Über unsMediaKontaktImpressum
Dr. Clemens Doubrava & Dr. Patrick Grete 03. Mai 2016

Sicherheit bei Cloud-Anbietern: Neuer Anforderungskatalog des BSI

Die Snowden-Enthüllungen haben das große Maß an Überwachung durch staatliche und nichtstaatliche Akteure im Internet offen gelegt, genau in einer Zeit, in der Cloud Computing die IT-Landschaft nachhaltig verändert. Einige Umfragen zeigen auch durchaus große Bedenken, Cloud Computing zu nutzen, was aber die Nachfragen nach Cloud-Diensten nicht nachhaltig dämpft. Für die Cloud-Kunden ist es schwierig, die Vorteile der Cloud-Nutzung gegen das Risiko durch Überwachung und Spionage abzuwägen. Trotzdem sind die Cloud-Anbieter gefordert, die Sicherheit ihrer Angebote zu erhöhen, da auch Hacks und Datendiebstahl zunehmen und Clouds durch die große Ansammlung von Kunden immer attraktivere Ziele für Angreifer darstellen.

Das Sicherheitsniveau eines Cloud-Dienstes zu bestimmen, kann für Cloud-Kunden, im Gegensatz zur oft einfachen Nutzung von Cloud-Diensten, schwierig sein. Transparenz über mögliche Offenbarungspflichten gegenüber ausländischen Sicherheitsbehörden ist oft gar nicht erreichbar. Inwieweit der Cloud-Kunde hier der Wirtschaftsspionage ausgesetzt sein kann, ist fast unmöglich zu bestimmen. Hier fehlt es vielen Cloud-Anbietern am Willen zur Transparenz.

Anders stellt sich der Bereich der Cloud-Sicherheit dar. Durch viele Arbeiten ist feststellbar, dass ein informeller Konsens darüber besteht, welches Sicherheitsniveau ein Cloud-Dienst im professionellen Umfeld mindestens erreichen sollte. Sichtbar wird dies auch durch die steigende Anzahl von Zertifizierungen und Testierungen mit je eigenen Schwerpunkten. Diese Vielzahl kann die Cloud-Kunden überfordern, aus diesen Zertifikaten und Testaten genaue Sicherheitsaussagen abzuleiten. So kommt es, dass Vertrauen innerhalb des Cloud-Marktes nicht in hinreichendem Maße entstehen kann.

Dies soll der Anforderungskatalog zum Cloud Computing des BSI ändern. Er dient dazu, Transparenz zu schaffen, sowie das Mindestmaß an Sicherheit von Cloud-Diensten zu beschreiben und beides über ein international etabliertes Testierungsverfahren nachzuweisen.

Der Anforderungskatalog: Die Sicherheitsanforderungen

Das leitende Prinzip bei der Erstellung war, Anforderungen aus bekannten Rahmenwerken zu übernehmen und ggf. zu schärfen und mit neuen Anforderungen anzureichern. Die benutzten Rahmenwerke sind:

  • ISO/IEC 27001:2013,
  • Cloud Security Alliance (CSA) Cloud Control Matrix v 3.01,
  • BSI IT-Grundschutz-Kataloge (14. Ergänzungslieferung),
  • BSI SaaS Sicherheitsprofile,
  • ANSSI (Agence nationale de la sécurité des systèmes d'information) Référentiel Sécure Cloud v2.0 (unveröffentlichte Vorabversion),
  • AICPA (American Institute of Certified Public Accountants) Trust Services Principles Criteria 2014 (TSP) und
  • der Entwurf einer Stellungnahme zur Rechnungslegung: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" des Instituts der Wirtschaftsprüfer (IDW FAIT 5).

Der Anforderungskatalog gliedert sich in insgesamt 17 Kategorien und enthält insgesamt 114 Anforderungen. Eine solche Anforderung besteht immer aus einer Basisanforderung, die z. T. noch durch höherwertige Anforderungen für die Schutzziele Vertraulichkeit und Verfügbarkeit ergänzt sind. Die Summe der Basisanforderungen stellt aus Sicht des BSI den oben genannten informellen Konsens zur Sicherheit von Cloud-Diensten dar. Das BSI hat darauf verzichtet, konkrete Maßnahmen zu fordern, sondern überlässt es den Cloud-Anbietern, wie sie die Anforderungen umzusetzen. Viele von ihnen haben schon entsprechende Maßnahmen etabliert, sodass – je nach erreichtem Sicherheitsniveau – viele Anforderungen des Katalogs bereits erfüllt werden. Über die höherwertigen Anforderungen können die Cloud-Anbieter ihr höheres Sicherheitsniveau sichtbar machen, bzw. Cloud-Kunden können ihre spezifischen Anforderungen leicht gegenüber dem Cloud-Anbieter verdeutlichen.

Vertrauen durch Transparenz

Ein Novum im Vergleich zu anderen Sicherheitsstandards sind die sogenannten Umfeldparameter. In ihnen legt der Cloud-Anbieter wichtige Informationen dar: Systembeschreibung, Lokation der Daten und Dienste, Gerichtsstandort, Zertifizierungen sowie Ermittlungsbefugnisse und Offenbarungspflichten gegenüber staatlichen Stellen. Diese Angaben helfen potenziellen Cloud-Kunden, zu entscheiden, ob gesetzliche Vorschriften (wie z. B. Datenschutz), die eigenen Richtlinien oder auch die Gefährdungslage bezüglich Wirtschaftsspionage die Nutzung des jeweiligen Cloud-Dienstes als geeignet erscheinen lassen. Der Anforderungskatalog stellt bei den Umfeldparametern keine konkreten Forderungen auf – beispielsweise Gerichtsstandort nur in Deutschland – sondern verlangt vom Cloud-Anbieter die entsprechende Auskunft, die im Rahmen einer Prüfung bestätigt wird. Es liegt also am Cloud-Kunden, diese Erkenntnisse im Licht seiner eigenen Anforderungen zu bewerten.

Die Herausforderung mit Unterauftragnehmern

Eine weitere Herausforderung stellen Unterauftragnehmer des Cloud-Anbieters dar. Cloud-Anbieter konzentrieren sich auf ihr Kerngeschäft – beispielsweise eine Anwendung (SaaS) – und lagern unterschiedlichste Funktionen wie z. B. Virenschutz, Disaster Recovery, Rechenzentrumskapazitäten oder telefonischen Support aus. Um die Anforderungen des Kataloges zu erfüllen, muss der Cloud-Anbieter alle Anforderungen auch an seine Unterauftragnehmer weitergeben und sie vertraglich darauf verpflichten. Diese wiederum verfahren genauso mit ihren Unterauftragnehmern. So wird vermieden, dass Sicherheitsanforderungen an Unterauftragnehmer durchgereicht werden, die selbst nur geringeren Anforderungen als der Cloud-Anbieter unterliegen. Dem Cloud-Anbieter obliegt es, durch die vertragliche Verpflichtung des Unterauftragnehmers, die Einhaltung der Anforderungen zu überwachen. Dazu kann er sich – wie seine eigenen Kunden – vom Unterauftragnehmer einen Prüfbericht nach diesem Anforderungskatalog vorlegen lassen. Der Prüfer des Cloud-Anbieters prüft dann, ob dieser sich nachweisbar diese Berichte hat vorlegen und bewerten lassen. Details zu diesem Thema sind im folgenden Kapitel enthalten.

Dem Cloud-Kunden muss der Cloud-Anbieter beim Umfeldparameter Systembeschreibung zeigen, welche Unterauftragnehmer zur Erbringung des Cloud-Dienstes beitragen. So erhält der Kunde die notwendige Transparenz.

Prüfer und Prüfung

Der Nachweis, dass der Cloud-Anbieter die Anforderungen des Katalogs erfüllt, muss nach Ansicht des BSI durch unabhängige Dritte geführt werden. Eine reine Selbstauskunft reicht hier nicht aus, da sie nicht die für den Kunden notwendige vertrauenswürdige Transparenz schafft.

Wirtschaftsprüfer und das ISAE-Regime

Das BSI hat sich bewusst für eine Testierung und damit zunächst gegen eine eigene Zertifizierung entschieden, weil eine Testierung an bereits in diesem Kontext etablierte Verfahren anknüpfen kann. Die Wahl des BSI fiel auf eine Prüfung analog zum international anerkannten Testierungsregime ISAE 3000 (International Standard on Assurance Engagements (ISAE) 3000 Revised, Assurance Engagements Other than Audits or Reviews of Historical Financial Information) in Verbindung mit ISAE 3402 (Assurance Reports on Controls at a Service Organization) und die Anforderungen wurden so formuliert, dass ein Bericht analog zu SOC 2 erstellt werden kann. Da diese Prüf- und Berichtsverfahren häufig unbekannt sind, folgen hier einige Erläuterungen.

ISAE 3000 und SOC 2 werden von Wirtschaftsprüfern verwendet. ISAE 3000 prüft ein internes Kontrollsystem; SOC 2 ist eine aus den USA stammende Berichtsform einer solchen Prüfung. Es gibt sie in zwei verschiedenen Ausprägungen. In der ersten Variante wird nur geprüft, ob das Kontrollsystem des Cloud-Anbieters so ausgestaltet ist, dass die Anforderungen den Zielen angemessen sind. In der zweiten – in der Regel darauf aufbauenden – Variante wird geprüft, ob die Maßnahmen über einen gewissen Zeitraum (i. d. R. ein Jahr) auch wirksam waren. Je nach Anforderung unterscheiden sich die beiden Varianten in der Prüfung im Aufwand. Die Prüfung der Wirksamkeit einer Anweisung zur Schulung von Mitarbeitern kann beispielsweise einfach durch die Sichtung von Schulungszeugnissen erfolgen. Die Wirksamkeit des Incident-Managements ist dagegen schwieriger nachzuweisen. Dies geschieht insbesondere durch die Prüfung einer beträchtlichen Anzahl von Incident-Tickets auf vorgabengemäße Bearbeitung. Im Anforderungskatalog wird festgelegt, dass grundsätzlich eine Prüfung nach Typ 2 (Angemessenheit und Wirksamkeit) durchzuführen ist. Eine Prüfung nach Typ 1 kann ausnahmsweise als Vorstufe gemacht werden, beispielsweise wenn der Cloud-Dienst, bzw. sein Kontrollsystem noch nicht so lange existiert. Danach sollen aber Prüfungen nach Typ 2 ausnahmslos die Regel sein und die Prüfungen sollen jährlich wiederholt werden.

"Audit Once – Certify Many" – Synergien bei Prüfungen

Die für die Jahresabschlussprüfung zuständigen Wirtschaftsprüfer eines Cloud-Anbieters kennen diesen in der Regel sehr gut. Diese gesetzlich vorgeschriebene Prüfung kann einfach mit der Prüfung nach dem Anforderungskatalog kombiniert werden. Es gibt hier bereits eine Überlappung der Anforderungen, da die IT sowie die zugehörigen Prozesse in der Praxis einen immer größeren Teil der Jahresabschlussprüfung ausmachen. Der Cloud-Anbieter muss also nur die Zeit für die Prüfungen verlängern, aber nicht komplett neue Prüfprozesse in seinen Terminplan einbauen. Ist das Prüfteam mit weiteren Auditoren angereichert, können weitere Zertifizierungen oder Testierungen (z. B. nach ISO/IEC 27001 oder 22301) mit erlangt werden. Der Anforderungskatalog hat, wie bereits oben erwähnt, eine große Schnittmenge mit diesen Standards, sodass im Audit viele Anforderungen nur einmal vom Prüfteam zu überprüfen sind. Eine Anforderung muss also im Idealfall nur einmal geprüft werden und das Ergebnis kann für verschiedene Audit-Berichte verwendet werden. Dies reduziert den Aufwand und bei geschickter Planung einer gleichzeitigen Prüfungsdurchführung ergeben sich Synergien für den Cloud-Anbieter.

Umgang mit höherwertigen und weiteren Anforderungen in der Prüfung

Bei der Prüfung muss der Cloud-Anbieter entscheiden, ob er neben den Basis-Anforderungen noch höherwertige Anforderungen aus dem Katalog prüfen lassen möchte. Diese Anforderungen werden im Katalog danach unterschieden, ob sie die Vertraulichkeit (markiert mit "C"), die Verfügbarkeit (markiert mit "A") oder beides zugleich (markiert mit "C/A") adressieren. Für den Fall, dass der Cloud-Anbieter alle höherwertigen Anforderungen der Vertraulichkeit erfüllt – also alle Anforderungen, die mit C und C/A markiert sind – kann dies gesondert in der Systembeschreibung des Prüfberichts aufgeführt werden. Für die Verfügbarkeit gilt entsprechendes.

Der Aufbau des Anforderungskatalogs gestattet es, dass auch weitere Anforderungen hinzugefügt werden können. Wenn Aufsichtsbehörden (z. B. Datenschutzbehörden) oder bestimmte Kundengruppen (z. B. dem novellierten BSI-Gesetz unterliegende Branchen aus dem KRITIS-Bereich) eines Cloud-Anbieters gleichartige zusätzliche Anforderungen haben, kann eine kundenspezifische Ergänzung des Katalogs für nachfolgende Prüfungen hilfreich sein.

Details zur Prüfung bei Cloud-Anbietern mit Unterauftragnehmern

Einen wichtigen Punkt stellt die Prüfung von Cloud-Anbietern dar, die Unterauftragnehmer oder Ketten von Unterauftragnehmern einsetzen. Wie bereits oben beschrieben, sind die Anforderungen so formuliert, dass sie auf Ketten von Unterauftragnehmern wirken und daher für den Cloud-Anbieter keine Vorteile für die Testierung durch eine geschickt ausgestaltete Sammlung von Unterauftragnehmern entsteht. Die Einhaltung der Anforderungen bei den Unterauftragnehmern hat der Cloud-Anbieter nachzuhalten. Dies kann beispielsweise dadurch geschehen, dass der Unterauftragnehmer ebenfalls nach dem Anforderungskatalog geprüft ist und er einen entsprechenden Prüfbericht vorlegt. Dennoch muss der Cloud-Anbieter bei seiner Prüfung entscheiden, wie der Prüfer mit den Unterauftragnehmern umgeht. Dazu sieht der Anforderungskatalog zwei Methoden vor, nämlich die Inclusive- und die Carve-out-Methode. Bei der ersten Variante prüft der Prüfer den Unterauftragnehmer mit, im zweiten Fall beschränkt er sich auf den Cloud-Anbieter. Der Cloud-Anbieter ist bei der Wahl der Methode bei jedem seiner Unterauftragnehmer frei. Die getroffene Wahl muss jedoch im Prüfbericht dokumentiert sein.

Keine Vorteile für eine geschickt ausgestaltete Sammlung von Unterauftragnehmern.

Anforderungen an die persönliche Qualifikation der Prüfer

Um die Anforderungen bei Cloud-Anbietern bewerten zu können, müssen Wirtschaftsprüfer besondere Kenntnisse besitzen. Daher ist im Anforderungskatalog aufgeführt, welche Personenzertifikate der Wirtschaftsprüfer, bzw. sein ihm unterstehendes Prüfteam haben müssen. Die Qualifikationen werden im Prüfbericht aufgeführt.

Es wird gefordert, dass mindestens die Hälfte des Prüfteams über mindestens eines der folgenden Personenzertifikate verfügt:

  • Information Systems Audit and Control Association (ISACA) – Certified Information Systems Auditor (CISA) oder Certified Information Security Manager (CISM) oder Certified in Risk and Information Systems Control (CRISC),
  • ISO/IEC 27001 Lead Auditor oder vom BSI zertifizierter ISO 27001-Auditor für Audits auf der Basis von BSI IT-Grundschutz,
  • Cloud Security Alliance (CSA) – Certificate of Cloud Security Knowledge (CCSK) oder
  • (ISC)2 – Certified Cloud Security Professional (CCSP).

Der Prüfbericht, das Testat und was Cloud-Kunden damit anfangen können

Die Ergebnisse der Prüfung der Angemessenheit und Wirksamkeit der Maßnahmen werden in einem Prüfbericht analog zu SOC 2 dokumentiert. Hierin muss der Prüfer zu jeder Anforderung darlegen, wie er zu seinem Prüfungsurteil bei jeder Anforderung gekommen ist und seine Prüfungstätigkeiten sowie die dazu gesichteten Unterlagen aufführen. SOC-Berichte dienen ursprünglich dazu, dass ein Kunde das Risiko bei einem Unterauftragnehmer bewerten und in sein eigenes Risikomanagement einbinden kann. Kann im gerichtlichen Streitfall um die erbrachte Leistung der Richter das Prüfurteil nicht hinreichend nachvollziehen, steht der Wirtschaftsprüfer in der Haftung – und das auch noch Jahre nach der Prüfung. Dementsprechend ausführlich und nachvollziehbar muss ein solcher Bericht geschrieben sein. Gleichzeitig ist dieser Bericht dazu geeignet, auch Kunden des geprüften Unternehmens vorgelegt zu werden, ohne berechtigte Interessen der Vertraulichkeit des Unternehmens zu gefährden. Die erste Seite dieses Berichts ist das Testat des Wirtschaftsprüfers, in dem er die Prüfungsergebnisse zu einem Gesamturteil kondensiert. Ein solches Testat wird von den geprüften Unternehmen häufig veröffentlicht, der Prüfbericht wird hingegen nur potentiellen Kunden vorgelegt.

Verbleibende Verantwortung für den potentiellen Kunden eines testierten Cloud-Anbieters

Der Kunde darf sich nicht alleine auf ein vorhandenes Testat (S.1 des Prüfberichts) nach dem Anforderungskatalog verlassen, sondern immer auch den Prüfbericht lesen und bewerten. Zusätzlich sollte ein Kunde sich die Einhaltung der Anforderungen aus dem Katalog vertraglich zusichern lassen und den Cloud-Anbieter dazu verpflichten, regelmäßig eine solche Prüfung durchführen zu lassen. Der Kunde sollte sich diese Berichte regelmäßig vorlegen lassen. Wichtig ist hierbei für den Kunden der Aspekt der vom Cloud-Anbieter eingesetzten Unterauftragnehmer. Der Cloud-Kunde sollte den Cloud-Anbieter klar vertraglich dazu verpflichten, dass Unterauftragnehmer auf die Anforderungen des Kataloges verpflichtet werden. Zwar muss der Cloud-Kunde selbst entscheiden, ob er weitergehende Anforderungen stellt oder zusätzliche Nachweise (z. B. Zertifizierungen) benötigt, doch aus Sicht des BSI sollten die im Anforderungskatalog dargelegten Anforderungen und die hier skizzierten Nachweise keinesfalls unterschritten werden.

Der Anforderungskatalog ist international leicht adaptierbar

Das Vorgehen des BSI mit einem eigenen Anforderungskatalog bei gleichzeitiger Nutzung eines international anerkannten Prüfregime skaliert auch auf internationaler Ebene. In jedem Land gibt es Wirtschaftsprüfer, die eine entsprechende Testierung nach der offiziellen englischen Version (erscheint im Mai 2016) des Anforderungskataloges vornehmen können. Die im Katalog geforderten Qualifikationen des Prüfteams sind ebenfalls international anerkannt.

Fazit

Einer der Gründe für den Erfolg von Cloud Computing – auch im Vergleich zur klassischen IT-Auslagerung – ist die tief greifende Standardisierung der angebotenen Dienste. Auch die internen Prozesse gut aufgestellter Cloud-Anbieter zur Erbringung dieser Dienste sind hoch standardisiert. Dies ermöglicht eine weitgehend einheitliche Prüfung der Sicherheitsmaßnahmen. Mit dem Anforderungskatalog Cloud Computing hat das BSI die Basis-Anforderungen an sichere Cloud-Dienste formuliert, die weitestgehend dem aktuellen informellen Konsens unter Cloud-Sicherheitsexperten entsprechen. Neu sind die Anforderungen an die Transparenz des Umfeldes in dem der Cloud-Dienst erbracht wird, dessen Informationen dafür gemacht sind, nötiges Vertrauen aufzubauen. Das BSI hat sich entschieden, den Anforderungskatalog für Prüfungen durch die weitgehend – wenn auch nicht vollständig – unabhängige Berufsgruppe der Wirtschaftsprüfer auszulegen, damit Synergieeffekte mit anderen Prüfungen ermöglicht werden (z. B. der Jahresabschlussprüfung). Einerseits kann so der Aufwand zum Nachweis der Anforderungen minimiert werden. Andererseits kann dieser Nachweis relativ einfach mit anderen Prüfungen – etwa zum Datenschutz oder für andere Zertifikate – kombiniert werden. Die Konstruktion der Anforderungen sorgt dafür, dass diese auch auf Ketten von Unterauftragnehmern wirken und so für ein gleichmäßiges Sicherheitsniveau sorgen. Durch die Nutzung des international anerkannten ISAE-Regimes ist eine internationale Adaptierung des Kataloges sehr leicht möglich. Mit dem Anforderungskatalog Cloud Computing definiert das BSI ein Sicherheitsniveau, das beim Einsatz von Cloud-Diensten nie unterschritten werden sollte.

Zum Anforderungskatalog des BSI:

Bundesamt für Sicherheit in der Informationstechnik: Anforderungskatalog Cloud Computing

Autoren

Dr. Patrick Grete

Dr. Patrick Grete ist als Referent im Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt und dort im Bereich IT-Grundschutz, Business Continuity, Mobile Security und Secure Cloud Computing tätig.
>> Weiterlesen

Dr. Clemens Doubrava

Dr. Clemens Doubrava ist als Referent im Bundesamt für Sicherheit in der Informationstechnik (BSI) in den Bereichen IT-Grundschutz und Secure Cloud Computing tätig.
>> Weiterlesen
botMessage_toctoc_comments_9210