IT-Sicherheit integral betrachtet

Transkript

1 expertenwissen für it-architekten, projektleiter und berater Peter Schaar: Datenschutz setzt die Spielregeln. SICHERHEIT IT-Sicherheit integral betrachtet Data Loss Protection Enterprise Wide Integration Security Sonderdruck Alles sicher oder was? für Die BSI-Sicherheitsanforderungen an Cloud-Anbieter Rechte und Rollen Zentrales Rollen- und Rechtecockpit für SOA-Applikationen Business Continuity Management Sicherung kritischer Wertschöpfungsprozesse Schatzkammer Datenbank Sicherheitsstrategien für Datenbanken

2 Cloud Computing Cloud Computing Die bsi-sicherheitsanforderungen an cloud-computing-anbieter Alles sicher oder was? Cloud Computing ist eines der großen Trendthemen in diesem Jahr. Kaum ein Produktanbieter oder Consultant, der seine Angebote nicht mit dem trendigen Begriff schmückt. Dennoch zögern viele Unternehmen noch, Cloud-Angebote ihrem IT-Portfolio hinzuzufügen. Vor allem Sicherheitsfragen lassen sie zurückhaltend agieren. Folgerichtig entstehen neue Richtlinien und Standards, die sich anschicken, die Unsicherheiten der Nutzer auszuräumen. Dieser Artikel analysiert die aktuelle Situation und stellt eine der ersten Richtlinien im deutschsprachigen Raum vor, die BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter. AUTOR: UWE FRIEDRICHSEN Es gibt praktisch keinen Analysten, der Cloud Computing nicht zu einem der wichtigsten Trends dieses Jahres ausgerufen hat. Die Fachzeitschriften und einschlägigen Konferenzen sind voll von dem Thema und die Zahl der Anbieter von IT-Dienstleistungen, die sich mit diesem derzeit scheinbar magischen Wort schmücken, wächst gefühlt von Stunde zu Stunde. Cloud ist in, es herrscht (mal wieder) Goldgräberstimmung in der Branche. Alles könnte so gut sein und neuen Umsatzrekorden stünde nichts im Weg, wären da nicht die Anwender. Gerade die lukrativen Firmenkunden sind nämlich häufig recht zurückhaltend bei dem Thema Cloud Computing. Einer der Hauptgründe für diese Zurückhaltung sind ungeklärte Sicherheitsfragen bei der Nutzung von Cloud- Angeboten. So zeigt z. B. die Studie zum Thema Cloud Computing von PricewaterhouseCoopers [1], dass die Themen Informationssicherheit, Datenschutz und Compliance sehr wichtig für die Anwender von Cloud-Angeboten sind. Auch die ENSIA, die European Network and Information Security Agency, zuständig für Netzwerk- und Informationssicherheit auf EU-Ebene, sieht gerade bei öffentlichen Cloud-Angeboten insbesondere 2 bt

3 auch eine Reihe Sicherheitsrisiken, die erst adressiert werden müssen, bevor man ein solches Angebot nutzen sollte [2]. Doch wie kann man die bestehenden Unsicherheiten ausräumen und so die Kluft zwischen Anbietern und Nutzern am besten überbrücken? Ein klassisches Rezept für solche Situationen ist die Definition von Standards oder Richtlinien durch unabhängige Institutionen. Der Standard bzw. die Richtlinie macht Vorgaben bzgl. der erforderlichen Umsetzung der fraglichen Themen und dient so als eine Art Kontrakt zwischen Anbieter und Nutzer: Verpflichtet sich der Anbieter, die Vorgaben aus dem Standard/den Richtlinien zu erfüllen, ist der Nutzer bereit, das Angebot anzunehmen. Auf diese Weise ersparen es sich beide Parteien insbesondere auch, die einzelnen Vorgaben mühevoll auszuarbeiten und vertraglich zu fixieren (womit sie häufig auch inhaltlich überfordert wären), und können sich stattdessen auf einen breit akzeptierten Konsens zurückziehen. SicherheitSrichtlinien und -StanDarDS im cloud-umfeld In diesem Fall geht es also darum, Sicherheitsanforderungen an Cloud-Computing-Anbieter festzulegen. Im internationalen Raum ist z. B. die Cloud Security Alliance [3] dabei, ein Trusted Security Certification Program zu definieren. Allerdings liegt die Ankündigung mittlerweile über ein Jahr zurück und bislang findet man auf der Website nur Teilaspekte dieses umfassenden Zertifizierungsprogramms. Darüber hinaus ist die CSA ist bislang nicht in Deutschland vertreten und es ist auch nicht angekündigt, dass in naher Zukunft ein deutsches Chapter gegründet werden soll. Im deutschsprachigen Raum hat der TÜV sein Siegel Geprüfter Datenschutz [4] auf Cloud-Computing- Anbieter ausgeweitet. So hat Salesforce.com Ende vergangenen Jahres als erster Cloud-Anbieter das Siegel Geprüfter Datenschutz Cloud Computing V1.0 erhalten. Das Siegel erhält man als Ergebnis eines erfolgreichen Audits, das der TÜV durchführt. Das Audit ist eine Eigenentwicklung des TÜVs und basiert auf gesetzlichen Vorgaben wie dem Bundesdatenschutzgesetz und in diesem Zusammenhang bekannten Normen wie DIN ISO/IEC (IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen) und ISO/IEC (IT-Sicherheitsverfahren IT- Netzwerksicherheit). Die genauen Inhalte und Durchführung sind Betriebsgeheimnis des TÜVs, das man nur kennenlernt, wenn man den TÜV mit einem solchen Audit beauftragt. Da der TÜV aber daran interessiert ist, die seit vielen Jahren hohe Akzeptanz seiner Siegel zu behalten, kann man getrost davon ausgehen, dass die Zertifizierung Hand und Fuß hat und das Siegel eine entsprechende Aussagekraft. Eine weitere gewichtige Instanz im deutschsprachigen Raum zum Thema Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) [5]. Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes und fühlt sich für IT-Sicherheit in Deutschland verantwortlich. Mit seinem Angebot adressiert das BSI natürlich in erster Linie den öffentlichen Bereich, aber auch Unternehmen und Privatanwender. Sehr bekannt ist z. B. der BSI-Standard 100 (besser bekannt unter dem Namen IT-Grundschutz), in dem ausführlich die Etablierung eines Informationssicherheits-Managementsystems beschrieben ist, das zum DIN-ISO/IEC-Standard kompatibel ist [6]. Aber auch viele andere Themengebiete der IT hat das BSI unter Sicherheitsaspekten durchleuchtet und entsprechende Richtlinien bzw. Empfehlungen publiziert. Exemplarisch seien hier der Maßnahmenkatalog zur Sicherheit von Webanwendungen [7] oder das SOA- Security-Kompendium [8] genannt. Den Publikationen des BSI ist gemein, dass sie fast alle recht weit akzeptiert sind und einen weitestgehend normativen und standardähnlichen Charakter haben. Befolgt ein IT-Anbieter also die Vorgaben aus der entsprechenden BSI-Publikation, so ist dies in der Regel ausreichend, um mögliche Bedenken des Kunden in dem von der Publikation adressierten Bereich auszuräumen. bsi-mindestsicherheitsanforderungen Da Cloud Computing mittlerweile auch im öffentlichen Bereich immer mehr an Bedeutung gewinnt, hat sich das BSI folgerichtig auch damit auseinander gesetzt. Als Ergebnis sind die BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter entstanden [9]. Zum Zeitpunkt des Schreibens dieses Artikels lag der Stand vom vor, der noch explizit als ENTWURF gekennzeichnet war. Auch wenn die BSI-Publikation noch als Entwurf gekennzeichnet und in der vorliegenden Version 17 Seiten dünn ist (die es inhaltlich allerdings in sich haben), so ist doch zu erwarten, dass sich diese Mindestsicherheitsanforderungen aufgrund der Stellung des BSI als ein möglicher Standardkontrakt zwischen Anbietern und Nutzern von Cloud-Dienstleistungen in Deutschland entwickeln werden. Aus diesem Grund möchte ich dieses Richtliniendokument im weiteren Verlauf meines Artikels genauer vorstellen und kritisch analysieren. Das Dokument beginnt mit ein paar allgemeinen Definitionen zum Thema Cloud, auf die ich hier nicht näher eingehen möchte. Dann wird der designierte Geltungsbereich der Richtlinien beschrieben: Die bt

4 Richtlinien adressieren sowohl IaaS (Infrastructure as a Service; Hardware wie z. B. Speicher, Netze, CPU), PaaS (Platform as a Service; Laufzeitumgebung und ggf. Entwicklungsumgebung, häufig verbunden mit der Bereitstellung höherwertiger Funktionen wie z. B. Mandantenfähigkeit, Zugriffskontrolle, einheitliche Persistenzabstraktion) als auch SaaS (Software as a Service; komplette Anwendungen), also praktisch alle derzeit relevanten Arten von Cloud-Angeboten. Außerdem werden Informationen mit einem Vertraulichkeitsbedarf im normalen bis hohen Schutzbereich adressiert, was für die meisten Informationen im Unternehmensumfeld zutreffen dürfte. Zusammenfassend lässt sich festhalten, dass das Dokument damit nahezu alle Cloud-Szenarien im normalen Unternehmensumfeld abdecken dürfte. Im nächsten Schritt werden die formulierten Anforderungen in drei Kategorien unterteilt: B (= Basisanforderung) umfasst Basisanforderungen, die an jeden Cloud-Anbieter gestellt werden Vt+ (= Vertraulichkeit hoch) umfasst zusätzliche Anforderungen, die bei Daten mit hohem Vertraulichkeitsbedarf realisiert werden sollen Vf+ (= Verfügbarkeit hoch) umfasst zusätzliche Anforderungen, die bei hohem Verfügbarkeitsbedarf realisiert werden sollen Ich werde mich in diesem Dokument auf die Basisanforderungen beschränken, weil das wahrscheinlich das Set an Anforderungen sein wird, das am häufigsten für Kontrakte zwischen Anbietern und Nutzern verwendet werden wird. Außerdem machen die Basisanforderungen knapp 80 % der formulierten Anforderungen aus. Insgesamt sind nämlich 74 der 93 formulierten Anforderungen Basisanforderungen. Die Anforderungen verteilen sich zum größten Teil auf die im Folgenden aufgezählten Kernthemengebiete: Sicherheitsmanagement beim Anbieter Sicherheitsarchitektur ID- und Rechtemanagement Monitoring und Security Incident Management Notfallmanagement Sicherheitsprüfung und -nachweis Anforderungen an das Personal Transparenz Organisatorische Anforderungen Kontrollmöglichkeiten für Nutzer Portabilität von Daten und Anwendungen Interoperabilität Datenschutz/Compliance Zusätzlich beziehen sich noch einige wenige Anforderungen (genauer: fünf Basisanforderungen und eine Zusatzanforderung) auf die folgenden zusätzlichen Themengebiete: Cloud-Zertifizierung Zusatzforderungen an Public-Cloud-Anbieter für die Bundesverwaltung Im weiteren Verlauf des Artikels werde ich die Anforderungen der Kernthemengebiete genauer betrachten. Sicherheitsmanagement beim Anbieter Für diesen Bereich formuliert das BSI die folgenden Basisanforderungen: Definiertes Vorgehensmodell aller IT-Prozesse (z. B. nach ITIL, COBIT) Implementation eines anerkannten Informationssicherheits-Managementsystems (z. B. BSI-Standard (IT-Grundschutz), ISO 27001) Erstellung eines IT-Sicherheitskonzepts für die Cloud Hintergrund für diese Anforderungen ist die Behauptung, dass eine adäquate Sicherheit entsprechend ausdefinierte Prozesse als Grundvoraussetzung hat. Das sind Anforderungen, denen ich nicht so ohne Weiteres zustimmen würde. Zunächst bin ich ein Anhänger des agilen Lagers. Eine Grundidee der Agilität ist vereinfacht ausgedrückt, dass Hirn anschalten explizit erwünscht ist. Bis ins Detail geregelte Prozesse sind meiner Erfahrung nach eine beliebte Ausrede dafür, nicht zu denken. Man kann sich so schön hinter den Prozessen verstecken. Ich frage in solchen Situationen gerne etwas provokativ, wem man mehr vertraut: einigen denkenden, sicherheitsbewussten Personen oder einem Rudel ferngesteuerter Prozess-Zombies? Natürlich ist das etwas überspitzt, aber ich denke, man sollte sich die Frage trotzdem einmal ernsthaft stellen, bevor man reflexartig nach Prozessen als Lösung für alle Probleme ruft. Außerdem spielt für mich eine große Rolle, mit was für einem Anbieter von Cloud-Dienstleistungen man es zu tun hat. Habe ich es mit einem richtig großen Anbieter zu tun oder vielleicht mit einem innovativen kleinen Start-up, das eine richtig pfiffige Lösung an den Markt bringt? Während bei dem großen Anbieter wahrscheinlich schon die schiere Menge beteiligter Personen eine gewisse Standardisierung der Prozesse erfordert, würde bei dem kleinen Start-up die Definition der Prozesse schon das gesamte Startkapital verschlingen. Natürlich muss auch das kleine Unternehmen sicherstellen, dass 4 bt

5 BUSINESS CASE FÜR AGILITÄT: die Agile Software Factory der codecentric AG.

6 die notwendige Sicherheit gewährleistet ist. Aber ob man dafür gleich die ITIL/COBIT/ISO Keule herausholen muss oder ob das nicht auch mit anderen Mitteln möglich ist, sei einmal dahingestellt. Sicherheitsarchitektur Wie nicht anders zu erwarten, geht es in diesem Bereich richtig zur Sache. Hier versammeln sich insgesamt 32 der insgesamt 93 Anforderungen, 26 davon sind Basisanforderungen. Primär geht es um eine durchgängige Sicherheitsarchitektur von der Zugangskontrolle zum Rechenzentrum über saubere Mandantentrennung bis hin zum verschlüsselten Zugriff auf das Cloud-Angebot. Hier sind exemplarisch die wichtigsten Anforderungen aufgelistet: Redundante Auslegung aller wichtigen Versorgungskomponenten (Strom, Klimatisierung der RZ, Internetanbindung etc.) Kontrollierte Zugangskontrolle für das Rechenzentrum Sicherheitsmaßnahmen gegen Malware (Virenschutz, Trojaner-Detektion, Spam-Schutz etc.) Sicherheitsmaßnahmen gegen netzbasierte Angriffe (IPS/IDS-Systeme, Firewall etc.) Fernadministration durch einen sicheren Kommunikationskanal (SSH, SSL, IPsec, VPN etc.) Sichere Default-Konfiguration des Hosts (z. B. Einsatz gehärteter Betriebssysteme, Deaktivierung unnötiger Dienste etc.) Sichere Isolierung und Kapselung der Anwendungen Konfigurationsmanagement Patch- und Änderungsmanagement (zügiges Einspielen von Patches, Updates, Service Packs) sowie Release Management Sicherstellung der Patch-Verträglichkeit auf Testsystem vor Einspielen in Wirkbetrieb Sichere Isolierung der Kundendaten (virtuelle Speicherbereiche, Tagging etc.) Regelmäßige Datensicherung und Möglichkeit der Datenwiederherstellung (außer nach Löschung) muss gesichert sein (z. B. redundante Replikate, evtl. auch Kundentests) Datenarchivierung nach einschlägigen Gesetzen bzw. Bestimmungen Verschlüsselte Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer (TLS/SSL) Verschlüsselte Kommunikation zwischen Cloud-Computing-Standorten Verschlüsselte Kommunikation mit dritten Cloud- Service-Anbietern, falls diese für das eigene Angebot notwendig sind Die Umsetzung der hier aufgezählten Anforderungen sollte eigentlich selbstverständlich sein, wird aber gerne einmal vergessen. Deshalb ist es auch sehr sinnvoll, dass diese Anforderungen noch einmal explizit aufgeführt sind. Dazu gesellen sich in dem Bereich einige weitere Anforderungen wie eine 24/7-Überwachung des Zugangs inkl. Videoüberwachungssystemen mit Bewegungssensoren und Sicherheitspersonal, Einsatz von Host-based-Intrusion-Detection-Systemen oder die regelmäßige Durchführung von Vulnerability-Tests. Das sind für sich gesehen auch alles sinnvolle Anforderungen, nur bin ich der Meinung, dass man hier fallweise beurteilen muss, ob es wirklich Mindestanforderungen sind oder eher erweiterte Anforderungen. ID- und Rechtemanagement In diesem Bereich geht es im Kern um ein sicheres ID- Management, eine angemessen starke Authentisierung sowie ein restriktives Rechtemanagement zur Vermeidung unnötiger Risiken. Im Detail sind die folgenden Basisanforderungen formuliert worden: Sichere Identifikation der Cloud-Nutzer und Mitarbeiter des Cloud-Anbieters Starke Authentisierung (z. B. Zweifaktor-Authentisierung) für Administratoren des Cloud-Anbieters Zugriffskontrolllisten für Cloud-Nutzer und Mitarbeiter des Cloud-Anbieters Regelmäßige Kontrolle und Aktualisierung der Zugriffskontrolllisten Least Privilege Model (Nutzer bzw. Administratoren sollen nur die Rechte besitzen, die sie zur Erfüllung ihrer Aufgabe benötigen) Alle hier genannten Anforderungen sind unbedingt sinnvoll. Gerade die zweite Anforderung bzgl. starker Authentisierung von Administratoren möchte ich noch einmal hervorheben, da eine solche Maßnahme häufig nicht umgesetzt wird, obwohl damit das allgemeine Sicherheitsniveau auf einfache Weise deutlich verbessert werden kann. Monitoring und Security Incident Management Die Anforderungen dieses Bereichs würde ich wieder etwas differenzierter bewerten. So sollten folgende Anforderungen durchaus immer umgesetzt werden: 24/7-Überwachung der Cloud (z. B. Verfügbarkeit der Services bzw. Ressourcen) Logdatenerfassung und -auswertung (z. B. Systemstatus, fehlgeschlagene Authentisierungsversuche etc.) 6 bt

7 24/7-erreichbares, handlungsfähiges Cloud-Management und Trouble-Shooting Verfügbarkeit der Services überwachen und messen, Messergebnisse den Kunden zur Verfügung stellen Die folgende Anforderung ist hingegen nicht unbedingt für jedermann eine Basisanforderung: Einbindung in die CERT-Strukturen und in das nationale IT-Krisenmanagement Dazu kommen noch Pauschalanforderungen wie: Anbieter stellt sicher, dass auf Angriffe, die aus der Cloud heraus durchgeführt werden, 24/7 reagiert werden kann Anbieter stellt sicher, dass interne Angriffe von Cloud- Nutzern auf andere Cloud-Nutzer erkannt werden Das klingt toll und jeder ist erst einmal geneigt, reflexartig zu nicken. Ich frage mich bei diesen Anforderungen aber zum einen, wie man sie zuverlässig umsetzen soll, und bezweifle zum anderen, dass ein Anbieter die Erfüllung einer solchen Anforderung wirklich hundertprozentig garantieren kann. Deshalb empfehle ich an der Stelle sicherheitshalber aktives Nachdenken, in welchem Umfang man diesen Anforderungen realistisch betrachtet nachkommen kann, anstatt sie blind zu übernehmen. Notfallmanagement Dieser Bereich lässt sich schnell abhandeln. Es gibt zwei Basisanforderungen: Der Cloud-Anbieter muss ein Notfallmanagement implementieren. Regelmäßige Übungen (z. B. Ausfall eines Cloud- Computing-Standorts) Dazu gibt es nicht viel zu sagen: Ja, macht Sinn, sollte man haben und die regelmäßigen Übungen sind extrem hilfreich, damit es einem nicht so ergeht wie den Leuten, die regelmäßig Datensicherungen machen und dann beim ersten Datenverlust feststellen, dass sich ein Fehler im Sicherungsskript eingeschlichen hatte und die Daten nicht mehr hergestellt werden können. Sicherheitsprüfung und -nachweis In diesem Bereich geht es um regelmäßige Sicherheitsprüfungen. Entsprechend gibt es drei Basisanforderungen: 1. Der Cloud-Anbieter muss dem Cloud-Nutzer regelmäßig berichten über Sicherheitsmaßnahmen, Änderungen im IT-Sicherheitsmanagement, über Sicherheitsvorfälle, über die Ergebnisse durchgeführter IS-Revisionen und Penetrationstests. Auch im Falle einer drohenden Insolvenz ist der Cloud-Nutzer zu unterrichten. Regelmäßige Penetrationstests Regelmäßige Penetrationstests bei Subunternehmen Auch hier gilt: Ja, sinnvolle Anforderungen, wobei aus meiner Sicht bei den letzten zwei Anforderungen fallweise überlegt werden muss, wie häufig und in welchem Umfang diese Maßnahmen umgesetzt werden müssen. Anforderungen an das Personal Die Anforderungen dieses Bereichs sind aus meiner Sicht wieder etwas durchwachsen: Vertrauenswürdiges Personal Ausbildung der Mitarbeiter des Cloud-Anbieters (regelmäßige Schulung) Sensibilisierung der Mitarbeiter des Cloud-Anbieters für Informationssicherheit und Datenschutz Verpflichtung der Mitarbeiter auf Datenschutz, Sicherheitsmaßnahmen, Vertraulichkeit der Kundendaten Die zweite und dritte Anforderung halte ich für sehr sinnvoll. Die erste und die letzte Anforderung sind für meinen Geschmack allerdings eher Pauschalanforderungen, denen man zwar gerne nachkommen kann, von denen ich aber stark bezweifle, dass sie in der Praxis einen realen Einfluss auf die Sicherheit haben. Transparenz Das ist wieder ein Bereich, der schnell abgehandelt werden kann. Hier gibt es die folgenden Basisanforderungen: Offenlegung der Standorte des Cloud-Anbieters (Land, Region) Offenlegung der Subunternehmer des Cloud-Anbieters Transparenz, welche Eingriffe der Cloud-Anbieter in Daten und Verfahren der Kunden vornehmen darf Regelmäßige Unterrichtung über Änderungen (z. B. neue oder angekündigte Funktionen, neue Subunternehmer; andere Punkte, die für das SLA relevant sind) Transparenz, welche Software durch den Cloud-Anbieter auf Seiten des Kunden installiert wird sowie über die daraus resultierenden Sicherheitserfordernisse/-risiken bt

8 Das sind absolut sinnvolle Anforderungen, deren Umsetzung m. E. eigentlich selbstverständlich sein sollte (aber trotzdem gerne vergessen wird). organisatorische anforderungen In diesem Bereich geht es primär um das explizite Festschreiben der Sicherheitsleistungen im Rahmen eines SLA (Service Level Agreement). Entsprechend gibt es die folgenden Basisanforderungen: Definierte Sicherheitsleistungen durch Security SLA oder im SLA deutlich hervorgehoben Einsicht in Security SLA bzw. SLA von Subunternehmern Rahmenbedingungen zur Gültigkeit des SLA aufführen (z. B. keine Verpflichtung zur Leistungserbringung aufgrund höherer Gewalt) Dazu gibt es nicht viel zu sagen. Ein SLA sollte eigentlich immer von einem Cloud-Anbieter bereitgestellt werden und darin sollten auch die Sicherheitsleistungen klar beschrieben sein. kontrollmöglichkeiten für nutzer Dieser Bereich bezieht sich direkt auf den vorhergehenden Bereich. Hier gibt es eine Basisanforderung: Kunden sollen die Möglichkeit haben, die Einhaltung der SLAs zu überwachen, indem beispielsweise die Qualität der angebotenen Services überwacht wird. Für seriöse Cloud-Anbieter sollte das selbstverständlich sein. Ich sehe die Anforderung auch eher im Bereich Transparenz: Es sollten nicht irgendwelche ominösen Kontrollmöglichkeiten angeboten werden, sondern eine durchgängige, für den Nutzer gut nachvollziehbare Transparenz aller für ihn wichtigen Bereiche. portabilität Von Daten und anwendungen Hier kommen wir zu einem schwierigen Thema, der Vermeidung des Vendor Lock-in. Während die Anbieter von Dienstleistungen verständlicherweise kein besonderes Interesse an dem Thema haben, ist es den Nutzern (ebenso verständlicherweise) in der Regel sehr wichtig. Hier besteht bei den aktuellen Cloud-Angeboten in vielen Fällen noch Nachholbedarf. Während der Import von Daten meistens ziemlich problemlos möglich ist, gestaltet sich der Export von Daten häufig sehr schwierig bis nahezu unmöglich. Die genauen Anforderungen in dem Bereich sind: Import und Export der Daten in einem geeigneten Format Anwendungen müssen plattformunabhängig sein (nur SaaS) Bei der ersten Anforderung ist meine Empfehlung, dieser als Anbieter auch jetzt schon nachzukommen. Auch wenn zurzeit noch eine gewisse Goldgräberstimmung im Cloud-Bereich herrscht, so wird erfahrungsgemäß doch sehr bald eine Marktkonsolidierung einsetzen und dann bekommt eine solche Anforderung ein ganz anderes Gewicht als noch heute. Die zweite Anforderung finde ich etwas unsinnig (oder ich verstehe sie falsch, was natürlich nicht auszuschließen ist): Wenn ich ein SaaS-Angebot nutze, dann interessiert mich nicht, auf welcher Plattform die Anwendung läuft. Ich möchte ggf. mit meinen Daten auf einfache Weise zu einem anderen SaaS-Angebot eines anderen Cloud-Anbieters wechseln können, aber mir ist herzlich egal, ob die Anwendung an sich auf eine andere Plattform umziehen kann. Das ist ja einer der Gründe, warum ich ein SaaS-Angebot nutze: Ich will mir um solche Dinge keine Gedanken mehr machen. Vielleicht wird diese Anforderung mit der nächsten Version des Dokuments aber auch noch einmal überarbeitet und etwas klarer formuliert. interoperabilität In diesem Bereich geht es um die Interoperabilität zwischen verschiedenen Cloud-Computing-Plattformen sowie ggf. den eigenen Anwendungen. Entsprechend gibt es eine Anforderung in dem Bereich: Standardisierte oder offengelegte Schnittstellen (API und Protokolle). Dazu gibt es nicht viel zu sagen: Ja, das ist eine absolut sinnvolle Anforderung. DatenSchutz/compliance In diesem Bereich geht es um die Einhaltung der Compliance-Anforderungen des Nutzers im Allgemeinen und um die Einhaltung des Bundesdatenschutzgesetzes (BDSG) für personenbezogene Daten im Speziellen. Die konkreten Anforderungen dazu sind: Gewährleistung des Datenschutzes nach deutschem Recht Datenschutzrichtlinien und -gesetze, denen der Cloud- Nutzer unterliegt, müssen eingehalten werden Speicherung und Verarbeitung der personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vertragsstaats des EWR Keine Einbindung von Unterauftragnehmern, die eine Verarbeitung der personenbezogenen Daten innerhalb der oben genannten Staaten gewährleisten können Kontrollrechte des Cloud-Nutzers zur datenschutzkonformen Verarbeitung der personenbezogenen Daten Gesetzliche Bestimmungen des Cloud-Nutzers müssen durch den Anbieter eingehalten werden. Die re- 8 bt

9

10 levanten Bestimmungen teilt der Cloud-Nutzer dem Anbieter mit Diese Anforderungen sind für meinen Geschmack wieder von sehr unterschiedlicher Qualität. Die erste Anforderung ist eindeutig, da gibt es nichts zu diskutieren. Auch an der dritten und vierten Anforderung kommt man wahrscheinlich nicht vorbei, wenn man die rechtlichen Rahmenbedingungen bzgl. der Verarbeitung personenbezogener Daten sicher einhalten möchte. Bei der fünften Anforderung (die mit den Kontrollrechten für den Cloud-Nutzer) handelt es sich wieder um eine Pauschalanforderung, bei der gar nicht klar ist, wie man sie auf sinnvolle Weise und mit vertretbarem Aufwand umsetzen kann. Die meisten Probleme habe ich aber mit der zweiten und der letzten Anforderung. Diese sind mir (wie häufig im Umfeld von Sicherheitsanforderungen anzutreffen) extrem zugunsten der Nutzer formuliert: Die Probleme des Nutzers werden einfach pauschal auf den Anbieter abgewälzt. Es interessiert nicht, ob das Angebot überhaupt für die Compliance-Anforderungen des Nutzers ausgelegt ist, der Anbieter hat das bitte schön sicherzustellen. Das erweist sich zwar als sehr angenehm für den Nutzer und sicherlich ist die Anforderung daher auch auf Nutzerseite entsprechend beliebt, aber zumindest für unabhängige Cloud-Anbieter nicht wirklich fair. Wäre es nicht wesentlich sinnvoller, wenn der Cloud- Anbieter im Rahmen seiner Angebotsbeschreibung darstellt, welche rechtlichen Rahmenbedingungen er mit seinem Angebot erfüllt, und der Nutzer diese Beschreibung dann daraufhin prüft, ob sie für seine speziellen Compliance-Anforderungen ausreichend ist? Natürlich sind Abstimmungen und Verhandlungen über die zusätzliche Zusicherung weiterer rechtlicher Anforderungen jederzeit möglich, aber diese einseitige Anforderung würde ich als Cloud-Anbieter sicherlich nicht blanko unterschreiben, da sie für mich ein unkalkulierbares Risiko darstellen würde. Zusammenfassung Im Bereich Cloud Security ist derzeit eine Menge Bewegung. Es wurde erkannt, dass dieses Thema zufriedenstellend für die Cloud-Nutzer geregelt werden muss, damit diese ihre noch zögerliche Haltung aufgeben. Entsprechend gibt es mittlerweile die ersten Richtlinien und Zertifizierungsangebote unabhängiger Institutionen. Stellvertretend wurden in diesem Artikel die Mindestsicherheitsanforderungen für Cloud-Anbieter des BSI genauer analysiert, die derzeit als Entwurf vorliegen. Das Ergebnis der Analyse ist gemischt. Die meisten der Anforderungen sind absolut sinnvoll, bei vielen sollte die Umsetzung eigentlich selbstverständlich sein. Entsprechend ist es gut, dass diese Anforderungen durch eine unabhängige Institution wie das BSI einmal zusammengetragen und explizit festgehalten worden sind. Allerdings sind auch einige durchaus diskussionswürdige Anforderungen in dem Dokument formuliert worden, die man noch einmal kritisch hinterfragen sollte. Gerade als Anbieter von Cloud-Dienstleistungen sollte man die Anforderungen noch einmal genau prüfen, da einige der Anforderungen sehr pauschal und zugunsten der Nutzer formuliert sind und es je nach Situation durchaus fraglich ist, ob eine Umsetzung der Anforderungen in der beschriebenen Form wirklich notwendig (bzw. überhaupt möglich) ist. Zusammenfassend lässt sich sagen, dass die Standardisierungsbemühungen im Bereich Cloud Security auf einem guten Weg sind, im Detail aber durchaus noch Verbesserungspotenzial besteht. Uwe Friedrichsen hat langjährige Erfahrungen als Architekt, Projektleiter und Berater. Aktuell ist er bei der codecentric AG als CTO tätig und beschäftigt sich in dem Kontext insbesondere mit agilen Verfahren und neuen Architekturansätzen und Technologien wie z. B. Cloud Computing. Links & Literatur [1] Cloud Computing Navigation in der Wolke, de/de_de/de/prozessoptimierung/assets/cloudcomputingstudie.pdf [2] Security and Resilience in Governmental Clouds, enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/ security-and-resilience-in-governmental-clouds [3] Cloud Security Alliance, [4] TÜV Rheinland, Datenschutz Zertifizierung für Unternehmen, [5] Bundesamt für Sicherheit in der Informationstechnik, [6] IT-Grundschutz-Standards, html [7] Sicherheit von Webanwendungen Maßnahmenkatalog und Best Practices, pdf? blob=publicationfile [8] SOA-Security-Kompendium Sicherheit in Service-orientierten Architekturen, Version 2.0, [9] BSI-Mindestsicherheitsanforderungen an Cloud-Computing- Anbieter, Stand (ENTWURF), de/shareddocs/downloads/de/bsi/publikationen/sonstige/ Cloud_Computing_Mindestsicherheitsanforderungen.pdf? blob=publicationfile#download=1 10 bt

11 Notizen: bt

12 codecentric AG Kölner Landstraße Düsseldorf Tel: +49 (0) Fax: +49 (0) info(at)codecentric.de blog.codecentric.de