Die Nutzung externer Cloud-Dienste ist heute für viele Organisationen unverzichtbar. Unternehmen, Behörden und Institutionen setzen verstärkt auf Cloud-Technologien, um Daten flexibel zu speichern, Anwendungen bereitzustellen und Geschäftsprozesse zu optimieren. Doch mit der zunehmenden Digitalisierung und Cloud-Nutzung wächst auch das Risiko von Cyberangriffen, Datenschutzverstößen und unkontrollierten Datenabflüssen. Deshalb hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Mindeststandard zur Nutzung externer Cloud-Dienste definiert, um eine sichere und rechtskonforme Nutzung zu gewährleisten.
Dieser Mindeststandard richtet sich primär an Bundesbehörden, kann aber auch für Unternehmen eine wertvolle Orientierung bieten. Denn viele der geforderten Sicherheitsmaßnahmen gelten als Best Practices für den sicheren Einsatz von Cloud-Technologien.
In diesem Artikel beleuchten wir die wichtigsten Anforderungen des Mindeststandards und erklären, warum auch Unternehmen außerhalb des öffentlichen Sektors von diesen Vorgaben profitieren können.
Warum ist ein Mindeststandard für Cloud-Dienste notwendig?
Die Cloud-Nutzung bringt viele Vorteile mit sich, darunter Skalierbarkeit, Effizienzsteigerung und flexible Zugriffsmöglichkeiten auf Daten und Anwendungen. Gleichzeitig entstehen jedoch neue Risiken, insbesondere im Bereich der Informationssicherheit. Externe Cloud-Dienste, die von privaten Anbietern bereitgestellt werden, können Angriffsziel für Cyberkriminelle sein. Zudem besteht die Gefahr, dass sensible Daten nicht ausreichend geschützt oder sogar unkontrolliert an Dritte weitergegeben werden.
Das BSI hat deshalb mit seinem Mindeststandard für externe Cloud-Dienste eine verbindliche Sicherheitsrichtlinie für Behörden geschaffen. Er basiert auf dem IT-Sicherheitsgesetz 2.0 und dem IT-Grundschutz des BSI und legt detaillierte Anforderungen an die sichere Nutzung von Cloud-Diensten fest. Obwohl diese Standards in erster Linie für Bundesbehörden verpflichtend sind, können sich auch Unternehmen daran orientieren, um ihre eigene IT-Sicherheit zu verbessern und regulatorische Vorgaben wie die Datenschutz-Grundverordnung (DSGVO) einzuhalten.
Der Mindeststandard des BSI: Ein Überblick über die vier Phasen der Cloud-Nutzung
Der Mindeststandard gliedert sich in vier zentrale Phasen, die den gesamten Lebenszyklus eines Cloud-Dienstes abdecken: Planung, Beschaffung, Einsatz und Beendigung. Jede dieser Phasen enthält spezifische Anforderungen, die eine sichere Cloud-Nutzung gewährleisten sollen.
1. Planungsphase: Die Basis für eine sichere Cloud-Nutzung
Bevor ein externer Cloud-Dienst genutzt wird, muss eine Organisation eine Strategie zur Cloud-Nutzung festlegen. Dabei geht es um eine gründliche Analyse, welche Chancen und Risiken mit der Cloud-Nutzung verbunden sind. Eine Einrichtung darf einen Cloud-Dienst nur dann nutzen, wenn dieser mit den eigenen Sicherheitsanforderungen übereinstimmt.
Ein wesentlicher Bestandteil dieser Phase ist die Risikobewertung. Hierbei müssen sämtliche Daten, die künftig in der Cloud gespeichert oder verarbeitet werden, identifiziert und klassifiziert werden. Besonders sensible Daten, etwa personenbezogene Informationen oder Geschäftsgeheimnisse, müssen besonders geschützt werden.
Zudem muss die Organisation ein Sicherheitskonzept für den Cloud-Dienst erstellen, das sowohl Datenschutz- als auch Geheimschutzanforderungen berücksichtigt. IT-Sicherheitsbeauftragte und Datenschutzbeauftragte müssen aktiv in diesen Prozess eingebunden werden. Ohne eine detaillierte Risikoanalyse und ein abgestimmtes Sicherheitskonzept sollte kein externer Cloud-Dienst in Betrieb genommen werden.
2. Beschaffungsphase: Auswahl eines sicheren Cloud-Dienstleisters
Nach der Planungsphase folgt die Beschaffung des Cloud-Dienstes. Hierbei müssen klare Sicherheitsanforderungen an den Cloud-Anbieter definiert werden. Besonders wichtig ist die Einhaltung des Cloud Computing Compliance Criteria Catalogue (C5) des BSI. Dieser Katalog stellt sicher, dass Cloud-Dienstleister höchste Sicherheitsstandards erfüllen.
Bei der Vergabe eines Cloud-Dienstes müssen zudem vertragliche Regelungen getroffen werden, die regelmäßige Sicherheitsnachweise durch den Anbieter einfordern. Dies umfasst unter anderem:
- Regelmäßige Auditberichte über die Sicherheitsmaßnahmen des Cloud-Anbieters
- Klare Prüfrechte für die nutzende Organisation, um Kontrollen durchführen zu können
- Vertragliche Verpflichtungen für den Anbieter, Sicherheitsupdates und Datenschutzmaßnahmen kontinuierlich zu gewährleisten
Ein weiteres kritisches Thema ist der Einsatz von Unterauftragnehmern. Viele Cloud-Dienste arbeiten mit Subdienstleistern, die ebenfalls Zugriff auf die gespeicherten Daten haben könnten. Die Organisation muss sicherstellen, dass auch diese Unternehmen den gleichen Sicherheitsanforderungen unterliegen wie der Hauptanbieter.
Ein besonders sensibler Punkt ist zudem die Datenlokation. Die Verarbeitung von Daten außerhalb Deutschlands oder der EU kann problematisch sein, insbesondere wenn ausländische Geheimdienste Zugriff auf die gespeicherten Informationen erhalten
könnten. Das BSI empfiehlt daher, Vertragspartner mit Sitz in Deutschland zu bevorzugen und den Gerichtsstand im Vertrag klar zu regeln.
3. Einsatzphase: Kontinuierliche Sicherheitsüberprüfung während der Nutzung
Die Cloud-Nutzung endet nicht mit der Vertragsunterzeichnung – im Gegenteil: Ein entscheidender Bestandteil der Sicherheitsstrategie ist die regelmäßige Überwachung der Cloud-Dienste. Das BSI fordert daher eine kontinuierliche Überprüfung, ob:
- Die Sicherheitsanforderungen des Anbieters eingehalten werden
- Es keine Sicherheitslücken oder Datenverluste gibt
- Die Nutzer innerhalb der Organisation sicher mit der Cloud arbeiten
Ein wichtiger Punkt ist die Einbindung des Cloud-Dienstes in das eigene IT-Sicherheitsmanagement (ISMS). Dazu gehört unter anderem, dass Multi-Faktor-Authentifizierung (MFA) für Benutzer mit administrativen Rechten zwingend vorgeschrieben wird.
Zudem sollten Unternehmen regelmäßig die Leistungsfähigkeit des Cloud-Dienstes überprüfen. Eine mangelhafte Performance oder unerwartete Ausfälle können nicht nur Geschäftsprozesse beeinträchtigen, sondern auch Sicherheitsrisiken durch Verzögerungen bei Updates oder Fehlkonfigurationen mit sich bringen.
4. Beendigung: Sicherer Ausstieg
Früher oder später kommt es dazu, dass eine Organisation einen Cloud-Dienst nicht mehr benötigt. Auch dieser Prozess muss sicher gestaltet werden, um Datenverluste und unkontrollierte Weitergabe von Informationen zu verhindern.
Das BSI schreibt vor, dass Unternehmen eine klare Regelung zur Datenrückgabe und Datenlöschung mit dem Cloud-Anbieter treffen müssen. Dazu gehört:
- Die geordnete Rückgabe aller gespeicherten Daten in einem standardisierten Format
- Die nachweisbare Löschung aller Daten, inklusive Backups und Protokolldateien
- Ein Abschlussbericht über die erfolgte Datenlöschung
Besonders heikel ist dieses Thema, wenn Cloud-Daten auf mehreren Servern und bei Subdienstleistern gespeichert wurden. In solchen Fällen müssen alle betroffenen Unternehmen in die Datenlöschung einbezogen werden.
Fazit
Auch wenn der Mindeststandard des BSI vor allem für Bundesbehörden entwickelt wurde, bietet er für Unternehmen eine wertvolle Orientierung für eine sichere Cloud-Nutzung. Die Vorgaben helfen dabei, Datenverluste zu vermeiden, Datenschutzvorgaben einzuhalten und Cyberangriffe abzuwehren.
Unternehmen, die sich an diesen Sicherheitsstandards orientieren, können nicht nur ihre IT-Sicherheit verbessern, sondern auch das Vertrauen ihrer Kunden und Geschäftspartner stärken. Die Einhaltung von Sicherheitsrichtlinien wird zunehmend zum Wettbewerbsfaktor – und wer frühzeitig in eine robuste Cloud-Sicherheitsstrategie investiert, ist für die digitale Zukunft bestens gerüstet.
Für weitere Informationen empfiehlt sich ein Blick auf die offiziellen Dokumente des BSI zur Cloud-Sicherheit: BSI Mindeststandard zur Nutzung externer Cloud-Dienste.
Aurea Verebes
