Ein Novum im Vergleich zu anderen Sicherheitsstandards sind die sogenannten Umfeldparameter. In ihnen legt der Cloud-Anbieter wichtige Informationen dar: Systembeschreibung, Lokation der Daten und Dienste, Gerichtsstandort, Zertifizierungen sowie Ermittlungsbefugnisse und Offenbarungspflichten gegenüber staatlichen Stellen. Diese Angaben helfen potenziellen Cloud-Kunden, zu entscheiden, ob gesetzliche Vorschriften (wie z. B. Datenschutz), die eigenen Richtlinien oder auch die Gefährdungslage bezüglich Wirtschaftsspionage die Nutzung des jeweiligen Cloud-Dienstes als geeignet erscheinen lassen. Der Anforderungskatalog stellt bei den Umfeldparametern keine konkreten Forderungen auf – beispielsweise Gerichtsstandort nur in Deutschland – sondern verlangt vom Cloud-Anbieter die entsprechende Auskunft, die im Rahmen einer Prüfung bestätigt wird. Es liegt also am Cloud-Kunden, diese Erkenntnisse im Licht seiner eigenen Anforderungen zu bewerten.

Die Herausforderung mit Unterauftragnehmern

Eine weitere Herausforderung stellen Unterauftragnehmer des Cloud-Anbieters dar. Cloud-Anbieter konzentrieren sich auf ihr Kerngeschäft – beispielsweise eine Anwendung (SaaS) – und lagern unterschiedlichste Funktionen wie z. B. Virenschutz, Disaster Recovery, Rechenzentrumskapazitäten oder telefonischen Support aus. Um die Anforderungen des Kataloges zu erfüllen, muss der Cloud-Anbieter alle Anforderungen auch an seine Unterauftragnehmer weitergeben und sie vertraglich darauf verpflichten. Diese wiederum verfahren genauso mit ihren Unterauftragnehmern. So wird vermieden, dass Sicherheitsanforderungen an Unterauftragnehmer durchgereicht werden, die selbst nur geringeren Anforderungen als der Cloud-Anbieter unterliegen. Dem Cloud-Anbieter obliegt es, durch die vertragliche Verpflichtung des Unterauftragnehmers, die Einhaltung der Anforderungen zu überwachen. Dazu kann er sich – wie seine eigenen Kunden – vom Unterauftragnehmer einen Prüfbericht nach diesem Anforderungskatalog vorlegen lassen. Der Prüfer des Cloud-Anbieters prüft dann, ob dieser sich nachweisbar diese Berichte hat vorlegen und bewerten lassen. Details zu diesem Thema sind im folgenden Kapitel enthalten.

Dem Cloud-Kunden muss der Cloud-Anbieter beim Umfeldparameter Systembeschreibung zeigen, welche Unterauftragnehmer zur Erbringung des Cloud-Dienstes beitragen. So erhält der Kunde die notwendige Transparenz.

Der Nachweis, dass der Cloud-Anbieter die Anforderungen des Katalogs erfüllt, muss nach Ansicht des BSI durch unabhängige Dritte geführt werden. Eine reine Selbstauskunft reicht hier nicht aus, da sie nicht die für den Kunden notwendige vertrauenswürdige Transparenz schafft.

Wirtschaftsprüfer und das ISAE-Regime

Das BSI hat sich bewusst für eine Testierung und damit zunächst gegen eine eigene Zertifizierung entschieden, weil eine Testierung an bereits in diesem Kontext etablierte Verfahren anknüpfen kann. Die Wahl des BSI fiel auf eine Prüfung analog zum international anerkannten Testierungsregime ISAE 3000 (International Standard on Assurance Engagements (ISAE) 3000 Revised, Assurance Engagements Other than Audits or Reviews of Historical Financial Information) in Verbindung mit ISAE 3402 (Assurance Reports on Controls at a Service Organization) und die Anforderungen wurden so formuliert, dass ein Bericht analog zu SOC 2 erstellt werden kann. Da diese Prüf- und Berichtsverfahren häufig unbekannt sind, folgen hier einige Erläuterungen.

ISAE 3000 und SOC 2 werden von Wirtschaftsprüfern verwendet. ISAE 3000 prüft ein internes Kontrollsystem; SOC 2 ist eine aus den USA stammende Berichtsform einer solchen Prüfung. Es gibt sie in zwei verschiedenen Ausprägungen. In der ersten Variante wird nur geprüft, ob das Kontrollsystem des Cloud-Anbieters so ausgestaltet ist, dass die Anforderungen den Zielen angemessen sind. In der zweiten – in der Regel darauf aufbauenden – Variante wird geprüft, ob die Maßnahmen über einen gewissen Zeitraum (i. d. R. ein Jahr) auch wirksam waren. Je nach Anforderung unterscheiden sich die beiden Varianten in der Prüfung im Aufwand. Die Prüfung der Wirksamkeit einer Anweisung zur Schulung von Mitarbeitern kann beispielsweise einfach durch die Sichtung von Schulungszeugnissen erfolgen. Die Wirksamkeit des Incident-Managements ist dagegen schwieriger nachzuweisen. Dies geschieht insbesondere durch die Prüfung einer beträchtlichen Anzahl von Incident-Tickets auf vorgabengemäße Bearbeitung. Im Anforderungskatalog wird festgelegt, dass grundsätzlich eine Prüfung nach Typ 2 (Angemessenheit und Wirksamkeit) durchzuführen ist. Eine Prüfung nach Typ 1 kann ausnahmsweise als Vorstufe gemacht werden, beispielsweise wenn der Cloud-Dienst, bzw. sein Kontrollsystem noch nicht so lange existiert. Danach sollen aber Prüfungen nach Typ 2 ausnahmslos die Regel sein und die Prüfungen sollen jährlich wiederholt werden.

"Audit Once – Certify Many" – Synergien bei Prüfungen

Die für die Jahresabschlussprüfung zuständigen Wirtschaftsprüfer eines Cloud-Anbieters kennen diesen in der Regel sehr gut. Diese gesetzlich vorgeschriebene Prüfung kann einfach mit der Prüfung nach dem Anforderungskatalog kombiniert werden. Es gibt hier bereits eine Überlappung der Anforderungen, da die IT sowie die zugehörigen Prozesse in der Praxis einen immer größeren Teil der Jahresabschlussprüfung ausmachen. Der Cloud-Anbieter muss also nur die Zeit für die Prüfungen verlängern, aber nicht komplett neue Prüfprozesse in seinen Terminplan einbauen. Ist das Prüfteam mit weiteren Auditoren angereichert, können weitere Zertifizierungen oder Testierungen (z. B. nach ISO/IEC 27001 oder 22301) mit erlangt werden. Der Anforderungskatalog hat, wie bereits oben erwähnt, eine große Schnittmenge mit diesen Standards, sodass im Audit viele Anforderungen nur einmal vom Prüfteam zu überprüfen sind. Eine Anforderung muss also im Idealfall nur einmal geprüft werden und das Ergebnis kann für verschiedene Audit-Berichte verwendet werden. Dies reduziert den Aufwand und bei geschickter Planung einer gleichzeitigen Prüfungsdurchführung ergeben sich Synergien für den Cloud-Anbieter.

Umgang mit höherwertigen und weiteren Anforderungen in der Prüfung

Bei der Prüfung muss der Cloud-Anbieter entscheiden, ob er neben den Basis-Anforderungen noch höherwertige Anforderungen aus dem Katalog prüfen lassen möchte. Diese Anforderungen werden im Katalog danach unterschieden, ob sie die Vertraulichkeit (markiert mit "C"), die Verfügbarkeit (markiert mit "A") oder beides zugleich (markiert mit "C/A") adressieren. Für den Fall, dass der Cloud-Anbieter alle höherwertigen Anforderungen der Vertraulichkeit erfüllt – also alle Anforderungen, die mit C und C/A markiert sind – kann dies gesondert in der Systembeschreibung des Prüfberichts aufgeführt werden. Für die Verfügbarkeit gilt entsprechendes.

Der Aufbau des Anforderungskatalogs gestattet es, dass auch weitere Anforderungen hinzugefügt werden können. Wenn Aufsichtsbehörden (z. B. Datenschutzbehörden) oder bestimmte Kundengruppen (z. B. dem novellierten BSI-Gesetz unterliegende Branchen aus dem KRITIS-Bereich) eines Cloud-Anbieters gleichartige zusätzliche Anforderungen haben, kann eine kundenspezifische Ergänzung des Katalogs für nachfolgende Prüfungen hilfreich sein.

Details zur Prüfung bei Cloud-Anbietern mit Unterauftragnehmern

Einen wichtigen Punkt stellt die Prüfung von Cloud-Anbietern dar, die Unterauftragnehmer oder Ketten von Unterauftragnehmern einsetzen. Wie bereits oben beschrieben, sind die Anforderungen so formuliert, dass sie auf Ketten von Unterauftragnehmern wirken und daher für den Cloud-Anbieter keine Vorteile für die Testierung durch eine geschickt ausgestaltete Sammlung von Unterauftragnehmern entsteht. Die Einhaltung der Anforderungen bei den Unterauftragnehmern hat der Cloud-Anbieter nachzuhalten. Dies kann beispielsweise dadurch geschehen, dass der Unterauftragnehmer ebenfalls nach dem Anforderungskatalog geprüft ist und er einen entsprechenden Prüfbericht vorlegt. Dennoch muss der Cloud-Anbieter bei seiner Prüfung entscheiden, wie der Prüfer mit den Unterauftragnehmern umgeht. Dazu sieht der Anforderungskatalog zwei Methoden vor, nämlich die Inclusive- und die Carve-out-Methode. Bei der ersten Variante prüft der Prüfer den Unterauftragnehmer mit, im zweiten Fall beschränkt er sich auf den Cloud-Anbieter. Der Cloud-Anbieter ist bei der Wahl der Methode bei jedem seiner Unterauftragnehmer frei. Die getroffene Wahl muss jedoch im Prüfbericht dokumentiert sein.

Keine Vorteile für eine geschickt ausgestaltete Sammlung von Unterauftragnehmern.

Anforderungen an die persönliche Qualifikation der Prüfer

Um die Anforderungen bei Cloud-Anbietern bewerten zu können, müssen Wirtschaftsprüfer besondere Kenntnisse besitzen. Daher ist im Anforderungskatalog aufgeführt, welche Personenzertifikate der Wirtschaftsprüfer, bzw. sein ihm unterstehendes Prüfteam haben müssen. Die Qualifikationen werden im Prüfbericht aufgeführt.

Es wird gefordert, dass mindestens die Hälfte des Prüfteams über mindestens eines der folgenden Personenzertifikate verfügt:

• Information Systems Audit and Control Association (ISACA) – Certified Information Systems Auditor (CISA) oder Certified Information Security Manager (CISM) oder Certified in Risk and Information Systems Control (CRISC),
• ISO/IEC 27001 Lead Auditor oder vom BSI zertifizierter ISO 27001-Auditor für Audits auf der Basis von BSI IT-Grundschutz,
• Cloud Security Alliance (CSA) – Certificate of Cloud Security Knowledge (CCSK) oder
• (ISC)² – Certified Cloud Security Professional (CCSP).

Die Ergebnisse der Prüfung der Angemessenheit und Wirksamkeit der Maßnahmen werden in einem Prüfbericht analog zu SOC 2 dokumentiert. Hierin muss der Prüfer zu jeder Anforderung darlegen, wie er zu seinem Prüfungsurteil bei jeder Anforderung gekommen ist und seine Prüfungstätigkeiten sowie die dazu gesichteten Unterlagen aufführen. SOC-Berichte dienen ursprünglich dazu, dass ein Kunde das Risiko bei einem Unterauftragnehmer bewerten und in sein eigenes Risikomanagement einbinden kann. Kann im gerichtlichen Streitfall um die erbrachte Leistung der Richter das Prüfurteil nicht hinreichend nachvollziehen, steht der Wirtschaftsprüfer in der Haftung – und das auch noch Jahre nach der Prüfung. Dementsprechend ausführlich und nachvollziehbar muss ein solcher Bericht geschrieben sein. Gleichzeitig ist dieser Bericht dazu geeignet, auch Kunden des geprüften Unternehmens vorgelegt zu werden, ohne berechtigte Interessen der Vertraulichkeit des Unternehmens zu gefährden. Die erste Seite dieses Berichts ist das Testat des Wirtschaftsprüfers, in dem er die Prüfungsergebnisse zu einem Gesamturteil kondensiert. Ein solches Testat wird von den geprüften Unternehmen häufig veröffentlicht, der Prüfbericht wird hingegen nur potentiellen Kunden vorgelegt.

Verbleibende Verantwortung für den potentiellen Kunden eines testierten Cloud-Anbieters

Der Kunde darf sich nicht alleine auf ein vorhandenes Testat (S.1 des Prüfberichts) nach dem Anforderungskatalog verlassen, sondern immer auch den Prüfbericht lesen und bewerten. Zusätzlich sollte ein Kunde sich die Einhaltung der Anforderungen aus dem Katalog vertraglich zusichern lassen und den Cloud-Anbieter dazu verpflichten, regelmäßig eine solche Prüfung durchführen zu lassen. Der Kunde sollte sich diese Berichte regelmäßig vorlegen lassen. Wichtig ist hierbei für den Kunden der Aspekt der vom Cloud-Anbieter eingesetzten Unterauftragnehmer. Der Cloud-Kunde sollte den Cloud-Anbieter klar vertraglich dazu verpflichten, dass Unterauftragnehmer auf die Anforderungen des Kataloges verpflichtet werden. Zwar muss der Cloud-Kunde selbst entscheiden, ob er weitergehende Anforderungen stellt oder zusätzliche Nachweise (z. B. Zertifizierungen) benötigt, doch aus Sicht des BSI sollten die im Anforderungskatalog dargelegten Anforderungen und die hier skizzierten Nachweise keinesfalls unterschritten werden.

Der Anforderungskatalog ist international leicht adaptierbar

Das Vorgehen des BSI mit einem eigenen Anforderungskatalog bei gleichzeitiger Nutzung eines international anerkannten Prüfregime skaliert auch auf internationaler Ebene. In jedem Land gibt es Wirtschaftsprüfer, die eine entsprechende Testierung nach der offiziellen englischen Version (erscheint im Mai 2016) des Anforderungskataloges vornehmen können. Die im Katalog geforderten Qualifikationen des Prüfteams sind ebenfalls international anerkannt.

Einer der Gründe für den Erfolg von Cloud Computing – auch im Vergleich zur klassischen IT-Auslagerung – ist die tief greifende Standardisierung der angebotenen Dienste. Auch die internen Prozesse gut aufgestellter Cloud-Anbieter zur Erbringung dieser Dienste sind hoch standardisiert. Dies ermöglicht eine weitgehend einheitliche Prüfung der Sicherheitsmaßnahmen. Mit dem Anforderungskatalog Cloud Computing hat das BSI die Basis-Anforderungen an sichere Cloud-Dienste formuliert, die weitestgehend dem aktuellen informellen Konsens unter Cloud-Sicherheitsexperten entsprechen. Neu sind die Anforderungen an die Transparenz des Umfeldes in dem der Cloud-Dienst erbracht wird, dessen Informationen dafür gemacht sind, nötiges Vertrauen aufzubauen. Das BSI hat sich entschieden, den Anforderungskatalog für Prüfungen durch die weitgehend – wenn auch nicht vollständig – unabhängige Berufsgruppe der Wirtschaftsprüfer auszulegen, damit Synergieeffekte mit anderen Prüfungen ermöglicht werden (z. B. der Jahresabschlussprüfung). Einerseits kann so der Aufwand zum Nachweis der Anforderungen minimiert werden. Andererseits kann dieser Nachweis relativ einfach mit anderen Prüfungen – etwa zum Datenschutz oder für andere Zertifikate – kombiniert werden. Die Konstruktion der Anforderungen sorgt dafür, dass diese auch auf Ketten von Unterauftragnehmern wirken und so für ein gleichmäßiges Sicherheitsniveau sorgen. Durch die Nutzung des international anerkannten ISAE-Regimes ist eine internationale Adaptierung des Kataloges sehr leicht möglich. Mit dem Anforderungskatalog Cloud Computing definiert das BSI ein Sicherheitsniveau, das beim Einsatz von Cloud-Diensten nie unterschritten werden sollte.