen am Tisch sitzen, sprich Geschäftsführung, Fachabteilungen, IT, die Beauftragten für Datenschutz und Informationssicherheit oder der Hausjurist. Erste Orientierung für die Minimalanforderungen bei Cloud-Security/-Compliance bieten etwa die Leitfäden des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Branchenverbands Bitkom.
Zentral für die Einschätzung des Sicherheitsniveaus eines Cloud-Anbieters ist eine Testierung oder auch Zertifizierung durch eine externe Stelle. Ein Testat oder Zertifikat belegt, dass der Provider Vorgaben an IT-Security und Informationssicherheit umsetzt und deren Einhaltung durch meist jährliche Re-Audits durch externe Prüfer nachgewiesen wird. So entsteht Vertrauen. Beispiele sind etwa die Zertifizierung gemäß der Norm ISO/IEC 27001 oder spezielle Cloud-Gütesiegel wie SaaS von EuroCloud, CSA STAR, TÜV Trust IT oder die C5-Cloud-Testierung des BSI.
Die BSI-Cloud-Testierung (C5)
C5 steht für Cloud Computing Compliance Criteria Catalogue. Das BSI beschreibt mit diesem Kriterienkatalog Mindestanforderungen an die Informationssicherheit für Cloud-Dienste, die nicht unterschritten werden sollten. Er richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer/Auditoren und Kunden. Informationssicherheit umfasst drei wesentliche Schutzziele:
Verfügbarkeit: Alle Informationen stehen innerhalb eines vereinbarten Zeitrahmens zur Verfügung.
Vertraulichkeit: Schutz von Informationen vor unbefugtem Zugriff.
Integrität: Schutz von Information vor unbefugter Modifikation (inkl. Erzeugung und Löschung).
Ziel der C5-Cloud-Testierung des BSI ist die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung. Cloud-Anbieter können die C5-Kriterien umsetzen, um die IT-Sicherheit ihrer Cloud-Dienste zu erhöhen und sich damit einen Wettbewerbsvorteil zu verschaffen.
Beim Audit wird geprüft, ob der Cloud-Anbieter die Kriterien des C5 derzeit erfüllt (Prüfungstyp 1 Angemessenheit) oder auch, ob diese in der Vergangenheit durchgängig erfüllt waren (Prüfungstyp 2 Wirksamkeit). Diese Prüfung erfolgt nicht durch das BSI selbst, sondern durch Wirtschaftsprüfer.
Der Auditbericht erfüllt international anerkannte Standards und dokumentiert sowohl die Prüftätigkeiten als auch die Maßnahmen des Cloud-Anbieters für eine höhere Informationssicherheit. Dazu gehören etwa Angaben zur Verfügbarkeit und Störungsbeseitigung, zu den eingesetzten Subdienstleistern, zur geografischen Lage der Rechenzentren oder zum Umgang mit Ermittlungsanfragen staatlicher Stellen.
Der BSI-Anforderungskatalog Cloud Computing
Potenzielle Kunden können den C5-Prüfbericht anfordern und für die Auswahl des Cloud-Anbieters auswerten. Sie erhalten so Antwort auf die zentrale Frage: Erfüllt der Provider die Mindestkriterien für unsere Cloud-Anforderungen? Schließlich muss der Kunde verbleibende Restrisiken tragen und im Eintrittsfall verantworten.
Der Kriterienkatalog C5 wurde im Jahr 2016 durch das Bundesamt für Sicherheit in der Informationstechnik erstmals veröffentlicht. Seit 2020 gibt es eine neue, aktualisierte Version. Der Katalog C5:2020 gliedert sich in 17 Themengebiete mit insgesamt 125 Kriterien, die sich an der Darstellung der Maßnahmenziele aus dem Anhang A der ISO/IEC 27001 Anhang orientieren. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele und konkrete Maßnahmen, mit denen Firmen die Informationssicherheit verbessern können.
Zu den 17 Bereichen gehören Themen wie Organisation der Informationssicherheit, Richtlinien, Personalsicherheit, Asset Management, Incident Management, Physische Sicherheit, Kryptografie, Identity und Access Management oder Compliance.
DSGVO: Daten sollten in Deutschland liegen
Der C5-Katalog legt zudem großen Wert auf Datenschutz und die Einhaltung der Datenschutzgrundverordnung (DSGVO). Damit verbunden ist auch das Hosting der Daten in Deutschland oder der EU. Unternehmen sollten daher in den SLAs mit dem Cloud-Anbieter festlegen, dass die Daten Deutschland oder die EU nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden.
Darüber hinaus benötigen Firmen transparente Informationen über die Sicherheitskonzeption des Cloud-Providers. Dieser sollte beispielsweise auf folgende Fragen detailliert antworten:
- Wo werden die Daten abgelegt?
- Wie sieht das Programm im Notfall aus, wenn tatsächlich Daten verschwinden?
- Wer greift wann und mit welchen Rechten auf die Daten zu?
- Werden die Daten fristgerecht gelöscht?
- Was passiert mit den Daten bei Ende des Vertrags?