RiLi-Cloudnutzung: Unterschied zwischen den Versionen

Mustervorlage: "Richtlinie zur Cloud-Nutzung"

Einleitung

Cloud-Nutzung bedeutet, Computerressourcen wie Speicherplatz, Rechenleistung und Anwendungen über das Internet von einem Cloud-Anbieter zu beziehen und zu nutzen, anstatt sie lokal auf einem physischen Gerät zu speichern oder auszuführen. Die Cloud ermöglicht es, auf eine Vielzahl von Diensten zuzugreifen und diese je nach Bedarf zu skalieren, ohne dass man sich um die zugrunde liegende Infrastruktur kümmern muss. Typische Beispiele für Cloud-Dienste sind Speicher- und Backup-Lösungen, E-Mail-Dienste, Anwendungen wie Office-Suiten, Datenbanken und virtuelle Maschinen.

Geltungsbereich

Diese Richtlinie gilt für alle Bereiche der Organisation, die Cloud-Dienste nutzen oder nutzen wollen.

Zielsetzung

Ziel dieser Richtlinie ist es die Cloud-Dienste sicher und rechtskonform zu nutzen, insbesondere gilt es:

• Zu gewährleisten, dass die in der Cloud gespeicherten Daten korrekt und unverändert bleiben und nicht versehentlich oder absichtlich manipuliert werden.
• Sicherzustellen, dass sensible Daten nur von autorisierten Personen oder Systemen eingesehen und genutzt werden können.
• Zu Gewährleisten, dass die Cloud-Dienste immer verfügbar sind und keine Ausfallzeiten oder Unterbrechungen auftreten, die zu Datenverlust oder Geschäftsunterbrechungen führen.
• Sicherzustellen, dass der Zugriff auf Cloud-Dienste und Daten auf eine angemessene Weise kontrolliert wird, indem geeignete Authentifizierungs- und Autorisierungsmethoden sowie ein Logging verwendet werden.
• Die Einhaltung von Sicherheitsstandards und Vorschriften wie z.B. Datenschutzgesetzen oder branchenspezifischen Bestimmungen, um Sicherheits- und Datenschutzrisiken zu minimieren und die Einhaltung von Compliance-Anforderungen sicherzustellen.

Gesetzliche Rahmenbedingungen

Rechtliche Grundlage für die Nutzung von Cloud-Diensten sind u.a.

• Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 der Datenschutzgrundverordnung (DSGVO).
• Anforderungen des Bundesdatenschutzgesetzes (BDSG).
• ggf. weitere organisationsspezifische Rechtsgrundlagen.Allgemeines zur Cloud Nutzung

Allgemeine Anforderungen zur Cloud-Nutzung

Mit der Nutzung von Cloud-Diensten begibt sich die Organisation bei der Speicherung und Verarbeitung ihrer Daten in (meist langfristige) Abhängigkeit von externen Dienstleistern.

Folgende allgemeine Anforderungen sind bei der Planung jeder Cloud-Nutzung zu berücksichtigen:

• Cloud-Dienste dürfen nur im nötigen Umfang dort genutzt werden, wo es Aufgrund von erforderlichen Ressourcen oder Skalierbarkeitsanforderungen unwirtschaftlich wäre, diese selbst zu betrieben.
• Alle relevanten Compliance-Anforderungen sind auf die Zulässigkeit einer Cloud-Nutzung zu prüfen.
• Die Cloud-Nutzung muss gut geplant und vorbereitet werden. Die Anforderungen an Cloud-Dienstleister und zu nutzende Cloud-Dienste sind im Vorfeld sorgfältig anhand des Schutzbedarfs, der Geschäftsprozesse und Anwendungen zu erheben und zu dokumentieren.
• Alle Daten, die in eine Cloud ausgelagert werden sollen, müssen klassifiziert werden, um zu bestimmen, welche Daten sensible Informationen enthalten und welche weniger sensibel sind. Dadurch können unterschiedliche Sicherheitsmaßnahmen je nach Sensibilität der Daten eingerichtet werden.
• Für interne Informationen dürfen keine öffentlichen, gemeinsam genutzten Cloud-Dienste (Sharing Portale) verwendet werden.
• Es sollten regelmäßige Sicherheitsüberprüfungen durchgeführt werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen immer auf dem neuesten Stand sind.

Auswahl von Cloud-Dienstleistern

Bei der Auswahl eines Cloud-Dienstleisters müssen verschiedene Faktoren berücksichtigt werden, dazu muss vor der Auswahl ein Anforderungskatalog erstellt werden. Der Anforderungskatalog muss mindestens folgende Sicherheitsanforderungen berücksichtigen:

• Es dürfen nur Cloud-Anbieter ausgewählt werden, deren Standort sich im Geltungsbereich der DSGVO (Deutschland und EU) befindet (Dies gilt für den Anbieter, das genutzte Rechenzentrum sowie auch für den Standort der Administratoren des Anbieters).
• Der Cloud-Anbieter muss die Einhaltung einschlägiger Sicherheitsstandards nachweisen (Zertifizierung nach ISO 27001, BSI IT-Grundschutz, C5 oder vergleichbare).
• Die Datenübertragung zum Cloud-Anbieter erfolgt ausschließlich verschlüsselt nach dem Stand der Technik.
• Mindestens Administrative Zugänge können über eine Zwei-Faktor-Authentisierung abgesichert werden.
• Die Verfügbarkeit des Cloud-Dienstleisters muss mindestens der Verfügbarkeitsanforderung der Geschäftsprozesse entsprechen, für die ein Cloud-Dienste genutzt werden soll.
• Der Cloud-Anbieter muss einen angemessenen Kundensupport bieten und insbesondere bei Sicherheitsvorfällen angemessen informieren und reagieren können.
• Die Benutzeroberfläche sollte einfach und intuitiv sein, um eine einfache Handhabung der Cloud-Dienste zu ermöglichen. Es sollten Anleitungen für Benutzer und Administratoren vorhanden sein oder entsprechende qualifizierte Schulungen angeboten werden können.
• Der Cloud-Anbieter muss die sichere Löschung aller Daten bei Beendigung des Vertragsverhältnisses garantieren.
• Die Kosten für die Nutzung von Cloud-Diensten sollten transparent und angemessen sein, mit klaren Preismodellen und keiner versteckten Kosten.

Konfiguration von Cloud-Diensten

Die sichere Konfiguration von Cloud-Diensten ist ein wichtiger Aspekt, um die Integrität, Vertraulichkeit und Verfügbarkeit der Daten sicherzustellen. Folgende Punkte müssen bei der Konfiguration von Cloud-Diensten beachtet werden:

• Der Zugriff auf Cloud-Dienste muss nach dem "need-to-know"-Prinzip erfolgen. Jeder Nutzer darf nur den Zugriff haben, den er wirklich benötigt.
• Alle Daten, die in Cloud-Diensten gespeichert werden, sollten verschlüsselt werden, sowohl auf den Übertragungswegen als auch im Cloud-Speicher selbst. Die eingesetzte Verschlüsselung muss dem Stand der Technik entsprechen.
• Mechanismen für eine Notfallwiederherstellung wie z.B. Backup-Rechenzentrum oder Datensicherung müssen konfiguriert werden, um sicherzustellen, dass im Falle eines Notfalls oder einer Kriese der Betrieb wiederherstellbar ist.
• Die Aktivitäten in Cloud-Diensten müssen protokolliert werden, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.

• Für schützenswerte Daten darf eine Freigabe mittels Link nicht benutzt werden.
• Freigaben sollten grundsätzlich zeitlich begrenzt werden. Falls das nicht möglich ist, muss regelmäßig geprüft werden, welche Personen Zugriff auf welche Daten haben und ob dieser Zugriff weiterhin notwendig ist.
• Freigaben müssen immer spezifisch und restriktiv angewendet werden, d.h. falls eine Datei geteilt wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner in dem die Datei liegt.

Wenn ein neuer Cloud-Dienst genutzt wird, müssen zu Beginn die Standard-Einstellungen geprüft werden. Eine gute Strategie ist, zu Beginn möglichst defensive Einstellungen zu wählen, d.h. nicht benötigte Funktionalitäten sind zu deaktivieren. Sollte eine Funktionalität später benötigt werden, kann diese dann wieder aktiviert werden.

Datenverschlüsselung

Datenverschlüsselung ist eine der wichtigsten Maßnahmen bei der Nutzung von Cloud-Diensten.

Bei einer Datenverschlüsselung in Cloud-Diensten müssen folgende Punkte Berücksichtigt werden:

1. Daten die in einer Cloud gespeichert werden sollten verschlüsselt werden. Personenbezogene Daten und Daten mit hohem Schutzbedarf müssen verschlüsselt werden.
2. Es müssen dem Schutzbedarf entsprechende Verschlüsselungsverfahren nach dem Stand der Technik verwendet werden.
3. Eine eigene Verschlüsselung durch die die Organisation ist einer Verschlüsselung durch den Cloud-Anbieter vorzuziehen.
4. Es muss sichergestellt werden, dass die Verschlüsselung den Cloud-Dienst nicht beeinträchtigt.
5. Administrative Kommunikation mit dem Cloud-Dienst muss immer verschlüsselt werden.
6. Das Schlüsselmanagement sollte in der Organisation liegen, nicht beim Cloud-Dienstleister.

Schutz vor Fremdzugriffen

Der Schutz vor fremdem Zugriff auf die Daten der Organisation in Cloud-Diensten ist von entscheidender Bedeutung.

Um die Daten sicher zu halten sind folgende Anforderungen umzusetzen:

• Verwendung von Zwei-Faktor-Authentisierung oder starker Passwörter für alle Konten und Dienste, die in der Cloud genutzt werden (siehe Passwort-Richtlinie).
• Regelmäßige Überprüfung der Zugriffsberechtigungen für alle Konten und Dienste, die in der Cloud genutzt werden.
• Regelmäßige Überprüfung von Sicherheitsmeldungen der Cloud-Dienst. Alle verfügbaren Sicherheitsprotokolle, die der Cloud-Dienst bietet, sollten eingeschaltet und möglichst automatisiert ausgewertet und alarmiert werden. Die Regeln zur Auswertung sind regelmäßig zu aktualisieren.

Datenlöschung und Beendigung der Clound Nutzung

Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Bevor Daten bei einem Cloud-Anbieter gespeichert werden, muss geprüft werden, wie sicher die Daten wieder aus der Cloud entfernt werden können.

Der Cloud-Dienstleister muss eine sichere und rückstandsfreie Löschung der Daten garantieren. Das muss auch Kopien in Backup-Rechenzentren und Datensicherungen einschließen.

Sicherheitskonzept

Für jeden genutzten Cloud-Dienst ist ein eigenes dienstespezifisches Sicherheitskonzept zu erstellen. Das Sicherheitskonzept muss mindestens die folgenden Punkte enthalten:

Vertragspartner

Wer sind die Vertragspartner?

Cloud-Dienstleister und nutzende Organisationseinheit.

Beschreibung des Verfahrens

Beschreibung des Verfahrens und der Geschäftsprozesse die teilweise oder vollständig in die Cloud migriert werden sollen.

Schutzbedarf

Der definierte Schutzbedarf des zu migrierenden Verfahrens mit Verweis auf die Schutzbedarfsfeststellung.

Begründung der Cloud-Nutzung

Welche Erwägungen führten zu der Entscheidung das Verfahren in der Cloud zu betrieben.

Nutzer

Wer sind die betroffenen Nutzer? Unterteilt in:

Administratoren

Wer wird die Cloud-Dienste in der Organisation administrieren und wie werden die Mitarbeitenden vorbereitet / geschult?

Anwender

Wer sind die nutzenden Anwender und wie erfolgt die Nutzung der Cloud-Dienste? Wie werden die Anwender geschult?

Service Definition

Welche Cloud-Services werden vom Cloud-Anbieter genutzt?

Welche Dienstleistung erbringt der Cloud-Anbieter mit welchem Servicelevel?

Verantwortlichkeiten

Definition der organisatorischen Schnittstelle zwischen Organisation und Cloud-Anbieter.

Wer ist für welche Teile verantwortlich?

Über welche Wege erfolgt die Kommunikation mit dem Cloud-Anbieter?

Übertragene Daten

Welche Daten werden in der Cloud wie gespeichert oder verarbeitet?

Schnittstellen

Über welche Schnittstellen wird der Cloud-Dienst genutzt?

Welche Schnittstellen gibt es zu anderen Verfahren?

Wie werden die Schnittstellen abgesichert?

Risikoanalyse

Darstellung der Ergebnisse einer zu erstellenden Risikoanalyse für die Cloud-Nutzung.

Verweis auf die Risikoannalyse.

Sicherheitsmaßnahmen

Welche Sicherheitsmaßnahmen wurden für die Nutzung des Cloud-Dienstes ergriffen?

Migrationsplan

Beschreibung, wie das Verfahren oder die Daten in die Cloud migriert werden.

Notfallkonzept

Welche Maßnahmen wurden für den Notfall oder eine Kriese ergriffen?

Beendigung der Cloud-Nutzung

Beschreibung, wie bei einer Beendigung der Cloud-Nutzung das Verfahren/die Daten zurück migriert werden und wie die Daten beim Cloud-Dienstleister sicher gelöscht werden.

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung