RiLi-Cloudnutzung
Diese Richtlinie beschreibt Vorgaben zur sicheren und rechtskonformen Nutzung von Cloud-Services. Sie umfasst Anforderungen an die Auswahl von Anbietern, Datenverschlüsselung, Zugriffskontrollen, Schutz vor Fremdzugriffen und sichere Datenlöschung.
Einleitung
Cloud-Nutzung bedeutet, IT-Ressourcen wie Speicherplatz, Rechenleistung und Anwendungen über das Internet von einem Cloud-Anbieter zu beziehen und zu nutzen, anstatt sie lokal auf einem physischen Gerät zu speichern oder auszuführen. Die Cloud ermöglicht es, auf eine Vielzahl von Diensten zuzugreifen und diese je nach Bedarf zu skalieren, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen. Typische Beispiele für Cloud-Dienste sind Speicher- und Backup-Lösungen, E-Mail-Dienste, Anwendungen wie Office-Suiten, Datenbanken und virtuelle Maschinen.
Geltungsbereich
Diese Richtlinie gilt für alle Bereiche der Organisation, die Cloud-Dienste nutzen oder nutzen wollen.
Zielsetzung
Ziel dieser Richtlinie ist die sichere und rechtskonforme Nutzung von Cloud-Diensten, insbesondere um
- Sicherstellen, dass die in der Cloud gespeicherten Daten korrekt und unverändert bleiben und nicht versehentlich oder absichtlich manipuliert werden.
- Sicherstellen, dass sensible Daten nur von autorisierten Personen oder Systemen eingesehen und verwendet werden können.
- Sicherstellen, dass Cloud-Dienste immer verfügbar sind und keine Ausfallzeiten oder Unterbrechungen auftreten, die zu Datenverlusten oder Geschäftsunterbrechungen führen.
- Sicherstellen, dass der Zugriff auf Cloud-Dienste und Daten angemessen kontrolliert wird, indem geeignete Authentifizierungs- und Autorisierungsmethoden sowie Protokollierungsverfahren verwendet werden.
- Einhaltung von Sicherheitsstandards und Vorschriften wie Datenschutzgesetzen oder branchenspezifischen Bestimmungen, um Sicherheits- und Datenschutzrisiken zu minimieren und die Einhaltung von Compliance-Anforderungen zu gewährleisten.
Gesetzliche Rahmenbedingungen
Rechtliche Grundlage für die Nutzung von Cloud-Diensten sind u.a.
- Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 der Datenschutzgrundverordnung (DSGVO).
- Anforderungen des Bundesdatenschutzgesetzes (BDSG).
- ggf. weitere organisationsspezifische Rechtsgrundlagen.
Allgemeine Anforderungen zur Cloud-Nutzung
Mit der Nutzung von Cloud-Diensten begibt sich die Organisation bei der Speicherung und Verarbeitung ihrer Daten in eine (meist langfristige) Abhängigkeit von externen Dienstleistern.
Die folgenden allgemeinen Anforderungen sind bei der Planung jeder Cloud-Nutzung zu berücksichtigen:
- Cloud-Dienste dürfen nur im notwendigen Umfang dort eingesetzt werden, wo ein Eigenbetrieb aufgrund der benötigten Ressourcen oder Skalierbarkeitsanforderungen unwirtschaftlich wäre.
- Alle relevanten Compliance-Anforderungen sind im Hinblick auf die Zulässigkeit der Cloud-Nutzung zu prüfen.
- Die Cloud-Nutzung muss gut geplant und vorbereitet werden. Die Anforderungen an die Cloud-Anbieter und die zu nutzenden Cloud-Dienste sind im Vorfeld anhand des Schutzbedarfs, der Geschäftsprozesse und der Anwendungen sorgfältig zu erheben und zu dokumentieren.
- Alle Daten, die in eine Cloud ausgelagert werden sollen, müssen klassifiziert werden, um festzustellen, welche Daten sensible Informationen enthalten und welche weniger sensibel sind. So können je nach Sensibilität der Daten unterschiedliche Sicherheitsmaßnahmen getroffen werden.
- Für interne Informationen dürfen keine öffentlichen, gemeinsam genutzten Cloud-Dienste (Sharing-Portale) verwendet werden.
- Es sollten regelmäßige Sicherheitsüberprüfungen durchgeführt werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen immer auf dem neuesten Stand sind.
Auswahl von Cloud-Dienstleistern
Bei der Auswahl eines Cloud-Anbieters sind verschiedene Faktoren zu berücksichtigen, für die vor der Auswahl ein Anforderungskatalog erstellt werden muss. Der Anforderungskatalog sollte mindestens die folgenden Sicherheitsanforderungen berücksichtigen:
- Es dürfen nur Cloud-Anbieter ausgewählt werden, die ihren Standort im Geltungsbereich der DSGVO (Deutschland und EU) haben (dies gilt für den Anbieter, das genutzte Rechenzentrum sowie den Standort der Administratoren des Anbieters).
- Der Cloud-Anbieter muss die Einhaltung einschlägiger Sicherheitsstandards nachweisen (Zertifizierung nach ISO 27001, BSI IT-Grundschutz, C5 oder vergleichbar).
- Die Datenübertragung zum Cloud-Anbieter erfolgt ausschließlich verschlüsselt nach dem Stand der Technik.
- Zumindest administrative Zugänge müssen durch eine Zwei-Faktor-Authentifizierung abgesichert werden.
- Die Verfügbarkeit des Cloud-Anbieters muss mindestens den Verfügbarkeitsanforderungen der Geschäftsprozesse entsprechen, für die der Cloud-Dienst genutzt werden soll.
- Der Cloud-Anbieter muss einen angemessenen Kundensupport anbieten und insbesondere bei Sicherheitsvorfällen angemessen informieren und reagieren können.
- Die Benutzeroberfläche sollte einfach und intuitiv gestaltet sein, um eine leichte Handhabung der Cloud-Dienste zu ermöglichen. Anleitungen für Nutzer und Administratoren sollten vorhanden sein oder entsprechende qualifizierte Schulungen angeboten werden können.
- Der Cloud-Anbieter muss die sichere Löschung aller Daten nach Beendigung des Vertragsverhältnisses garantieren.
- Die Kosten für die Nutzung von Cloud-Diensten sollten transparent und angemessen sein, mit klaren Preismodellen und ohne versteckte Kosten.
Konfiguration von Cloud-Diensten
Die sichere Konfiguration von Cloud-Diensten ist ein wichtiger Aspekt, um die Integrität, Vertraulichkeit und Verfügbarkeit der Daten zu gewährleisten. Folgende Punkte sind bei der Konfiguration von Cloud-Diensten zu beachten:
- Der Zugriff auf Cloud-Dienste muss nach dem Need-to-know-Prinzip erfolgen. Jeder Nutzer darf nur auf die Daten zugreifen, die er tatsächlich benötigt.
- Alle in Cloud-Diensten gespeicherten Daten sollten verschlüsselt werden, sowohl auf den Übertragungswegen als auch im Cloud-Speicher selbst. Die verwendete Verschlüsselung muss dem Stand der Technik entsprechen.
- Disaster-Recovery-Mechanismen, wie z. B. Backup-Rechenzentren oder Datensicherungen, müssen so konfiguriert sein, dass im Falle eines Notfalls oder einer Krise der Betrieb wiederhergestellt werden kann.
- Aktivitäten in Cloud-Diensten müssen protokolliert werden, um verdächtige Aktivitäten erkennen und darauf reagieren zu können.
- Für sensible Daten darf die Freigabe per Link nicht verwendet werden.
- Freigaben sind grundsätzlich zeitlich zu begrenzen. Ist dies nicht möglich, muss regelmäßig überprüft werden, welche Personen Zugriff auf welche Daten haben und ob dieser Zugriff weiterhin erforderlich ist.
- Freigaben sollten immer gezielt und restriktiv eingesetzt werden, d.h. wenn eine Datei freigegeben wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner, in dem sich die Datei befindet.
- Wenn ein neuer Cloud-Dienst genutzt wird, sollten die Standardeinstellungen zu Beginn überprüft werden. Eine gute Strategie ist es, zunächst möglichst defensive Einstellungen zu wählen, d.h. nicht benötigte Funktionalitäten zu deaktivieren. Wird eine Funktionalität später benötigt, kann sie wieder aktiviert werden.
Datenverschlüsselung
Datenverschlüsselung ist eine der wichtigsten Maßnahmen bei der Nutzung von Cloud-Diensten.
Bei der Verschlüsselung von Daten in Cloud-Diensten sind folgende Punkte zu beachten:
- Daten, die in einer Cloud gespeichert werden, sollten verschlüsselt werden. Personenbezogene Daten und Daten mit hohem Schutzbedarf müssen verschlüsselt werden.
- Es müssen dem Schutzbedarf angemessene Verschlüsselungsverfahren nach dem Stand der Technik eingesetzt werden.
- Eine eigene Verschlüsselung durch die Organisation ist einer Verschlüsselung durch den Cloud-Anbieter vorzuziehen.
- Es ist sicherzustellen, dass die Verschlüsselung den Cloud-Dienst nicht beeinträchtigt.
- Die administrative Kommunikation mit dem Cloud-Dienst muss immer verschlüsselt erfolgen.
- Das Schlüsselmanagement sollte bei der Organisation und nicht beim Cloud-Anbieter liegen.
Schutz vor Fremdzugriffen
Der Schutz vor unberechtigtem Zugriff auf die Daten der Organisation in Cloud-Diensten ist von entscheidender Bedeutung.
Um die Sicherheit der Daten zu gewährleisten, sollten die folgenden Anforderungen umgesetzt werden:
- Verwendung von Zwei-Faktor-Authentifizierung oder starken Passwörtern für alle Konten und Dienste, die in der Cloud genutzt werden (siehe Passwortrichtlinie).
- Regelmäßige Überprüfung der Zugriffsberechtigungen für alle Accounts und Services, die in der Cloud genutzt werden.
- Regelmäßige Überprüfung der Sicherheitsmeldungen des Cloud-Dienstes. Alle verfügbaren Sicherheitsprotokolle, die der Cloud-Dienst anbietet, sollten aktiviert und möglichst automatisiert ausgewertet und alarmiert werden. Die Regeln für die Auswertung sollten regelmäßig aktualisiert werden.
Datenlöschung und Beendigung der Clound Nutzung
Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Bevor Daten bei einem Cloud-Anbieter gespeichert werden, sollte geprüft werden, wie sicher die Daten wieder aus der Cloud entfernt werden können.
Der Cloud-Anbieter muss ein sicheres und rückstandsfreies Löschen der Daten garantieren. Dies muss auch Kopien in Backup-Rechenzentren und Datensicherungen einschließen.
Sicherheitskonzept
Für jeden genutzten Cloud-Dienst ist ein eigenes dienstespezifisches Sicherheitskonzept zu erstellen. Das Sicherheitskonzept muss mindestens folgende Punkte enthalten:
Vertragspartner
Wer sind die Vertragspartner?
Cloud-Anbieter und nutzende Organisationseinheit.
Verfahrensbeschreibung
Beschreibung des Verfahrens und der Geschäftsprozesse die teilweise oder vollständig in die Cloud verlagert werden sollen.
Schutzbedarf
Der definierte Schutzbedarf des zu migrierenden Verfahrens mit Verweis auf die Schutzbedarfsfeststellung.
Begründung der Cloud-Nutzung
Die Überlegungen, die zu der Entscheidung geführt haben, das Verfahren in der Cloud zu betreiben.
Nutzer
Wer sind die betroffenen Nutzer? Unterteilt in:
Administratoren
Wer wird die Cloud-Dienste in der Organisation administrieren und wie werden die Mitarbeitenden vorbereitet / geschult?
Anwender
Wer sind die nutzenden Anwender und wie werden die Cloud-Dienste genutzt? Wie werden die Anwender geschult?
Service Definition
Welche Cloud-Services werden vom Cloud-Anbieter genutzt?
Welche Dienstleistung erbringt der Cloud-Anbieter mit welchem Servicelevel?
Verantwortlichkeiten
Definition der organisatorischen Schnittstelle zwischen Organisation und Cloud-Anbieter.
Wer ist für welche Teile verantwortlich?
Über welche Wege erfolgt die Kommunikation mit dem Cloud-Anbieter?
Übertragene Daten
Welche Daten werden in der Cloud wie gespeichert oder verarbeitet?
Schnittstellen
Über welche Schnittstellen wird der Cloud-Dienst genutzt?
Welche Schnittstellen gibt es zu anderen Verfahren?
Wie werden die Schnittstellen abgesichert?
Risikoanalyse
Darstellung der Ergebnisse einer zu erstellenden Risikoanalyse für die Cloud-Nutzung.
Verweis auf die Risikoannalyse.
Sicherheitsmaßnahmen
Welche Sicherheitsmaßnahmen wurden für die Nutzung des Cloud-Dienstes getroffen?
Migrationsplan
Beschreibung, wie das Verfahren oder die Daten in die Cloud migriert werden.
Notfallplan
Welche Maßnahmen werden im Notfall oder in einer Krise ergriffen?
Beendigung der Cloud-Nutzung
Beschreibung, wie bei einer Beendigung der Cloud-Nutzung das Verfahren/die Daten zurück migriert werden können und wie die Daten beim Cloud-Dienstleister sicher gelöscht werden.
Schlussbemerkung
Behandlung von Ausnahmen
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.
Revision
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung