RiLi-Cloudnutzung

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Diese Richtlinie beschreibt Vorgaben zur sicheren und rechtskonformen Nutzung von Cloud-Services. Sie umfasst Anforderungen an die Auswahl von Anbietern, Datenverschlüsselung, Zugriffskontrollen, Schutz vor Fremdzugriffen und sichere Datenlöschung.

Einleitung

Cloud-Nutzung bedeutet, IT-Ressourcen wie Speicherplatz, Rechenleistung und Anwendungen über das Internet von einem Cloud-Anbieter zu beziehen und zu nutzen, anstatt sie lokal auf einem physischen Gerät zu speichern oder auszuführen. Die Cloud ermöglicht es, auf eine Vielzahl von Diensten zuzugreifen und diese je nach Bedarf zu skalieren, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen. Typische Beispiele für Cloud-Dienste sind Speicher- und Backup-Lösungen, E-Mail-Dienste, Anwendungen wie Office-Suiten, Datenbanken und virtuelle Maschinen.

Geltungsbereich

Diese Richtlinie gilt für alle Bereiche der Organisation, die Cloud-Dienste nutzen oder nutzen wollen.

Zielsetzung

Ziel dieser Richtlinie ist die sichere und rechtskonforme Nutzung von Cloud-Diensten, insbesondere um

  • Sicherstellen, dass die in der Cloud gespeicherten Daten korrekt und unverändert bleiben und nicht versehentlich oder absichtlich manipuliert werden.
  • Sicherstellen, dass sensible Daten nur von autorisierten Personen oder Systemen eingesehen und verwendet werden können.
  • Sicherstellen, dass Cloud-Dienste immer verfügbar sind und keine Ausfallzeiten oder Unterbrechungen auftreten, die zu Datenverlusten oder Geschäftsunterbrechungen führen.
  • Sicherstellen, dass der Zugriff auf Cloud-Dienste und Daten angemessen kontrolliert wird, indem geeignete Authentifizierungs- und Autorisierungsmethoden sowie Protokollierungsverfahren verwendet werden.
  • Einhaltung von Sicherheitsstandards und Vorschriften wie Datenschutzgesetzen oder branchenspezifischen Bestimmungen, um Sicherheits- und Datenschutzrisiken zu minimieren und die Einhaltung von Compliance-Anforderungen zu gewährleisten.

Gesetzliche Rahmenbedingungen

Rechtliche Grundlage für die Nutzung von Cloud-Diensten sind u.a.

  • Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 der Datenschutzgrundverordnung (DSGVO).
  • Anforderungen des Bundesdatenschutzgesetzes (BDSG).
  • ggf. weitere organisationsspezifische Rechtsgrundlagen.

Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.

Allgemeine Anforderungen zur Cloud-Nutzung

Mit der Nutzung von Cloud-Diensten begibt sich die Organisation bei der Speicherung und Verarbeitung ihrer Daten in eine (meist langfristige) Abhängigkeit von externen Dienstleistern.

Die folgenden allgemeinen Anforderungen sind bei der Planung jeder Cloud-Nutzung zu berücksichtigen:

  • Cloud-Dienste dürfen nur im notwendigen Umfang dort eingesetzt werden, wo ein Eigenbetrieb aufgrund der benötigten Ressourcen oder Skalierbarkeitsanforderungen unwirtschaftlich wäre.
  • Alle relevanten Compliance-Anforderungen sind im Hinblick auf die Zulässigkeit der Cloud-Nutzung zu prüfen.
  • Die Cloud-Nutzung muss gut geplant und vorbereitet werden. Die Anforderungen an die Cloud-Anbieter und die zu nutzenden Cloud-Dienste sind im Vorfeld anhand des Schutzbedarfs, der Geschäftsprozesse und der Anwendungen sorgfältig zu erheben und zu dokumentieren.
  • Alle Daten, die in eine Cloud ausgelagert werden sollen, müssen klassifiziert werden, um festzustellen, welche Daten sensible Informationen enthalten und welche weniger sensibel sind. So können je nach Sensibilität der Daten unterschiedliche Sicherheitsmaßnahmen getroffen werden.
  • Für interne Informationen dürfen keine öffentlichen, gemeinsam genutzten Cloud-Dienste (Sharing-Portale) verwendet werden.
  • Es sollten regelmäßige Sicherheitsüberprüfungen durchgeführt werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen immer auf dem neuesten Stand sind.

Auswahl von Cloud-Dienstleistern

Bei der Auswahl eines Cloud-Anbieters sind verschiedene Faktoren zu berücksichtigen, für die vor der Auswahl ein Anforderungskatalog erstellt werden muss. Der Anforderungskatalog sollte mindestens die folgenden Sicherheitsanforderungen berücksichtigen:

  • Es dürfen nur Cloud-Anbieter ausgewählt werden, die ihren Standort im Geltungsbereich der DSGVO (Deutschland und EU) haben (dies gilt für den Anbieter, das genutzte Rechenzentrum sowie den Standort der Administratoren des Anbieters).
  • Der Cloud-Anbieter muss die Einhaltung einschlägiger Sicherheitsstandards nachweisen (Zertifizierung nach ISO 27001, BSI IT-Grundschutz, C5 oder vergleichbar).
  • Die Datenübertragung zum Cloud-Anbieter erfolgt ausschließlich verschlüsselt nach dem Stand der Technik.
  • Zumindest administrative Zugänge müssen durch eine Zwei-Faktor-Authentifizierung abgesichert werden.
  • Die Verfügbarkeit des Cloud-Anbieters muss mindestens den Verfügbarkeitsanforderungen der Geschäftsprozesse entsprechen, für die der Cloud-Dienst genutzt werden soll.
  • Der Cloud-Anbieter muss einen angemessenen Kundensupport anbieten und insbesondere bei Sicherheitsvorfällen angemessen informieren und reagieren können.
  • Die Benutzeroberfläche sollte einfach und intuitiv gestaltet sein, um eine leichte Handhabung der Cloud-Dienste zu ermöglichen. Anleitungen für Nutzer und Administratoren sollten vorhanden sein oder entsprechende qualifizierte Schulungen angeboten werden können.
  • Der Cloud-Anbieter muss die sichere Löschung aller Daten nach Beendigung des Vertragsverhältnisses garantieren.
  • Die Kosten für die Nutzung von Cloud-Diensten sollten transparent und angemessen sein, mit klaren Preismodellen und ohne versteckte Kosten.

Konfiguration von Cloud-Diensten

Die sichere Konfiguration von Cloud-Diensten ist ein wichtiger Aspekt, um die Integrität, Vertraulichkeit und Verfügbarkeit der Daten zu gewährleisten. Folgende Punkte sind bei der Konfiguration von Cloud-Diensten zu beachten:

  • Der Zugriff auf Cloud-Dienste muss nach dem Need-to-know-Prinzip erfolgen. Jeder Nutzer darf nur auf die Daten zugreifen, die er tatsächlich benötigt.
  • Alle in Cloud-Diensten gespeicherten Daten sollten verschlüsselt werden, sowohl auf den Übertragungswegen als auch im Cloud-Speicher selbst. Die verwendete Verschlüsselung muss dem Stand der Technik entsprechen.
  • Disaster-Recovery-Mechanismen, wie z. B. Backup-Rechenzentren oder Datensicherungen, müssen so konfiguriert sein, dass im Falle eines Notfalls oder einer Krise der Betrieb wiederhergestellt werden kann.
  • Aktivitäten in Cloud-Diensten müssen protokolliert werden, um verdächtige Aktivitäten erkennen und darauf reagieren zu können.
  • Für sensible Daten darf die Freigabe per Link nicht verwendet werden.
  • Freigaben sind grundsätzlich zeitlich zu begrenzen. Ist dies nicht möglich, muss regelmäßig überprüft werden, welche Personen Zugriff auf welche Daten haben und ob dieser Zugriff weiterhin erforderlich ist.
  • Freigaben sollten immer gezielt und restriktiv eingesetzt werden, d.h. wenn eine Datei freigegeben wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner, in dem sich die Datei befindet.
  • Wenn ein neuer Cloud-Dienst genutzt wird, sollten die Standardeinstellungen zu Beginn überprüft werden. Eine gute Strategie ist es, zunächst möglichst defensive Einstellungen zu wählen, d.h. nicht benötigte Funktionalitäten zu deaktivieren. Wird eine Funktionalität später benötigt, kann sie wieder aktiviert werden.

Datenverschlüsselung

Datenverschlüsselung ist eine der wichtigsten Maßnahmen bei der Nutzung von Cloud-Diensten.

Bei der Verschlüsselung von Daten in Cloud-Diensten sind folgende Punkte zu beachten:

  • Daten, die in einer Cloud gespeichert werden, sollten verschlüsselt werden. Personenbezogene Daten und Daten mit hohem Schutzbedarf müssen verschlüsselt werden.
  • Es müssen dem Schutzbedarf angemessene Verschlüsselungsverfahren nach dem Stand der Technik eingesetzt werden.
  • Eine eigene Verschlüsselung durch die Organisation ist einer Verschlüsselung durch den Cloud-Anbieter vorzuziehen.
  • Es ist sicherzustellen, dass die Verschlüsselung den Cloud-Dienst nicht beeinträchtigt.
  • Die administrative Kommunikation mit dem Cloud-Dienst muss immer verschlüsselt erfolgen.
  • Das Schlüsselmanagement sollte bei der Organisation und nicht beim Cloud-Anbieter liegen.

Schutz vor Fremdzugriffen

Der Schutz vor unberechtigtem Zugriff auf die Daten der Organisation in Cloud-Diensten ist von entscheidender Bedeutung.

Um die Sicherheit der Daten zu gewährleisten, sollten die folgenden Anforderungen umgesetzt werden:

  • Verwendung von Zwei-Faktor-Authentifizierung oder starken Passwörtern für alle Konten und Dienste, die in der Cloud genutzt werden (siehe Passwortrichtlinie).
  • Regelmäßige Überprüfung der Zugriffsberechtigungen für alle Accounts und Services, die in der Cloud genutzt werden.
  • Regelmäßige Überprüfung der Sicherheitsmeldungen des Cloud-Dienstes. Alle verfügbaren Sicherheitsprotokolle, die der Cloud-Dienst anbietet, sollten aktiviert und möglichst automatisiert ausgewertet und alarmiert werden. Die Regeln für die Auswertung sollten regelmäßig aktualisiert werden.

Datenlöschung und Beendigung der Clound Nutzung

Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Bevor Daten bei einem Cloud-Anbieter gespeichert werden, sollte geprüft werden, wie sicher die Daten wieder aus der Cloud entfernt werden können.

Der Cloud-Anbieter muss ein sicheres und rückstandsfreies Löschen der Daten garantieren. Dies muss auch Kopien in Backup-Rechenzentren und Datensicherungen einschließen.

Sicherheitskonzept

Für jeden genutzten Cloud-Dienst ist ein eigenes dienstespezifisches Sicherheitskonzept zu erstellen. Das Sicherheitskonzept muss mindestens folgende Punkte enthalten:

Vertragspartner

Wer sind die Vertragspartner?

Cloud-Anbieter und nutzende Organisationseinheit.

Verfahrensbeschreibung

Beschreibung des Verfahrens und der Geschäftsprozesse die teilweise oder vollständig in die Cloud verlagert werden sollen.

Schutzbedarf

Der definierte Schutzbedarf des zu migrierenden Verfahrens mit Verweis auf die Schutzbedarfsfeststellung.

Begründung der Cloud-Nutzung

Die Überlegungen, die zu der Entscheidung geführt haben, das Verfahren in der Cloud zu betreiben.

Nutzer

Wer sind die betroffenen Nutzer? Unterteilt in:

Administratoren

Wer wird die Cloud-Dienste in der Organisation administrieren und wie werden die Mitarbeitenden vorbereitet / geschult?

Anwender

Wer sind die nutzenden Anwender und wie werden die Cloud-Dienste genutzt? Wie werden die Anwender geschult?

Service Definition

Welche Cloud-Services werden vom Cloud-Anbieter genutzt?

Welche Dienstleistung erbringt der Cloud-Anbieter mit welchem Servicelevel?

Verantwortlichkeiten

Definition der organisatorischen Schnittstelle zwischen Organisation und Cloud-Anbieter.

Wer ist für welche Teile verantwortlich?

Über welche Wege erfolgt die Kommunikation mit dem Cloud-Anbieter?

Übertragene Daten

Welche Daten werden in der Cloud wie gespeichert oder verarbeitet?

Schnittstellen

Über welche Schnittstellen wird der Cloud-Dienst genutzt?

Welche Schnittstellen gibt es zu anderen Verfahren?

Wie werden die Schnittstellen abgesichert?

Risikoanalyse

Darstellung der Ergebnisse einer zu erstellenden Risikoanalyse für die Cloud-Nutzung.

Verweis auf die Risikoannalyse.

Sicherheitsmaßnahmen

Welche Sicherheitsmaßnahmen wurden für die Nutzung des Cloud-Dienstes getroffen?

Migrationsplan

Beschreibung, wie das Verfahren oder die Daten in die Cloud migriert werden.

Notfallplan

Welche Maßnahmen werden im Notfall oder in einer Krise ergriffen?

Beendigung der Cloud-Nutzung

Beschreibung, wie bei einer Beendigung der Cloud-Nutzung das Verfahren/die Daten zurück migriert werden können und wie die Daten beim Cloud-Dienstleister sicher gelöscht werden.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung