RiLi-Cloudnutzung: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:
|title=Richtlinie zur Nutzung von Cloud-Diensten
|title=Richtlinie zur Nutzung von Cloud-Diensten
|keywords=Muster,Beispiel,Vorlage,Cloud,Richtlinie
|keywords=Muster,Beispiel,Vorlage,Cloud,Richtlinie
|description=Ziel dieser Richtlinie ist es die Cloud-Dienste sicher und rechtskonform zu nutzen.
|description=Diese Richtlinie beschreibt Vorgaben zur sicheren und rechtskonformen Nutzung von Cloud-Services. Sie umfasst Anforderungen an die Auswahl von Anbietern, Datenverschlüsselung, Zugriffskontrollen, Schutz vor Fremdzugriffen und sichere Datenlöschung.
}}
}}{{SHORTDESC:Mustervorlage für eine Richtlinie zur Nutzung von Cloud-Diensten.}}
Mustervorlage: '''"Richtlinie zur Nutzung von Cloud-Diensten"'''
''Diese Richtlinie beschreibt Vorgaben zur sicheren und rechtskonformen Nutzung von Cloud-Services. Sie umfasst Anforderungen an die Auswahl von Anbietern, Datenverschlüsselung, Zugriffskontrollen, Schutz vor Fremdzugriffen und sichere Datenlöschung.''


== Einleitung ==
== Einleitung ==
Cloud-Nutzung bedeutet, Computerressourcen wie Speicherplatz, Rechenleistung und Anwendungen über das Internet von einem Cloud-Anbieter zu beziehen und zu nutzen, anstatt sie lokal auf einem physischen Gerät zu speichern oder auszuführen. Die Cloud ermöglicht es, auf eine Vielzahl von Diensten zuzugreifen und diese je nach Bedarf zu skalieren, ohne dass man sich um die zugrunde liegende Infrastruktur kümmern muss. Typische Beispiele für Cloud-Dienste sind Speicher- und Backup-Lösungen, E-Mail-Dienste, Anwendungen wie Office-Suiten, Datenbanken und virtuelle Maschinen.
Cloud-Nutzung bedeutet, IT-Ressourcen wie Speicherplatz, Rechenleistung und Anwendungen über das Internet von einem Cloud-Anbieter zu beziehen und zu nutzen, anstatt sie lokal auf einem physischen Gerät zu speichern oder auszuführen. Die Cloud ermöglicht es, auf eine Vielzahl von Diensten zuzugreifen und diese je nach Bedarf zu skalieren, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen. Typische Beispiele für Cloud-Dienste sind Speicher- und Backup-Lösungen, E-Mail-Dienste, Anwendungen wie Office-Suiten, Datenbanken und virtuelle Maschinen.


== Geltungsbereich ==
==Geltungsbereich==
Diese Richtlinie gilt für alle Bereiche der Organisation, die Cloud-Dienste nutzen oder nutzen wollen.  
Diese Richtlinie gilt für alle Bereiche der Organisation, die Cloud-Dienste nutzen oder nutzen wollen.  


== Zielsetzung ==
==Zielsetzung ==
Ziel dieser Richtlinie ist es die Cloud-Dienste sicher und rechtskonform zu nutzen, insbesondere gilt es:
Ziel dieser Richtlinie ist die sichere und rechtskonforme Nutzung von Cloud-Diensten, insbesondere um


* Zu gewährleisten, dass die in der Cloud gespeicherten Daten korrekt und unverändert bleiben und nicht versehentlich oder absichtlich manipuliert werden.
*Sicherstellen, dass die in der Cloud gespeicherten Daten korrekt und unverändert bleiben und nicht versehentlich oder absichtlich manipuliert werden.
* Sicherzustellen, dass sensible Daten nur von autorisierten Personen oder Systemen eingesehen und genutzt werden können.
*Sicherstellen, dass sensible Daten nur von autorisierten Personen oder Systemen eingesehen und verwendet werden können.
* Zu Gewährleisten, dass die Cloud-Dienste immer verfügbar sind und keine Ausfallzeiten oder Unterbrechungen auftreten, die zu Datenverlust oder Geschäftsunterbrechungen führen.
*Sicherstellen, dass Cloud-Dienste immer verfügbar sind und keine Ausfallzeiten oder Unterbrechungen auftreten, die zu Datenverlusten oder Geschäftsunterbrechungen führen.
* Sicherzustellen, dass der Zugriff auf Cloud-Dienste und Daten auf eine angemessene Weise kontrolliert wird, indem geeignete Authentifizierungs- und Autorisierungsmethoden sowie ein Logging verwendet werden.
*Sicherstellen, dass der Zugriff auf Cloud-Dienste und Daten angemessen kontrolliert wird, indem geeignete Authentifizierungs- und Autorisierungsmethoden sowie Protokollierungsverfahren verwendet werden.
* Die Einhaltung von Sicherheitsstandards und Vorschriften wie z.B. Datenschutzgesetzen oder branchenspezifischen Bestimmungen, um Sicherheits- und Datenschutzrisiken zu minimieren und die Einhaltung von Compliance-Anforderungen sicherzustellen.
*Einhaltung von Sicherheitsstandards und Vorschriften wie Datenschutzgesetzen oder branchenspezifischen Bestimmungen, um Sicherheits- und Datenschutzrisiken zu minimieren und die Einhaltung von Compliance-Anforderungen zu gewährleisten.


== Gesetzliche Rahmenbedingungen ==
==Gesetzliche Rahmenbedingungen==
Rechtliche Grundlage für die Nutzung von Cloud-Diensten sind u.a.
Rechtliche Grundlage für die Nutzung von Cloud-Diensten sind u.a.  


* Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 der Datenschutzgrundverordnung (DSGVO).
*Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 der Datenschutzgrundverordnung (DSGVO).
* Anforderungen des Bundesdatenschutzgesetzes (BDSG).
*Anforderungen des Bundesdatenschutzgesetzes (BDSG).
* ''ggf. weitere organisationsspezifische Rechtsgrundlagen.''Allgemeines zur Cloud Nutzung
*''ggf. weitere organisationsspezifische Rechtsgrundlagen.''
''Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel [[Rechtsgrundlagen]] aufgelistet.''


== Allgemeine Anforderungen zur Cloud-Nutzung ==
==Allgemeine Anforderungen zur Cloud-Nutzung==
Mit der Nutzung von Cloud-Diensten begibt sich die Organisation bei der Speicherung und Verarbeitung ihrer Daten in (meist langfristige) Abhängigkeit von externen Dienstleistern.
Mit der Nutzung von Cloud-Diensten begibt sich die Organisation bei der Speicherung und Verarbeitung ihrer Daten in eine (meist langfristige) Abhängigkeit von externen Dienstleistern.


Folgende allgemeine Anforderungen sind bei der Planung jeder Cloud-Nutzung zu berücksichtigen:
Die folgenden allgemeinen Anforderungen sind bei der Planung jeder Cloud-Nutzung zu berücksichtigen:


* Cloud-Dienste dürfen nur im nötigen Umfang dort genutzt werden, wo es Aufgrund von erforderlichen Ressourcen oder Skalierbarkeitsanforderungen unwirtschaftlich wäre, diese selbst zu betrieben.
* Cloud-Dienste dürfen nur im notwendigen Umfang dort eingesetzt werden, wo ein Eigenbetrieb aufgrund der benötigten Ressourcen oder Skalierbarkeitsanforderungen unwirtschaftlich wäre.
* Alle relevanten Compliance-Anforderungen sind auf die Zulässigkeit einer Cloud-Nutzung zu prüfen.
* Alle relevanten Compliance-Anforderungen sind im Hinblick auf die Zulässigkeit der Cloud-Nutzung zu prüfen.
* Die Cloud-Nutzung muss gut geplant und vorbereitet werden. Die Anforderungen an Cloud-Dienstleister und zu nutzende Cloud-Dienste sind im Vorfeld sorgfältig anhand des Schutzbedarfs, der Geschäftsprozesse und Anwendungen zu erheben und zu dokumentieren.
* Die Cloud-Nutzung muss gut geplant und vorbereitet werden. Die Anforderungen an die Cloud-Anbieter und die zu nutzenden Cloud-Dienste sind im Vorfeld anhand des Schutzbedarfs, der Geschäftsprozesse und der Anwendungen sorgfältig zu erheben und zu dokumentieren.
* Alle Daten, die in eine Cloud ausgelagert werden sollen, müssen klassifiziert werden, um zu bestimmen, welche Daten sensible Informationen enthalten und welche weniger sensibel sind. Dadurch können unterschiedliche Sicherheitsmaßnahmen je nach Sensibilität der Daten eingerichtet werden.
* Alle Daten, die in eine Cloud ausgelagert werden sollen, müssen klassifiziert werden, um festzustellen, welche Daten sensible Informationen enthalten und welche weniger sensibel sind. So können je nach Sensibilität der Daten unterschiedliche Sicherheitsmaßnahmen getroffen werden.
* Für interne Informationen dürfen keine öffentlichen, gemeinsam genutzten Cloud-Dienste (Sharing Portale) verwendet werden.
* Für interne Informationen dürfen keine öffentlichen, gemeinsam genutzten Cloud-Dienste (Sharing-Portale) verwendet werden.
* Es sollten regelmäßige Sicherheitsüberprüfungen durchgeführt werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen immer auf dem neuesten Stand sind.
* Es sollten regelmäßige Sicherheitsüberprüfungen durchgeführt werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen immer auf dem neuesten Stand sind.


== Auswahl von Cloud-Dienstleistern ==
==Auswahl von Cloud-Dienstleistern==
Bei der Auswahl eines Cloud-Dienstleisters müssen verschiedene Faktoren berücksichtigt werden, dazu muss vor der Auswahl ein Anforderungskatalog erstellt werden. Der Anforderungskatalog muss mindestens folgende Sicherheitsanforderungen berücksichtigen:
Bei der Auswahl eines Cloud-Anbieters sind verschiedene Faktoren zu berücksichtigen, für die vor der Auswahl ein Anforderungskatalog erstellt werden muss. Der Anforderungskatalog sollte mindestens die folgenden Sicherheitsanforderungen berücksichtigen:
* Es dürfen nur Cloud-Anbieter ausgewählt werden, deren Standort sich im Geltungsbereich der DSGVO (Deutschland und EU) befindet (Dies gilt für den Anbieter, das genutzte Rechenzentrum sowie auch für den Standort der Administratoren des Anbieters).
 
* Der Cloud-Anbieter muss die Einhaltung einschlägiger Sicherheitsstandards nachweisen (Zertifizierung nach ISO 27001, BSI IT-Grundschutz, C5 oder vergleichbare).
* Es dürfen nur Cloud-Anbieter ausgewählt werden, die ihren Standort im Geltungsbereich der DSGVO (Deutschland und EU) haben (dies gilt für den '''Anbieter''', das genutzte '''Rechenzentrum''' sowie den '''Standort der Administratoren''' des Anbieters).
* Der Cloud-Anbieter muss die Einhaltung einschlägiger Sicherheitsstandards nachweisen (Zertifizierung nach ISO 27001, BSI IT-Grundschutz, C5 oder vergleichbar).
* Die Datenübertragung zum Cloud-Anbieter erfolgt ausschließlich verschlüsselt nach dem Stand der Technik.
* Die Datenübertragung zum Cloud-Anbieter erfolgt ausschließlich verschlüsselt nach dem Stand der Technik.
* Mindestens Administrative Zugänge können über eine Zwei-Faktor-Authentisierung abgesichert werden.
* Zumindest administrative Zugänge müssen durch eine Zwei-Faktor-Authentifizierung abgesichert werden.
*Die Verfügbarkeit des Cloud-Dienstleisters muss mindestens der Verfügbarkeitsanforderung der Geschäftsprozesse entsprechen, für die ein Cloud-Dienste genutzt werden soll.
* Die Verfügbarkeit des Cloud-Anbieters muss mindestens den Verfügbarkeitsanforderungen der Geschäftsprozesse entsprechen, für die der Cloud-Dienst genutzt werden soll.
*Der Cloud-Anbieter muss einen angemessenen Kundensupport bieten und insbesondere bei Sicherheitsvorfällen angemessen informieren und reagieren können.
* Der Cloud-Anbieter muss einen angemessenen Kundensupport anbieten und insbesondere bei Sicherheitsvorfällen angemessen informieren und reagieren können.
*Die Benutzeroberfläche sollte einfach und intuitiv sein, um eine einfache Handhabung der Cloud-Dienste zu ermöglichen. Es sollten Anleitungen für Benutzer und Administratoren vorhanden sein oder entsprechende qualifizierte Schulungen angeboten werden können.
* Die Benutzeroberfläche sollte einfach und intuitiv gestaltet sein, um eine leichte Handhabung der Cloud-Dienste zu ermöglichen. Anleitungen für Nutzer und Administratoren sollten vorhanden sein oder entsprechende qualifizierte Schulungen angeboten werden können.
*Der Cloud-Anbieter muss die sichere Löschung aller Daten bei Beendigung des Vertragsverhältnisses garantieren.
* Der Cloud-Anbieter muss die sichere Löschung aller Daten nach Beendigung des Vertragsverhältnisses garantieren.
*Die Kosten für die Nutzung von Cloud-Diensten sollten transparent und angemessen sein, mit klaren Preismodellen und keiner versteckten Kosten.
* Die Kosten für die Nutzung von Cloud-Diensten sollten transparent und angemessen sein, mit klaren Preismodellen und ohne versteckte Kosten.
 
== Konfiguration von Cloud-Diensten ==
 
Die sichere Konfiguration von Cloud-Diensten ist ein wichtiger Aspekt, um die Integrität, Vertraulichkeit und Verfügbarkeit der Daten sicherzustellen. Folgende Punkte müssen bei der Konfiguration von Cloud-Diensten beachtet werden:


* Der Zugriff auf Cloud-Dienste muss nach dem "need-to-know"-Prinzip erfolgen. Jeder Nutzer darf nur den Zugriff haben, den er wirklich benötigt.
==Konfiguration von Cloud-Diensten==
* Alle Daten, die in Cloud-Diensten gespeichert werden, sollten verschlüsselt werden, sowohl auf den Übertragungswegen als auch im Cloud-Speicher selbst. Die eingesetzte Verschlüsselung muss dem Stand der Technik entsprechen.
* Mechanismen für eine Notfallwiederherstellung wie z.B. Backup-Rechenzentrum oder Datensicherung müssen konfiguriert werden, um sicherzustellen, dass im Falle eines Notfalls oder einer Kriese der Betrieb wiederherstellbar ist.
* Die Aktivitäten in Cloud-Diensten müssen protokolliert werden, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.


* Für schützenswerte Daten darf eine Freigabe mittels Link nicht benutzt werden.
Die sichere Konfiguration von Cloud-Diensten ist ein wichtiger Aspekt, um die Integrität, Vertraulichkeit und Verfügbarkeit der Daten zu gewährleisten. Folgende Punkte sind bei der Konfiguration von Cloud-Diensten zu beachten:
* Freigaben sollten grundsätzlich zeitlich begrenzt werden. Falls das nicht möglich ist, muss regelmäßig geprüft werden, welche Personen Zugriff auf welche Daten haben und ob dieser Zugriff weiterhin notwendig ist.
* Freigaben müssen immer spezifisch und restriktiv angewendet werden, d.h. falls eine Datei geteilt wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner in dem die Datei liegt.


Wenn ein neuer Cloud-Dienst genutzt wird, müssen zu Beginn die Standard-Einstellungen geprüft werden. Eine gute Strategie ist, zu Beginn möglichst defensive Einstellungen zu wählen, <abbr>d.h.</abbr> nicht benötigte Funktionalitäten sind zu deaktivieren. Sollte eine Funktionalität später benötigt werden, kann diese dann wieder aktiviert werden.
* Der Zugriff auf Cloud-Dienste muss nach dem Need-to-know-Prinzip erfolgen. Jeder Nutzer darf nur auf die Daten zugreifen, die er tatsächlich benötigt.
* Alle in Cloud-Diensten gespeicherten Daten sollten verschlüsselt werden, sowohl auf den Übertragungswegen als auch im Cloud-Speicher selbst. Die verwendete Verschlüsselung muss dem Stand der Technik entsprechen.
* Disaster-Recovery-Mechanismen, wie z. B. Backup-Rechenzentren oder Datensicherungen, müssen so konfiguriert sein, dass im Falle eines Notfalls oder einer Krise der Betrieb wiederhergestellt werden kann.
* Aktivitäten in Cloud-Diensten müssen protokolliert werden, um verdächtige Aktivitäten erkennen und darauf reagieren zu können.
* Für sensible Daten darf die Freigabe per Link nicht verwendet werden.
* Freigaben sind grundsätzlich zeitlich zu begrenzen. Ist dies nicht möglich, muss regelmäßig überprüft werden, welche Personen Zugriff auf welche Daten haben und ob dieser Zugriff weiterhin erforderlich ist.
* Freigaben sollten immer gezielt und restriktiv eingesetzt werden, d.h. wenn eine Datei freigegeben wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner, in dem sich die Datei befindet.
* Wenn ein neuer Cloud-Dienst genutzt wird, sollten die Standardeinstellungen zu Beginn überprüft werden. Eine gute Strategie ist es, zunächst möglichst defensive Einstellungen zu wählen, d.h. nicht benötigte Funktionalitäten zu deaktivieren. Wird eine Funktionalität später benötigt, kann sie wieder aktiviert werden.


== Datenverschlüsselung ==
==Datenverschlüsselung==
Datenverschlüsselung ist eine der wichtigsten Maßnahmen bei der Nutzung von Cloud-Diensten.
Datenverschlüsselung ist eine der wichtigsten Maßnahmen bei der Nutzung von Cloud-Diensten.


Bei einer Datenverschlüsselung in Cloud-Diensten müssen folgende Punkte Berücksichtigt werden:
Bei der Verschlüsselung von Daten in Cloud-Diensten sind folgende Punkte zu beachten:


# Daten die in einer Cloud gespeichert werden sollten verschlüsselt werden. Personenbezogene Daten und Daten mit hohem Schutzbedarf müssen verschlüsselt werden.
* Daten, die in einer Cloud gespeichert werden, sollten verschlüsselt werden. Personenbezogene Daten und Daten mit hohem Schutzbedarf '''müssen''' verschlüsselt werden.
# Es müssen dem Schutzbedarf entsprechende Verschlüsselungsverfahren nach dem Stand der Technik verwendet werden.
* Es müssen dem Schutzbedarf angemessene Verschlüsselungsverfahren nach dem Stand der Technik eingesetzt werden.
# Eine eigene Verschlüsselung durch die die Organisation ist einer Verschlüsselung durch den Cloud-Anbieter vorzuziehen.
* Eine eigene Verschlüsselung durch die Organisation ist einer Verschlüsselung durch den Cloud-Anbieter vorzuziehen.
# Es muss sichergestellt werden, dass die Verschlüsselung den Cloud-Dienst nicht beeinträchtigt.
* Es ist sicherzustellen, dass die Verschlüsselung den Cloud-Dienst nicht beeinträchtigt.
# Administrative Kommunikation mit dem Cloud-Dienst muss immer verschlüsselt werden.
* Die administrative Kommunikation mit dem Cloud-Dienst muss immer verschlüsselt erfolgen.
# Das Schlüsselmanagement sollte in der Organisation liegen, nicht beim Cloud-Dienstleister.
* Das Schlüsselmanagement sollte bei der Organisation und nicht beim Cloud-Anbieter liegen.


== Schutz vor Fremdzugriffen ==
==Schutz vor Fremdzugriffen==
Der Schutz vor fremdem Zugriff auf die Daten der Organisation in Cloud-Diensten ist von entscheidender Bedeutung.
Der Schutz vor unberechtigtem Zugriff auf die Daten der Organisation in Cloud-Diensten ist von entscheidender Bedeutung.


Um die Daten sicher zu halten sind folgende Anforderungen umzusetzen:
Um die Sicherheit der Daten zu gewährleisten, sollten die folgenden Anforderungen umgesetzt werden:


* Verwendung von Zwei-Faktor-Authentisierung oder starker Passwörter für alle Konten und Dienste, die in der Cloud genutzt werden (siehe [[RiLi-Passworte|Passwort-Richtlinie]]).  
* Verwendung von Zwei-Faktor-Authentifizierung oder starken Passwörtern für alle Konten und Dienste, die in der Cloud genutzt werden (siehe Passwortrichtlinie).
* Regelmäßige Überprüfung der Zugriffsberechtigungen für alle Konten und Dienste, die in der Cloud genutzt werden.
* Regelmäßige Überprüfung der Zugriffsberechtigungen für alle Accounts und Services, die in der Cloud genutzt werden.
* Regelmäßige Überprüfung von Sicherheitsmeldungen der Cloud-Dienst. Alle verfügbaren Sicherheitsprotokolle, die der Cloud-Dienst bietet, sollten eingeschaltet und möglichst automatisiert ausgewertet und alarmiert werden. Die Regeln zur Auswertung sind regelmäßig zu aktualisieren.
* Regelmäßige Überprüfung der Sicherheitsmeldungen des Cloud-Dienstes. Alle verfügbaren Sicherheitsprotokolle, die der Cloud-Dienst anbietet, sollten aktiviert und möglichst automatisiert ausgewertet und alarmiert werden. Die Regeln für die Auswertung sollten regelmäßig aktualisiert werden.


== Datenlöschung und Beendigung der Clound Nutzung ==
==Datenlöschung und Beendigung der Clound Nutzung==
Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Bevor Daten bei einem Cloud-Anbieter gespeichert werden, muss geprüft werden, wie sicher die Daten wieder aus der Cloud entfernt werden können.  
Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Bevor Daten bei einem Cloud-Anbieter gespeichert werden, sollte geprüft werden, wie sicher die Daten wieder aus der Cloud entfernt werden können.  


Der Cloud-Dienstleister muss eine sichere und rückstandsfreie Löschung der Daten garantieren. Das muss auch Kopien in Backup-Rechenzentren und Datensicherungen einschließen.
Der Cloud-Anbieter muss ein sicheres und rückstandsfreies Löschen der Daten garantieren. Dies muss auch Kopien in Backup-Rechenzentren und Datensicherungen einschließen.


== Sicherheitskonzept ==
==Sicherheitskonzept==
Für jeden genutzten Cloud-Dienst ist ein eigenes dienstespezifisches Sicherheitskonzept zu erstellen. Das Sicherheitskonzept muss mindestens die folgenden Punkte enthalten:
Für '''jeden''' genutzten Cloud-Dienst ist ein eigenes dienstespezifisches Sicherheitskonzept zu erstellen. Das Sicherheitskonzept muss mindestens folgende Punkte enthalten:
<blockquote>
<blockquote>
=== Vertragspartner ===
===Vertragspartner===
''Wer sind die Vertragspartner?''
Wer sind die Vertragspartner?


''Cloud-Dienstleister und nutzende Organisationseinheit.''
Cloud-Anbieter und nutzende Organisationseinheit.


=== Beschreibung des Verfahrens ===
===Verfahrensbeschreibung ===
''Beschreibung des Verfahrens und der Geschäftsprozesse die teilweise oder vollständig in die Cloud migriert werden sollen.''
Beschreibung des Verfahrens und der Geschäftsprozesse die teilweise oder vollständig in die Cloud verlagert werden sollen.


=== Schutzbedarf ===
===Schutzbedarf===
''Der definierte Schutzbedarf des zu migrierenden Verfahrens mit Verweis auf die Schutzbedarfsfeststellung.''
Der definierte Schutzbedarf des zu migrierenden Verfahrens mit Verweis auf die Schutzbedarfsfeststellung.


=== Begründung der Cloud-Nutzung ===
===Begründung der Cloud-Nutzung ===
''Welche Erwägungen führten zu der Entscheidung das Verfahren in der Cloud zu betrieben.''
Die Überlegungen, die zu der Entscheidung geführt haben, das Verfahren in der Cloud zu betreiben.


=== Nutzer ===
===Nutzer===
''Wer sind die betroffenen Nutzer? Unterteilt in:''
Wer sind die betroffenen Nutzer? Unterteilt in:  
<blockquote>
<blockquote>
==== Administratoren ====
==== Administratoren====
''Wer wird die Cloud-Dienste in der Organisation administrieren und wie werden die Mitarbeitenden vorbereitet / geschult?''
Wer wird die Cloud-Dienste in der Organisation administrieren und wie werden die Mitarbeitenden vorbereitet / geschult?


==== Anwender ====
====Anwender====
''Wer sind die nutzenden Anwender und wie erfolgt die Nutzung der Cloud-Dienste? Wie werden die Anwender geschult?''
Wer sind die nutzenden Anwender und wie werden die Cloud-Dienste genutzt? Wie werden die Anwender geschult?
</blockquote>
</blockquote>
=== Service Definition ===
===Service Definition===
''Welche Cloud-Services werden vom Cloud-Anbieter genutzt?''
Welche Cloud-Services werden vom Cloud-Anbieter genutzt?


''Welche Dienstleistung erbringt der Cloud-Anbieter mit welchem Servicelevel?''
Welche Dienstleistung erbringt der Cloud-Anbieter mit welchem Servicelevel?


=== Verantwortlichkeiten ===
===Verantwortlichkeiten===
''Definition der organisatorischen Schnittstelle zwischen Organisation und Cloud-Anbieter.''
Definition der organisatorischen Schnittstelle zwischen Organisation und Cloud-Anbieter.


''Wer ist für welche Teile verantwortlich?''
Wer ist für welche Teile verantwortlich?  


''Über welche Wege erfolgt die Kommunikation mit dem Cloud-Anbieter?''
Über welche Wege erfolgt die Kommunikation mit dem Cloud-Anbieter?


=== Übertragene Daten ===
===Übertragene Daten===
''Welche Daten werden in der Cloud wie gespeichert oder verarbeitet?''
Welche Daten werden in der Cloud wie gespeichert oder verarbeitet?


=== Schnittstellen ===
===Schnittstellen===
''Über welche Schnittstellen wird der Cloud-Dienst genutzt?''
Über welche Schnittstellen wird der Cloud-Dienst genutzt?


''Welche Schnittstellen gibt es zu anderen Verfahren?''
Welche Schnittstellen gibt es zu anderen Verfahren?


''Wie werden die Schnittstellen abgesichert?''
Wie werden die Schnittstellen abgesichert?


=== Risikoanalyse ===
===Risikoanalyse===
''Darstellung der Ergebnisse einer zu erstellenden Risikoanalyse für die Cloud-Nutzung.''
Darstellung der Ergebnisse einer zu erstellenden Risikoanalyse für die Cloud-Nutzung.


''Verweis auf die Risikoannalyse.''
Verweis auf die Risikoannalyse.


=== Sicherheitsmaßnahmen ===
===Sicherheitsmaßnahmen===
''Welche Sicherheitsmaßnahmen wurden für die Nutzung des Cloud-Dienstes ergriffen?''
Welche Sicherheitsmaßnahmen wurden für die Nutzung des Cloud-Dienstes getroffen?


=== Migrationsplan ===
===Migrationsplan===
''Beschreibung, wie das Verfahren oder die Daten in die Cloud migriert werden.''
Beschreibung, wie das Verfahren oder die Daten in die Cloud migriert werden.


=== Notfallkonzept ===
===Notfallplan===
''Welche Maßnahmen wurden für den Notfall oder eine Kriese ergriffen?''
Welche Maßnahmen werden im Notfall oder in einer Krise ergriffen?


=== Beendigung der Cloud-Nutzung ===
===Beendigung der Cloud-Nutzung===
''Beschreibung, wie bei einer Beendigung der Cloud-Nutzung das Verfahren/die Daten zurück migriert werden und wie die Daten beim Cloud-Dienstleister sicher gelöscht werden.''
Beschreibung, wie bei einer Beendigung der Cloud-Nutzung das Verfahren/die Daten zurück migriert werden können und wie die Daten beim Cloud-Dienstleister sicher gelöscht werden.


</blockquote>
</blockquote>


== Schlussbemerkung ==
==Schlussbemerkung==
 
===Behandlung von Ausnahmen===
== Inkrafttreten ==
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich.
===Revision===
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
==Inkrafttreten==
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Diese Richtlinie tritt zum 01.01.2222 in Kraft.


Zeile 170: Zeile 173:


Unterschrift, Name der Leitung
Unterschrift, Name der Leitung
[[Kategorie:Entwurf]]
[[Kategorie:Richtlinie]]
[[Kategorie:Richtlinie]]
[[Kategorie:Mustervorlage]]
[[Kategorie:Mustervorlage]]

Aktuelle Version vom 9. November 2024, 09:07 Uhr

Diese Richtlinie beschreibt Vorgaben zur sicheren und rechtskonformen Nutzung von Cloud-Services. Sie umfasst Anforderungen an die Auswahl von Anbietern, Datenverschlüsselung, Zugriffskontrollen, Schutz vor Fremdzugriffen und sichere Datenlöschung.

Einleitung

Cloud-Nutzung bedeutet, IT-Ressourcen wie Speicherplatz, Rechenleistung und Anwendungen über das Internet von einem Cloud-Anbieter zu beziehen und zu nutzen, anstatt sie lokal auf einem physischen Gerät zu speichern oder auszuführen. Die Cloud ermöglicht es, auf eine Vielzahl von Diensten zuzugreifen und diese je nach Bedarf zu skalieren, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen. Typische Beispiele für Cloud-Dienste sind Speicher- und Backup-Lösungen, E-Mail-Dienste, Anwendungen wie Office-Suiten, Datenbanken und virtuelle Maschinen.

Geltungsbereich

Diese Richtlinie gilt für alle Bereiche der Organisation, die Cloud-Dienste nutzen oder nutzen wollen.

Zielsetzung

Ziel dieser Richtlinie ist die sichere und rechtskonforme Nutzung von Cloud-Diensten, insbesondere um

  • Sicherstellen, dass die in der Cloud gespeicherten Daten korrekt und unverändert bleiben und nicht versehentlich oder absichtlich manipuliert werden.
  • Sicherstellen, dass sensible Daten nur von autorisierten Personen oder Systemen eingesehen und verwendet werden können.
  • Sicherstellen, dass Cloud-Dienste immer verfügbar sind und keine Ausfallzeiten oder Unterbrechungen auftreten, die zu Datenverlusten oder Geschäftsunterbrechungen führen.
  • Sicherstellen, dass der Zugriff auf Cloud-Dienste und Daten angemessen kontrolliert wird, indem geeignete Authentifizierungs- und Autorisierungsmethoden sowie Protokollierungsverfahren verwendet werden.
  • Einhaltung von Sicherheitsstandards und Vorschriften wie Datenschutzgesetzen oder branchenspezifischen Bestimmungen, um Sicherheits- und Datenschutzrisiken zu minimieren und die Einhaltung von Compliance-Anforderungen zu gewährleisten.

Gesetzliche Rahmenbedingungen

Rechtliche Grundlage für die Nutzung von Cloud-Diensten sind u.a.

  • Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 der Datenschutzgrundverordnung (DSGVO).
  • Anforderungen des Bundesdatenschutzgesetzes (BDSG).
  • ggf. weitere organisationsspezifische Rechtsgrundlagen.

Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.

Allgemeine Anforderungen zur Cloud-Nutzung

Mit der Nutzung von Cloud-Diensten begibt sich die Organisation bei der Speicherung und Verarbeitung ihrer Daten in eine (meist langfristige) Abhängigkeit von externen Dienstleistern.

Die folgenden allgemeinen Anforderungen sind bei der Planung jeder Cloud-Nutzung zu berücksichtigen:

  • Cloud-Dienste dürfen nur im notwendigen Umfang dort eingesetzt werden, wo ein Eigenbetrieb aufgrund der benötigten Ressourcen oder Skalierbarkeitsanforderungen unwirtschaftlich wäre.
  • Alle relevanten Compliance-Anforderungen sind im Hinblick auf die Zulässigkeit der Cloud-Nutzung zu prüfen.
  • Die Cloud-Nutzung muss gut geplant und vorbereitet werden. Die Anforderungen an die Cloud-Anbieter und die zu nutzenden Cloud-Dienste sind im Vorfeld anhand des Schutzbedarfs, der Geschäftsprozesse und der Anwendungen sorgfältig zu erheben und zu dokumentieren.
  • Alle Daten, die in eine Cloud ausgelagert werden sollen, müssen klassifiziert werden, um festzustellen, welche Daten sensible Informationen enthalten und welche weniger sensibel sind. So können je nach Sensibilität der Daten unterschiedliche Sicherheitsmaßnahmen getroffen werden.
  • Für interne Informationen dürfen keine öffentlichen, gemeinsam genutzten Cloud-Dienste (Sharing-Portale) verwendet werden.
  • Es sollten regelmäßige Sicherheitsüberprüfungen durchgeführt werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen immer auf dem neuesten Stand sind.

Auswahl von Cloud-Dienstleistern

Bei der Auswahl eines Cloud-Anbieters sind verschiedene Faktoren zu berücksichtigen, für die vor der Auswahl ein Anforderungskatalog erstellt werden muss. Der Anforderungskatalog sollte mindestens die folgenden Sicherheitsanforderungen berücksichtigen:

  • Es dürfen nur Cloud-Anbieter ausgewählt werden, die ihren Standort im Geltungsbereich der DSGVO (Deutschland und EU) haben (dies gilt für den Anbieter, das genutzte Rechenzentrum sowie den Standort der Administratoren des Anbieters).
  • Der Cloud-Anbieter muss die Einhaltung einschlägiger Sicherheitsstandards nachweisen (Zertifizierung nach ISO 27001, BSI IT-Grundschutz, C5 oder vergleichbar).
  • Die Datenübertragung zum Cloud-Anbieter erfolgt ausschließlich verschlüsselt nach dem Stand der Technik.
  • Zumindest administrative Zugänge müssen durch eine Zwei-Faktor-Authentifizierung abgesichert werden.
  • Die Verfügbarkeit des Cloud-Anbieters muss mindestens den Verfügbarkeitsanforderungen der Geschäftsprozesse entsprechen, für die der Cloud-Dienst genutzt werden soll.
  • Der Cloud-Anbieter muss einen angemessenen Kundensupport anbieten und insbesondere bei Sicherheitsvorfällen angemessen informieren und reagieren können.
  • Die Benutzeroberfläche sollte einfach und intuitiv gestaltet sein, um eine leichte Handhabung der Cloud-Dienste zu ermöglichen. Anleitungen für Nutzer und Administratoren sollten vorhanden sein oder entsprechende qualifizierte Schulungen angeboten werden können.
  • Der Cloud-Anbieter muss die sichere Löschung aller Daten nach Beendigung des Vertragsverhältnisses garantieren.
  • Die Kosten für die Nutzung von Cloud-Diensten sollten transparent und angemessen sein, mit klaren Preismodellen und ohne versteckte Kosten.

Konfiguration von Cloud-Diensten

Die sichere Konfiguration von Cloud-Diensten ist ein wichtiger Aspekt, um die Integrität, Vertraulichkeit und Verfügbarkeit der Daten zu gewährleisten. Folgende Punkte sind bei der Konfiguration von Cloud-Diensten zu beachten:

  • Der Zugriff auf Cloud-Dienste muss nach dem Need-to-know-Prinzip erfolgen. Jeder Nutzer darf nur auf die Daten zugreifen, die er tatsächlich benötigt.
  • Alle in Cloud-Diensten gespeicherten Daten sollten verschlüsselt werden, sowohl auf den Übertragungswegen als auch im Cloud-Speicher selbst. Die verwendete Verschlüsselung muss dem Stand der Technik entsprechen.
  • Disaster-Recovery-Mechanismen, wie z. B. Backup-Rechenzentren oder Datensicherungen, müssen so konfiguriert sein, dass im Falle eines Notfalls oder einer Krise der Betrieb wiederhergestellt werden kann.
  • Aktivitäten in Cloud-Diensten müssen protokolliert werden, um verdächtige Aktivitäten erkennen und darauf reagieren zu können.
  • Für sensible Daten darf die Freigabe per Link nicht verwendet werden.
  • Freigaben sind grundsätzlich zeitlich zu begrenzen. Ist dies nicht möglich, muss regelmäßig überprüft werden, welche Personen Zugriff auf welche Daten haben und ob dieser Zugriff weiterhin erforderlich ist.
  • Freigaben sollten immer gezielt und restriktiv eingesetzt werden, d.h. wenn eine Datei freigegeben wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner, in dem sich die Datei befindet.
  • Wenn ein neuer Cloud-Dienst genutzt wird, sollten die Standardeinstellungen zu Beginn überprüft werden. Eine gute Strategie ist es, zunächst möglichst defensive Einstellungen zu wählen, d.h. nicht benötigte Funktionalitäten zu deaktivieren. Wird eine Funktionalität später benötigt, kann sie wieder aktiviert werden.

Datenverschlüsselung

Datenverschlüsselung ist eine der wichtigsten Maßnahmen bei der Nutzung von Cloud-Diensten.

Bei der Verschlüsselung von Daten in Cloud-Diensten sind folgende Punkte zu beachten:

  • Daten, die in einer Cloud gespeichert werden, sollten verschlüsselt werden. Personenbezogene Daten und Daten mit hohem Schutzbedarf müssen verschlüsselt werden.
  • Es müssen dem Schutzbedarf angemessene Verschlüsselungsverfahren nach dem Stand der Technik eingesetzt werden.
  • Eine eigene Verschlüsselung durch die Organisation ist einer Verschlüsselung durch den Cloud-Anbieter vorzuziehen.
  • Es ist sicherzustellen, dass die Verschlüsselung den Cloud-Dienst nicht beeinträchtigt.
  • Die administrative Kommunikation mit dem Cloud-Dienst muss immer verschlüsselt erfolgen.
  • Das Schlüsselmanagement sollte bei der Organisation und nicht beim Cloud-Anbieter liegen.

Schutz vor Fremdzugriffen

Der Schutz vor unberechtigtem Zugriff auf die Daten der Organisation in Cloud-Diensten ist von entscheidender Bedeutung.

Um die Sicherheit der Daten zu gewährleisten, sollten die folgenden Anforderungen umgesetzt werden:

  • Verwendung von Zwei-Faktor-Authentifizierung oder starken Passwörtern für alle Konten und Dienste, die in der Cloud genutzt werden (siehe Passwortrichtlinie).
  • Regelmäßige Überprüfung der Zugriffsberechtigungen für alle Accounts und Services, die in der Cloud genutzt werden.
  • Regelmäßige Überprüfung der Sicherheitsmeldungen des Cloud-Dienstes. Alle verfügbaren Sicherheitsprotokolle, die der Cloud-Dienst anbietet, sollten aktiviert und möglichst automatisiert ausgewertet und alarmiert werden. Die Regeln für die Auswertung sollten regelmäßig aktualisiert werden.

Datenlöschung und Beendigung der Clound Nutzung

Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Bevor Daten bei einem Cloud-Anbieter gespeichert werden, sollte geprüft werden, wie sicher die Daten wieder aus der Cloud entfernt werden können.

Der Cloud-Anbieter muss ein sicheres und rückstandsfreies Löschen der Daten garantieren. Dies muss auch Kopien in Backup-Rechenzentren und Datensicherungen einschließen.

Sicherheitskonzept

Für jeden genutzten Cloud-Dienst ist ein eigenes dienstespezifisches Sicherheitskonzept zu erstellen. Das Sicherheitskonzept muss mindestens folgende Punkte enthalten:

Vertragspartner

Wer sind die Vertragspartner?

Cloud-Anbieter und nutzende Organisationseinheit.

Verfahrensbeschreibung

Beschreibung des Verfahrens und der Geschäftsprozesse die teilweise oder vollständig in die Cloud verlagert werden sollen.

Schutzbedarf

Der definierte Schutzbedarf des zu migrierenden Verfahrens mit Verweis auf die Schutzbedarfsfeststellung.

Begründung der Cloud-Nutzung

Die Überlegungen, die zu der Entscheidung geführt haben, das Verfahren in der Cloud zu betreiben.

Nutzer

Wer sind die betroffenen Nutzer? Unterteilt in:

Administratoren

Wer wird die Cloud-Dienste in der Organisation administrieren und wie werden die Mitarbeitenden vorbereitet / geschult?

Anwender

Wer sind die nutzenden Anwender und wie werden die Cloud-Dienste genutzt? Wie werden die Anwender geschult?

Service Definition

Welche Cloud-Services werden vom Cloud-Anbieter genutzt?

Welche Dienstleistung erbringt der Cloud-Anbieter mit welchem Servicelevel?

Verantwortlichkeiten

Definition der organisatorischen Schnittstelle zwischen Organisation und Cloud-Anbieter.

Wer ist für welche Teile verantwortlich?

Über welche Wege erfolgt die Kommunikation mit dem Cloud-Anbieter?

Übertragene Daten

Welche Daten werden in der Cloud wie gespeichert oder verarbeitet?

Schnittstellen

Über welche Schnittstellen wird der Cloud-Dienst genutzt?

Welche Schnittstellen gibt es zu anderen Verfahren?

Wie werden die Schnittstellen abgesichert?

Risikoanalyse

Darstellung der Ergebnisse einer zu erstellenden Risikoanalyse für die Cloud-Nutzung.

Verweis auf die Risikoannalyse.

Sicherheitsmaßnahmen

Welche Sicherheitsmaßnahmen wurden für die Nutzung des Cloud-Dienstes getroffen?

Migrationsplan

Beschreibung, wie das Verfahren oder die Daten in die Cloud migriert werden.

Notfallplan

Welche Maßnahmen werden im Notfall oder in einer Krise ergriffen?

Beendigung der Cloud-Nutzung

Beschreibung, wie bei einer Beendigung der Cloud-Nutzung das Verfahren/die Daten zurück migriert werden können und wie die Daten beim Cloud-Dienstleister sicher gelöscht werden.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung