SaaS Sicherheitsprofil für ein CRM System. Teil 1: Sicherheitsanforderungen für das SaaS CRM Modell

Transkript

1 SaaS Sicherheitsprofil für ein CRM System Teil 1: Sicherheitsanforderungen für das SaaS CRM Modell

2 CSC Deutschland Solutions GmbH Abraham-Lincoln Park Wiesbaden Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Internet: Bundesamt für Sicherheit in der Informationstechnik 2014

3 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Akteure, Objekte und Geschäftsprozesse (Use Cases) Akteure Objekte im CRM-SaaS-Modell Geschäftsprozesse des SaaS Abonnenten Geschäftsprozesse des CRM-SaaS-Dienstleisters Schutzbedarf für CRM-SaaS-Anwendungen Vertraulichkeit Datenschutz Integrität Verfügbarkeit Gefährdungen für die Bereitstellung von CRM SaaS Gefährdungen der Interaktion Gefährdungen aus der anteiligen Bereitstellung virtueller und physischer Ressourcen für je verschiedene Serviceabonnenten Gefährdungen aus der Bereitstellung verschiedener Services für Endnutzer eines Serviceabonnenten Gefährdungen durch Sub-Dienstleister Sicherheitsanforderungen Anhang Anhang A1 IETF Cloud Stack Anhang A2 Informationsspektrum einer Kundendatenbank...49 Abbildungsverzeichnis Abbildung 1: CRM Software-as-a-Service... 6 Abbildung 2: Akteure im CRM SaaS Umfeld Abbildung 3: Involvierte Systeme und Anwendungen...10 Abbildung 4: Funktionen des Kundenmanagements im CRM SaaS Modell Abbildung 5: Funktionen der SaaS Administration auf der Seite des Serviceabonnenten Abbildung 6: Aktivitäten des Cloud-Dienstleisters Abbildung 7: Besondere Aktivitäten des Cloud Dienstleisters im Management von Serviceabonnenten...16 Tabellenverzeichnis Tabelle 1: Verantwortungszuordnung im Cloud Servicemodell...5 Tabelle 2: Schutzbedarfskategorien für ein CRM-SaaS Modell...17 Bundesamt für Sicherheit in der Informationstechnik 3

4 Einleitung 1 1 Einleitung Software-as-a-Service (SaaS) verspricht den Kunden vor allem eine erhebliche Reduktion direkter und indirekter Kosten. Die Bereitstellung und das Management informationstechnischer Ressourcen (Hardware, Software, Lizenzen und Konfigurationsaufgaben), die heute unverzichtbarer Bestandteil und somit natür lich auch ein Kostenfaktor der Geschäftstätigkeit eines Unternehmens sind, werden an einen externen Dienstleister übertragen. Aus unternehmensinternen Fixkosten und variablen Betriebskosten werden variable Betriebskosten, deren Umfang ausschließlich durch den tatsächlichen Verbrauch bestimmt ist. Damit einher geht ein nicht zu unterschätzender Verlust an Kontrolle über organisatorische und technische Umstände unter denen in der Regel auch sensible Unternehmensdaten erfasst, verarbeitet und gespeichert werden. Tabelle 1: Verantwortungszuordnung im Cloud Servicemodell 1 SaaS PaaS IaaS Serviceabonnent Nutzung Nutzung Nutzung Anwendung Daten Anwendung Daten Plattform Betriebssysteme Cloud Dienstleister Anwendung Plattform Virtualisierung Daten Betriebssysteme Server Plattform Virtualisierung Speicher Betriebssysteme Server Netzwerk / Infrastruktur Virtualisierung Speicher Physische Sicherheit Server Speicher Netzwerk / Infrastruktur Physische Sicherheit Netzwerk / Infrastruktur Physische Sicherheit Ein Verlust, eine Manipulation, eine unbefugte Kenntnisnahme von Unternehmensdaten durch Dritte oder auch nur eine Störung oder gar ein Ausfall des in Anspruch genommenen Service kann zu einer erheblichen Beeinträchtigung der Geschäftsfähigkeit des Unternehmens führen. Auf der anderen Seite wird ein SaaS-Dienstleister aus ähnlichen Kostenerwägungen natürlich immer bestrebt sein, die von ihm bereitgestellten Services und Ressourcen mehreren Kunden anzubieten, um seinerseits profitabel arbeiten zu können. Der hieraus entstehende Interessenkonflikt lässt sich nur über eine sorgfältige Planung des Einsatzes von SaaS und ebenso präzise vertragliche Vereinbarungen über die Umstände sowie die Art und Weise der Nutzung der SaaS-Dienstleistung auflösen. Im Kern geht es dabei, über die Verfügbarkeit und den Leistungsgrad (Performanz) hinaus, vor allem um den Schutz und die Sicherheit von Unternehmensdaten. Davon betroffen sind sowohl Daten, die zu einem Zeitpunkt übertragen oder verarbeitet werden, wie auch Daten, die für die Dauer eines Dienstleistungsvertrages vom Dienstleister aufbewahrt (gespeichert) werden. Hieraus folgt: Von einem vertrauenswürdigen SaaS-Dienstleister darf erwartet werden, überzeugend und nachvollziehbar darzustellen, dass er imstande und willens ist, über den gesamten Cloud Stack (siehe Anhang A1 IETF Cloud Stack) hinweg, bewegte und gespeicherte Daten gegen interne und externe Angreifer sowie Verlust oder Diebstahl zu schützen, Mandanten-bezogene Daten, Serviceinstanzen, -ressourcen und -konfigurationen hinreichend zu trennen sowie dem Kunden oder in 1 Quelle: Lim, I., Coolidge, E. C., Hourani, P.: Securing Cloud and Mobility CRC Press, Boca Raton 2013, S. 138 Bundesamt für Sicherheit in der Informationstechnik 5

5 1 Einleitung seinem Auftrag agierende Dritten die Möglichkeit einzuräumen, die effektive Ausführung vertraglich vereinbarter Leistungen jederzeit zu verifizieren. Ziel des vorliegenden Dokuments (Teil eins des Sicherheitsprofils) ist, die Definition von Sicherheitsanforderungen an ein Customer Relationship Management System (CRMS), das als SaaS in einer Cloud Computing Umgebung bereitgestellt wird. Die Spezifikation von Sicherheitsanforderungen an die darunter liegenden Cloud Computing Services, also Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS), sind nicht Gegenstand der Betrachtung. Gleichwohl gehen Sicherheitsvorstellungen für PaaS und IaaS als Annahmen in die Betrachtung mit ein, aber sie bedürften einer vertieften und gesonderten Be handlung, wie die Bereitstellung und das sichere Management virtueller Ressourcen (Rechenkapazität, Netze und Netzkomponenten oder Speicher). Abbildung 1: CRM Software-as-a-Service Überblick über die beteiligten Entitäten in einem als Software-as-a-Service bereitgestellten Customer Relationship Management System. Der Administrator des Subscribers administriert über ein Self-Service Portal nutzerspezifische Konfigurationen des CRMS und die Zugriffsrechte der Endnutzer. Die Diskussion der Sicherheitsanforderungen erfolgt vor dem Hintergrund des IETF Cloud Stacks, existierender Sicherheitsstandards und Richtlinien, hier insbesondere ISO/IEC 27001, NIST SP , NIST FedRAMP, der CSA Cloud Computing Matrix und dem Eckpunktepapier des BSI Sicherheitsempfehlungen für Cloud Computing Anbieter sowie grundsätzlicher Geschäftsprozesse im SaaS-CRM-Modell. Im zweiten Teil des Sicherheitsprofils wird für die in das SaaS-CRM-System involvierten Akteure, Objekte und Kommunikationsverbindungen eine Bedrohungsanalyse nach dem STRIDE-Modell durchgeführt. STRIDE ist ein Akronym und steht für Spoofing (täuschen), Tampering (fälschen, manipulieren), Repudiation (abstreiten), Information Disclosure (aufdecken von Informationen), Denial of Service (Dienstverweigerung) und Elevation Privilege (eine unzulässige Erweitering von Rechten), und wurde 2002 von Microsoft entwickelt. Auf dieser Grundlage wird dann der Versuch unternommen, exemplarisch auf 6 Bundesamt für Sicherheit in der Informationstechnik

6 Einleitung 1 zuzeigen, wie eine Risikoanalyse für SaaS unter Berücksichtigung des gesamten Cloud Computing Stack durchgeführt werden kann, sowie Restrisiken bestimmt werden können, die Gegenstand für weitere Analysen sein sollten. Hieran anknüpfend werden technische, organisatorische und personelle Maßnahmen identifiziert und erläutert, die geeignet sind, den im zweiten Teil beschriebenen Bedrohungen angemessen zu begegnen. Anschließend werden die Maßnahmen mit einer Kreuzreferenztabelle auf die identifizierten Bedrohungen abgebildet mit dem Ziel, die Überdeckung von Maßnahmen und Bedrohungen aufzuzeigen. Bundesamt für Sicherheit in der Informationstechnik 7

7 2 Akteure, Objekte und Geschäftsprozesse (Use Cases) 2 Akteure, Objekte und Geschäftsprozesse (Use Cases) Ausgangspunkt für die Erstellung des Sicherheitsprofils im CRM-SaaS-Modell ist die Identifikation von Akteuren und Objekten (Daten, Informationssysteme) in einem Informationsverbund, die für die IT-gestützte Ausführung relevanter Geschäftsprozesse benötigt werden, um davon ausgehend für die erfassten Objekte entscheiden zu können, welchen Schutzbedarf sie bezüglich Vertraulichkeit, Integrität und Verfügbarkeit besitzen und welche Sicherheitsanforderungen an die Bereitstellung und Nutzung des Services gestellt werden müssen. 2.1 Akteure In die CRM-SaaS-Dienstleistung sind eine Reihe verschiedener Akteure involviert (siehe auch Abbildung 2). Auf der einen Seite gibt es verschiedene Serviceabonnenten (subscriber), die dieselbe Anwendung und dieselben (gemeinsamen virtuellen und physikalischen) Ressourcen nutzen, und darüber hinaus möglicher weise sogar mehrere unterschiedliche Anwendungen ein und desselben SaaS-Dienstleisters, in Anspruch nehmen. Abbildung 2: Akteure im CRM SaaS Umfeld. In diesem Profil werden mehrere Anwender von einem CRM-SaaS-Angebot betrachtet, die jeweils End-User und Administratoren ihrer CRM-Datenbank haben, sowie weitere Anwender von anderen SaaS-Angeboten des Cloud-Service-Providers (CSP). Der CSP selbst hat ebenfalls einen (oder mehrere) Administrator(en) und beauftragt ggf. auch Unterauftragnehmer. 8 Bundesamt für Sicherheit in der Informationstechnik

8 Akteure, Objekte und Geschäftsprozesse (Use Cases) 2 Auf der anderen Seite steht der Dienstleister (provider), der den verschiedenen Serviceabonnenten je verschiedene Instanzen der Anwendung(en) offeriert, die jedoch in den meisten Fällen auf denselben physischen Ressourcen ausgeführt werden. Auf der Seite des Serviceabonnenten sind zunächst zwei Gruppen von Akteuren an der Inanspruchnahme und der Bereitstellung der Dienstleistung beteiligt. Da sind zum einen die tatsächlichen Endnutzer und zum anderen IT-Administratoren des Serviceabonnenten, die über ein Managementinterface (Self-Service Portal in Abbildung 1) des Serviceproviders ein Nutzerkonto anlegen, nutzerspezifische Konfigurationen der Anwendung sowie die Allokation zusätzlicher Ressourcen (beispielsweise Rechenleistung oder Speicher) vornehmen. Auf der Seite des Providers sind es vornehmlich IT-Administratoren, die für die Bereitstellung der Dienstleistung sowohl beim Provider wie auch einem möglicherweise eingebundenen Dritten (Sub-Dienstleister)- die Konfiguration und das Management der bereitgestellten Cloud Anwendung wie auch der für die Ausführung der Anwendung erforderlichen Cloud Umgebung (Soft- und Hardware, technische und organisatorische Infrastrukturen sowie Ressourcen) bewerkstelligen und überwachen. Hinzu kommen mit Blick auf den IETF Cloud Stack (siehe dazu Abbildung 3) eine Anzahl von IT-Subsystemen und Anwendungen, sowohl auf der Seite des Serviceabonnenten wie des Serviceproviders, die an der Bereitstellung und der Nutzung des Service beteiligt sind. Auf der Seite des Serviceabonnenten sind dies vor allem Anwendungen oder Funktionen, die dem Endnutzer den Zugriff (Identitätsmanagement) und die Handhabung (Anzeige auf den Clientsystemen, Schnittstellenfunktionen zu anderen IT-Systemen, die in die Erfassung, Verarbeitung oder Speicherung von Kundendaten involviert sind) erleichtern und dem IT-Administrator das Management von Nutzerkonten, Nutzerkonfigurationen und die Allokation zusätzlicher Ressourcen ermöglichen. Die administrativen Funktionen auf der Seite des Serviceabonnenten werden im Allgemeinen durch Schnittstellenfunktionen auf der Cloud Managementebene wie das Konfigurations- und Infrastrukturmanagement der Cloud Um gebung, das Management des Servicelebenszyklus, Registrierung und Verwaltung von Nutzerkonten, das Monitoring der vereinbarten Leistungsgüte (SLA) sowie das Logging der Nutzeraktivitäten unterstützt. Das Access and Delivery Layer auf der Seite des Serviceproviders stellt Funktionen und allgemeine Infrastrukturkomponenten bereit, die dem Serviceabonnenten den Zugriff und die Nutzung des Service er möglichen. Dazu gehören sowohl Nutzerportale wie auch Servicegateways zur Steuerung und Kontrolle der Zugriffe. So genannte Inter-Cloud Funktionen stellen Infrastrukturen und Komponenten bereit, um verteilte Ressourcen oder auch die Kommunikation mit Cloud Service Drittanbietern zu ermöglichen und zu steuern. Da die Nutzung überwiegend über das Internet erfolgt, umfasst diese Schicht im Allgemeinen auch Netzwerkkomponenten, die in der Regel durch Netzprovider als beteiligte Dritte zur Verfügung gestellt werden. Das Cloud Service Layer bestimmt den Bedarf an funktionalen virtuellen und physischen Ressourcen, die für die zuverlässige Bereitstellung des Service benötigt werden, d. h.: Ressourcentyp (CPU, Arbeitsspeicher, Festplattenspeicher, usw.), Umfang der benötigten Ressourcen, Art der Bereitstellung (ausschließlich reserviert für einen Abonnenten, gemeinsam nutzbar, Transportmedien usw.), Zeitpunkt der Bereitstellung (on-demand oder in Zeitscheiben) und Dauer der Bereitstellung. Das Resource Control Layer steuert die Bindung virtueller Ressourcen hinsichtlich Zuverlässigkeit, Sicherheit und Effizienz, d. h. die Kontrolle des Zugriffs auf zugewiesene Ressourcen, die Verwaltung eines Ressourcenpools, mit dem Ziel einer effizienten Auslastung physischer Ressourcen, Bundesamt für Sicherheit in der Informationstechnik 9

9 2 Akteure, Objekte und Geschäftsprozesse (Use Cases) die Kontrolle verteilter Ressourcen über unterschiedliche Cloud Umgebungen oder Standorte, die Verfügbarkeit der Ressourcen entsprechend dem vereinbarten Servicelevel und das Servicelebenszyklus-Management. Abbildung 3: Involvierte Systeme und Anwendungen Die Abbildung veranschaulicht in den Service involvierte Systeme und Anwendungen der Cloud Umgebung aus dem Cloud-Referenzmodells der IETF. Die blau eingefärbten Teile sind im ursprünglichen IETF-Cloud-Stack weiter detailliert, werden aber hier lediglich als Ressource für SaaS einbezogen und nur bei Bedarf weiter betrachtet. Das Ressource Abstraction and Virtualization Layer schließlich bildet die tatsächlichen physikalischen Komponenten auf virtuelle Einheiten (virtuelle CPUs, Speicher, Netzinfrastrukturen und -komponenten, usw.) ab und verbirgt auf diese Weise technische Details, die für den Serviceabonnenten, zumal im SaaS-Modell, ohnehin kaum von Belang sind. 10 Bundesamt für Sicherheit in der Informationstechnik

10 Akteure, Objekte und Geschäftsprozesse (Use Cases) 2 Die Cloud Management Plane stellt Funktionen für die Administration und Überwachung des Cloud Umgebung bereit. Dazu gehören vor allem: die automatische Einbindung (der Einsatz) verschiedener Cloud Komponenten auf der Grundlage von Konfigurationsdaten und Einsatzrichtlinien, die Registrierung und Verwaltung von Services, Überwachungs- und Alarmfunktionen hinsichtlich des operativen Zustands der Cloud Umgebung, d. h. der Nutzung des Cloud Service, der Einhaltung der vereinbarten Leistungsparameter sowie des Zugriffs und des Auftretens sicherheitsrelevanter Ereignisse. 2.2 Objekte im CRM-SaaS-Modell Für eine Schutzbedarfs- und Bedrohungsanalyse eines Informationsverbundes von herausragender Bedeutung sind Daten, die innerhalb des Informationsverbundes erfasst, verarbeitet, transportiert und gespeichert werden. Für ein als SaaS ausgelegtes CRMS lassen sich vor allem die folgenden Datenobjekte ausmachen: Kundendaten des Serviceabonnenten, Service-Konto-Daten des Serviceabonnenten, Konfigurationsdaten der Anwendung (sowohl auf Nutzer- wie auf Providerseite), Konfigurationsdaten der Cloud Umgebung, Kryptografische Daten (Schlüssel und Zertifikate) für die Verschlüsselung der Kommunikation und ggf. auch für die Verschlüsselung gespeicherter Daten, Protokolle (Logs) über Zugriffe, die Nutzung, die Verfügbarkeit und die Performanz sowie sicherheitsrelevante Ereignisse und deren Behandlung, Auditberichte über die Einhaltung von Standards und Richtlinien sowie die Implementierung und Durchsetzung eines nachhaltigen und wirksamen Informations-Sicherheits-Managements. 2.3 Geschäftsprozesse des SaaS Abonnenten In einem CRM-System werden die im Unternehmen vorhandenen Kundendaten unter einer einheitlichen Perspektive mit dem Ziel zusammengeführt, den Mitarbeitern fundierte, aktuelle, vollständige und entscheidungsrelevante Informationen über die Kunden zur Verfügung zu stellen. Im Mittelpunkt steht der Aufbau einer einheitlichen Kundendatenbank, auf die alle Unternehmensbereiche zugreifen und mit der sämtliche kundenbezogenen Prozesse gesteuert werden können. Die Unterstützung von Mitarbeitern, die im Rahmen von CRM in die Gestaltung der Anbieter-Ab nehmer-beziehung involviert sind, erfolgt in der Regel durch CRM Front-Office Systeme. Diese stellen Funktionalitäten im Bereich der Datenerfassung, der Datenverwaltung, der Datenverarbeitung und der Datenspeicherung, des Wissens- und Informationsmanagements und der Dialogunterstützung bereit. Hierzu gehören (siehe auch Abbildung 4): die Erfassung oder auch Ergänzung von Kundendaten und Geschäftsbeziehungen, die Bearbeitung kundenspezifischer Angebote, die Initialisierung kundenspezifischer Marketingaktivitäten, Bundesamt für Sicherheit in der Informationstechnik 11

11 2 Akteure, Objekte und Geschäftsprozesse (Use Cases) die Bearbeitung von Geschäftsvereinbarungen (Zahlungs- und Liefervereinbarungen) die Löschung von Kundendaten, aber auch die geschäftspolitische und strategische Analyse von Kundendaten wie die Bestellhistorie, Zahlungsbedingungen und Zahlungsverhalten, oder soziale Kontakte und Netzwerke. Abbildung 4: Funktionen des Kundenmanagements im CRM SaaS Modell. Jede Tätigkeit des Endbenutzers am CRMS beginnt mit einem Login und endet mit einem Logout. Im Falle eines erfolgreichen Login kann der Endnutzer im CRMS neue Kundendaten hinzuzufügen, vorhandene Kundendaten bearbeiten und analysieren. Einige involvierte Aktivitäten im Anwendungsfall Kundendaten bearbeiten sind links unten dargestellt. Rechts unten sind einige, in der Kundendatenanalyse involvierte Aktivitäten mit aufgeführt. Die Elemente SEU-0Y sind eindeutige Bezeichner für spätere Referenzen im Rahmen der Risikoanalyse. Die Konfiguration dieser Funktionen, einschließlich der hierfür erforderlichen Rollen und Zugriffsrechte, erfolgt vornehmlich über ein durch den SaaS-Dienstleister bereitgestelltes Management-Interface. Darin 12 Bundesamt für Sicherheit in der Informationstechnik

12 Akteure, Objekte und Geschäftsprozesse (Use Cases) 2 kann der IT-Administrator des Serviceabonnenten Nutzerkonten anlegen Kontendaten ändern, oder auch Nutzerkonten löschen. Darüber hinaus stellt ihm das Management Interface Funktionen zur Verfügung, mit denen er Rollen an legen, verwalten und Nutzern zuordnen kann, sowie den Nutzern elektronische Identitätsdaten und Zu griffsrechte zuweisen. Abbildung 5: Funktionen der SaaS Administration auf der Seite des Serviceabonnenten. Jede Tätigkeit eines Administrators aufseiten des Abonnenten am CRMS beginnt mit einem Login und endet mit einem Logout. Für den Fall eines erfolgreichen Login kann der Administrator in der Regel über ein Managementinterface unter anderem die Anwendung selbst für die Anwender konfigurieren sowie andererseits die Anwender administrieren. Zur Administration der Endnutzer gehört, neue Nutzerkonten anzulegen, zu verändern oder zu löschen und die Rechte eines jeden Anwenders durch ein Rollen- und Identitätsmanagement zu steuern. In die letztere Aktivität ist die Konfiguration der sicheren Authentisierung (Schlüsselmanagement etc.) des Abonnenten mit inbegriffen. Die Elemente SAD-0Y sind eindeutige Bezeichner für spätere Referenzen im Rahmen der Risikoanalyse. Bundesamt für Sicherheit in der Informationstechnik 13

13 2 Akteure, Objekte und Geschäftsprozesse (Use Cases) Eine wesentliche Sicherheitsanforderung an den SaaS-Dienstleiter ist deshalb ein hinreichend sicheres Identitätsmanagement für die Abonnenten und Mitarbeiter des Abonnenten mit Zugriff auf das CRMS, das eine angemessen sichere Authentisierung durchsetzt sowie eine Eskalation von Zugriffsrechten wie auch eine Kompromittierung, die Fälschung oder den Diebstahl elektronischer Identitäten verhindert. Diese Anforderung spiegelt sich auch in Abbildung 6 wieder, die wesentliche Geschäftsprozessaktivitäten im Kontext des Managements verschiedener Dienstleistungsabonnenten aus der Perspektive des SaaS-Dienstleisters veranschaulicht. 2.4 Geschäftsprozesse des CRM-SaaS-Dienstleisters Wesentliche und in den Geschäftsprozessaktivitäten abzubildende Herausforderung im CRM-SaaS-Kontext ist die Orchestrierung sämtlicher für die reibungslose und sichere Funktion des CRMS erforderlichen Services und Komponenten. Dazu gehören (siehe auch Abbildung 6 und Abbildung 7): Abbildung 6: Aktivitäten des Cloud-Dienstleisters. Diese beinhalten (in der Abbildung links) die Anwendung bereit zu stellen, was die Orchestrierung involvierter Cloud Services und das Cloud-Management ebenso einschließt (beispielsweise auch die Segmentierung der physischen und logischen Ressourcen), wie auch die Verwaltung der Nutzer (rechts oben) und die Instanziierung und das Monitoring der SaaS-Anwendung umfasst. Die Elemente CSP-0Y sind eindeutige Bezeichner für spätere Referenzen im Rahmen der Risikoanalyse. 14 Bundesamt für Sicherheit in der Informationstechnik

14 Akteure, Objekte und Geschäftsprozesse (Use Cases) 2 eine zuverlässige Planung der für die Bereitstellung des Service erforderlichen Systeme, Komponenten und Ressourcen als Grundlage für ein nachhaltiges Kapazitätsmanagement, die sichere Konfiguration und der sichere Betrieb sämtlicher in die Bereitstellung des Service involvierten Systeme, Komponenten und Ressourcen, die sichere und zuverlässige (dynamische) Allokation mandantenbezogener physikalischer Ressourcen, die zuverlässige Segmentierung und Isolation mandantenbezogener virtueller und physikalischer Ressourcen, die Durchsetzung sicherer Authentisierungsprozesse und nachweisliche Protokollierung der Zugriffe (Nutzung), eine strikte Aufgabentrennung der in die Bereitstellung des Service involvierten Mitarbeiter und die Verhinderung einer Eskalation von Zugriffsrechten auf Systeme und Daten, der Schutz von (bewegten und gespeicherten) Daten vor Verlust, Diebstahl, unbefugter Kenntnisnahme und Manipulation, ggf. durch die Bereitstellung kryptografischer Maßnahmen und Funktionen, die Verhinderung fahrlässiger oder auch böswilliger Aktionen durch andere Mandanten, externer oder interner Angreifer, ein zuverlässiges und nachvollziehbares Konfigurations-, Change- und Update-Management, die zuverlässige Überwachung (Monitoring) und Aktualisierung von Sicherheitsmaßnahmen, die zuverlässige Erfassung und Analyse sicherheitsrelevanter Ereignisse sowie hieraus folgend die Gewährleistung unverzüglicher und angemessener Reaktionen zur Abwehr sicherheitsrelevanter Ereignisse oder Bedrohungen, die zuverlässige Überwachung des Betriebs und der vereinbarten Leistungsparameter sowie die Gewährleistung eines zuverlässigen Notfallmanagements, das imstande ist, im Falle einer Störung oder eines Ausfalls die Fortführung der Geschäftstätigkeit des Serviceabonnenten mit ggf. geringeren Ressourcen ermöglicht und darüber hinaus das System wieder in einen stabilen Zustand zu versetzen, das zuverlässige Management von Sub-Dienstleistern. Bundesamt für Sicherheit in der Informationstechnik 15

15 2 Akteure, Objekte und Geschäftsprozesse (Use Cases) Abbildung 7: Besondere Aktivitäten des Cloud Dienstleisters im Management von Serviceabonnenten. Dazu zählt insbesondere das Management und der zuverlässige Schutz von elektronischen Identitäten und Zugriffsrechten, die Durchsetzung einer sicheren Authentisierung, ein zuverlässiges Konfigurations- und Update-Management sowie eine zuverlässige Löschung von Daten des Serviceabonnenten bei Vertragsende. Die Elemente CSP-0Y sind eindeutige Bezeichner für spätere Referenzen im Rahmen der Risikoanalyse. Im CRM-Umfeld von besonderem Interesse sind darüber hinaus die Einhaltung von Datenschutzrechten und vertraglicher Regelungen zwischen dem Serviceabonnenten und seinen Kunden, die Geheimhaltung und des Schutzes von Kundendaten betreffend und die sichere Löschung von Daten des Serviceabonnenten bei Vertragsende oder nach Aufforderung. 16 Bundesamt für Sicherheit in der Informationstechnik

16 Schutzbedarf für CRM-SaaS-Anwendungen 3 3 Schutzbedarf für CRM-SaaS-Anwendungen Der Schutzbedarf des Informationsverbundes SaaS CRM bemisst sich vor allem an den möglichen Schäden, die mit einer Beeinträchtigung oder Kompromittierung der betroffenen Anwendungen und Services und damit der jeweiligen Geschäftsprozesse des Nutzers der Dienstleistung verbunden sind. Im Folgenden wird der Schutzbedarf bezüglich Vertraulichkeit, Verfügbarkeit und Integrität unterschieden und in drei Stufen (normal, hoch, sehr hoch) in Anlehnung an den IT-Grundschutz (BSI Standard 100-2) unterteilt. Dies ist in Tabelle 2 veranschaulicht. Generell muss hier, wie im gesamten Sicherheitsprofil, auf den Blickwinkel der Schutzbedarfsfeststellung geachtet werden. Hier, wie im gesamten Sicherheitsprofil, erfolgt die Sicherheitsanalyse (inklusive der Maßnahmenauswahl) maßgeblich aus dem Blickwinkel des Cloud-Anbieters und NICHT aus der Sicht des Cloud-Abonnenten. Der Abonnent sollte immer entscheiden, ob er einen Cloud-Dienst nutzt und wie zuvor bei jedem Outsourcing-Vorhaben sollte diese Entscheidung gut durchdacht sein. Wenn eine Institution überlegt, CRM als Cloud-Dienstleistung zu verwenden und dabei den Schutzbedarf der Daten als sehr hoch einstuft, also eine Offenlegung (Vertraulichkeit), eine ungewollte Veränderung (Integrität) oder Nichtverfügbarkeit über einen Zeitraum von mehr als 53 Minuten 2 über ein Jahr (im 24x7x365-Modus) kumuliert fundamentale gesetzliche Verstöße, Gefahr für Leib und Leben und ruinöse, existenzbedrohende Folgen haben kann, dann sollte für CRM die Entscheidung lauten, nicht in die Cloud zu gehen. Der Schutzbedarf aus der Perspektive des Cloud-Anbieters wird in den nachfolgenden Kapiteln näher erläutert. Dabei wird in der Regel von einem Schutzbedarf bis hoch ausgegangen. Je kleiner der Cloud-Anbieter desto großer ist der Schaden, der durch Kundenverlust entsteht, sodass gerade kleinere Cloud-Anbieter ihren Schutzbedarf mit sehr hoch angeben könnten. Da dieses Sicherheitsprofil aber für den gesamten Markt von CRM-SaaS-Anbieter gedacht ist, wurde mit der Wahl des Schutzbedarfs versucht, einen möglichst großen Teil des Marktes zu adressieren. Tabelle 2: Schutzbedarfskategorien für ein CRM-SaaS Modell Schutzbedarf Vertraulichkeit Integrität Verfügbarkeit normal Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen bzw. Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der betroffene Cloud Service Abonnent (CSA) in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. Eine Beeinträchtigung Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der betroffene CSA in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. Eine Beeinträchtigung der persönlichen Unversehrtheit erscheint nicht möglich. Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen Die Beeinträchtigung würde von den betroffenen CSA als tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit ist größer als 24 Stunden. Eine geringe Ansehensoder Vertrauensbeeinträchtigung ist für den CSP zu erwarten. 2 Wie diese Zeitangabe zustande kommt, wird in Kapitel 3.3 erläutert. Bundesamt für Sicherheit in der Informationstechnik 17

17 3 Schutzbedarf für CRM-SaaS-Anwendungen Schutzbedarf Vertraulichkeit Integrität Verfügbarkeit der persönlichen Unversehrtheit scheint nicht möglich. Eine geringe Ansehensoder Vertrauensbeeinträchtigung des CSP ist zu erwarten. Der finanzielle Schaden bleibt für den Cloud Service Provider (CSP) tolerabel. Hoch Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen Vertragsverletzungen mit hohen Konventionalstrafen Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der betroffene CSA in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. Eine breite Ansehensoder Vertrauensbeeinträchtigung für den CSP ist zu erwarten. Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend. Sehr hoch Fundamentaler Verstoß gegen Vorschriften und Gesetze Vertragsverletzungen, Die Beeinträchtigung würde von den betroffenen CSA als tolerabel eingeschätzt werden. Eine geringe Ansehensoder Vertrauensbeeinträchtigung des CSP ist zu erwarten. Der finanzielle Schaden bleibt für den CSP tolerabel. Vertragsverletzungen mit hohen Konventionalstrafen Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der betroffene CSA in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt. Eine breite Ansehensoder Vertrauensbeeinträchtigung für den CSP ist zu erwarten. Der Schaden bewirkt beachtliche finanzielle Verluste für den CSP, ist jedoch nicht existenzbedrohend. Vertragsverletzungen, deren Haftungsschäden ruinös sind. Der finanzielle Schaden bleibt für den CSP tolerabel. Vertragsverletzungen mit hohen Konventionalstrafen. Die Beeinträchtigung würde von einzelnen betroffenen CSA als nicht tolerabel eingeschätzt. Eine breite Ansehensoder Vertrauensbeeinträchtigung für den CSP ist zu erwarten. Der Schaden bewirkt beachtliche finanzielle Verluste für den CSP, ist jedoch nicht existenzbedrohend. Vertragsverletzungen, deren Haftungsschäden ruinös sind. 18 Bundesamt für Sicherheit in der Informationstechnik

18 Schutzbedarf für CRM-SaaS-Anwendungen 3 Schutzbedarf Vertraulichkeit Integrität Verfügbarkeit deren Haftungsschäden ruinös sind. Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit der betroffenen Kunden des CSA gegeben ist. Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich. Gefahr für Leib und Leben Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit der betroffenen Kunden des CSA gegeben ist. Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich. Gefahr für Leib und Leben Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Eine landesweite Ansehensoder Vertrauensbeeinträchtigung für den CSP, eventuell sogar existenzgefährdender Art, ist denkbar. Der finanzielle Schaden ist für die Institution existenzbedrohend. Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit ist kleiner als eine Stunde. Eine landesweite Ansehensoder Vertrauensbeeinträchtigung, eventuell sogar existenzgefährdender Art, ist denkbar. Der finanzielle Schaden ist für den CSP existenzbedrohend. 3.1 Vertraulichkeit Datenschutz Für das Schutzziel Vertraulichkeit muss der Schutz von Informationen vor der Kenntnisnahme durch unbefugte Personen gewährleistet werden. Ein Customer Relationship Management integriert abteilungsübergreifend sämtliche kundenbezogenen Prozesse in Marketing, Vertrieb, Kundendienst, Produktion sowie Forschung und Entwicklung. Ausdrückliches Ziel ist es, mithilfe eines CRM kundenbezogene Prozesse zu steuern, bestehende Kundenkontakte zu erhalten, auszubauen, Neukunden zu gewinnen und auf diese Weise Wettbewerbsvorteile zu erlangen. Hieraus begründet sich zwangsläufig ein erhebliches Interesse, zu jedem Zeitpunkt möglichst viele Informationen über Kunden bereitzuhalten, die für das zu erwartende bzw. erwünschte Kaufverhalten relevant sind oder auch nur sein könnten. Und natürlich lässt die Kenntnis von Ereignissen oder Zielen aus dem geschäftlichen, beruflichen oder privaten Umfeld (auch von Firmen kunden) Rückschlüsse auf Produktwünsche, Rentabilität oder mögliche Cross-Selling-Potenziale zu (siehe dazu auch Anhang A 2 Informationsspektrum einer Kundendatenbank). Für die Gewährleistung der Vertraulichkeit eines CRMS als SaaS ist daher vor allem der Schutz von Kundendaten des Serviceabonnenten vor unbefugter Kenntnisnahme von Belang. Eine unbefugte Kenntnisnahme von Kundendaten kann für Bundesamt für Sicherheit in der Informationstechnik 19

19 3 Schutzbedarf für CRM-SaaS-Anwendungen den Serviceabonnenten wie den Serviceanbieter erhebliche Ansehensverluste und in der Folge auch wirtschaftliche Konsequenzen haben, beispielsweise durch die Androhung strafrechtlicher oder zivilrechtlicher Zwangsmaßnahmen. Dies gilt zunächst ungeachtet der notwendigen datenschutzrechtlichen Unterscheidung zwischen Angaben zu natürlichen Personen bzw. Angaben über Firmenkunden. Soweit es sich um personenbezogene Daten handelt, d. h. um Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, sind diese in Deutschland grundsätzlich durch das BDSG geschützt. Nach 28 Abs. 1, Satz 1, Nr. 1 ist das Erheben, Speichern, Ver ändern oder Übermitteln personenbezogener Daten oder ihre Nutzung für die Erfüllung eigener Ge schäftszwecke (nur) zulässig, wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient 3. Ein über diese Zweckbestimmung hinausgehendes berechtigtes Interesse an der Speicherung und Nutzung von Daten kann nach 28 Abs. 1 Satz 1 Nr. 2 vorliegen, wenn dies der Werbung neuer Kunden oder aber der Marktbeobachtung dient, oder wenn im Unternehmen bereits existierende Kundendaten ausgewertet werden sollen, um auf dieser Grundlage die Kundenbeziehungen durch weitere Angebote zu vertiefen 4. In jedem Fall sind nach 28 Abs. 1 Satz 2 die Zwecke für die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. Schutzwürdige Interessen des Betroffenen dürfen dem selbstverständlich nicht entgegenstehen. Schutzwürdige Interessen sind beispielsweise immer dann zu unterstellen, wenn sensible Daten aus unterschiedlichen Vertrags zusammenhängen ohne Kenntnis und Zustimmung des Betroffenen zusammengeführt und genutzt werden sollen, beispielsweise mit der Erstellung von Kundenprofilen aus unterschiedlichen Datenquellen. Für die Einbeziehung eines Dritten in die Verarbeitung personenbezogener Daten sind nach deutschem Datenschutzrecht grundsätzlich zwei Ausgestaltungen möglich: die Datenübermittlung und die Auftragsdatenverarbeitung (ADV). Bei der Datenübermittlung wird der Cloud-Dienstleister als eigenverantwortlicher Dritter und weisungsunabhängiger Dienstleister tätig. Dies dürfte für SaaS CRM ausgeschlossen sein. Aus rein technischer Perspektive ist Cloud Computing Auftragsdatenverarbeitung (ADV). Datenschutzrechtliche Grundlage hierfür ist ein nach Maßgabe des 11 BDSG geschlossener Vertrag über die ADV. Eine Interessenabwägung ist dann nicht erforderlich, was zur Folge hat, dass gemäß 3 Abs. 8 BDSG der Auftragsdatenverarbeiter nicht als Dritter i. S. d. BDSG gilt und damit eine Übertragung an diesen daten schutzrechtlich keine Übermittlung darstellt (Privilegierungswirkung 5 ). Grundlegende Voraussetzung für eine ADV ist, dass der Auftragsdatenverarbeiter in Bezug auf den Umgang mit personenbezogenen Daten strikt weisungsgebunden und ohne eigenen Entscheidungsspielraum verfährt. 6 Die Kehrseite der datenschutzrechtlichen Privilegierung der ADV ist daher, dass die Verantwortlichkeit des Servicenutzers für die Einhaltung des Datenschutzrechtes auch in Bezug auf die Tätigkeit des Cloud-Dienstleisters (gem. 11 Abs. 1 BDSG) erhalten bleibt. Gemäß Art. 2 c) der EU-DSRL ist verantwortlich, wer über die Zwecke und Mittel der Verarbeitung entscheidet. Die Auslagerung von Daten, ihrer Verarbeitung und Speicherung hat also nicht auch eine Auslagerung der Verantwortlichkeit zur Folge. Nach 11 Abs. S. 2 Nr. 6 BDSG ist deshalb in dem Vertrag über die ADV ebenfalls zwingend zu regeln, ob der 3 Hat die datenerhebende Stelle ihren Sitz in einem Drittland, findet das BDSG immer auch auf Datenerhebungen und Datenverarbeitungen in Deutschland Anwendung, auch wenn die Stelle ausschließlich von ihrem Heimatland agiert. Problematisch wird es, wenn die Datenerhebung, Verarbeitung und Speicherung auf weltweit zugänglichen und nicht in Deutschland betrieben Internetseiten erfolgt. 4 Bizer, J.: Datenschutz im Data Warehouse Die Verwendung von Kunden- und Nutzerdaten zu Zwecken der Markt forschung. In: Horster, P., Fox, D. (Hrsg.) DuD Konzepte, Realisierungen, rechtliche Aspekte, Anwendungen, Braun schweig/wiesbaden 1999, S , zitiert nach Melchior, A.: CRM und Datenschutz, Akademiker Verlag, Saarbrücken 2012, S Ein in der Praxis wesentlicher Ausschluss der Privilegierungswirkung ergibt sich aus der Beschränkung des freien Datenflusses auf den EU-/EWR-Binnenbereich. Danach ist eine ADV mit einem Cloud-Dienstleister in einem sog. Drittstaat kraft Gesetzes ausgeschlossen ( 3 Abs. 8 S. 3 BDSG). Drittstaaten sind hierbei alle Staaten, welche nicht Mitglied der EU oder des EWR sind. 6 Ein Vertrag über die ADV muss wegen 11 Abs. 5 BDSG selbst dann abgeschlossen werden, wenn der externe Dritte zwar keine Datenverarbeitung vornehmen soll, aber bei seiner Tätigkeit für den Auftraggeber ein Zugriff auf personenbezogene Daten tatsächlich nicht ausgeschlossen werden kann (siehe Eckhardt, J.: Datenschutz im Cloud Computing aus Anbietersicht. In: Borges, G., Schwenk, J. (Hrsg.): Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, Springer Verlag Berlin-Heidelberg 2012, S Bundesamt für Sicherheit in der Informationstechnik

20 Schutzbedarf für CRM-SaaS-Anwendungen 3 Cloud-Dienstleister Subunternehmer einsetzen darf. Denn, der Nutzer der Cloud-Dienstleistung haftet gegenüber einem Geschädigten auch für Fehler durch Subunternehmer. Nach 11 Abs. 2 S. 2 Nr. 1 und Nr. 10 BDSG sind darüber hinaus sowohl die Laufzeit des Vertrages als auch die Löschung von Daten beim Auftragsdatenverarbeiter zum Vertragsende vertraglich zu regeln. Aus technischer Sicht sind territoriale Grenzen im Cloud Computing natürlich unerheblich. Für das geltende Recht ist dagegen der Ort der Verarbeitung relevant. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) stellt daher zu Recht die Frage, wie eine verantwortliche Stelle ihrer Verantwortung gerecht werden will, wenn Serverkapazitäten ad hoc und ggf. sogar grenzüberschreitend ausgewählt werden. 7 Nach Ansicht des Deutschen Anwaltsvereins ist deshalb Cloud Computing auch nicht mit den EU-Datenschutzrichtlinien vereinbar, wenn die Verarbeitung auf Servern außerhalb der EU erfolgt. 8 Der Versuch, den Ort der Verarbeitung auf einfache Weise feststellbar zu machen, wird durch technische Datenübertragungsprotokolle indes nicht unterstützt. Eine Reihe von Cloud Dienstleistern bieten daher sog. Regionalgarantien an, d. h., dass Daten, die in einem europäischen Bereich der Cloud verarbeitet werden, diesen nicht verlassen. 9 Dies wird freilich unterlaufen, wenn beispielsweise Administratoren aus einem nicht-europäischen Wirtschaftsraum auf europäische Daten zugreifen können. Vor diesem Hintergrund muss der Schutz von Kundendaten natürlicher Personen bei der Erfassung, Übermittlung, Verarbeitung und Speicherung durch den Cloud Service Provider im Sinne de r oben genannten Klassifizierung hinsichtlich der Vertraulichkeit zumindest als hoch eingestuft werden. Eine unbefugte Kenntnisnahme oder Veränderung durch Dritte muss nach Maßgabe zu erwartender Bedrohungsszenarien ausgeschlossen werden können. Daten juristischer Personen (Firmendaten) unterliegen nicht dem Datenschutzrecht. Dessen ungeachtet kann auch hier wie ein Blick auf die Tabelle in Anhang A2: Informationsspektrum einer Kundendatenbank zeigt eine unzulässige Kenntnisnahme oder Manipulation von Kundendaten zu einer erheblichen Beeinträchtigung des Ansehens und des Vertrauens in das Geschäftsgebaren des Unternehmens, und in der Folge ggf. zu erheblichen finanziellen Verlusten führen, was natürlich auf das Ansehen und das Vertrauen in das Geschäftsgebaren des Service Provider nicht ohne Auswirkungen bleiben dürfte. Vorstellbar sind auch erhebliche finanzielle Auswirkungen auf den Provider, sofern Haftungsansprüche an den Service abonnenten zivilrechtlich an den Serviceprovider durchgereicht werden. Folglich muss auch für diese Daten ein hoher Schutzbedarf geltend gemacht werden. Das betrifft auch die Zugriffs- und Konfigurationsdaten von (virtuellen und physischen) Komponenten und Services, Kommunikationsverbindungen oder Logs eines CRM Systems. Eine unzulässige Kenntnisnahme oder Manipulation kann zu einer Gefährdung führen, die ihrerseits die Ausspähung von Kundendaten ermöglicht oder die Verfügbarkeit des CRM in erheblichem Umfang beeinträchtigt. 3.2 Integrität Wie bereits ausgeführt integriert CRM abteilungsübergreifend, sämtliche kundenbezogenen Prozesse in Marketing, Vertrieb, Kundendienst, Produktion sowie Forschung und Entwicklung mit dem Ziel, mit Hilfe von CRM bestehende Kundenkontakte zu erhalten, auszubauen, Neukunden zu gewinnen und auf diese Weise Wettbewerbsvorteile zu erlangen. Die Manipulation von Kundendaten kann dazu führen, dass bestehende Kundenkontakte abbrechen, Lieferungen nicht mehr oder nicht rechtzeitig ausgeführt, Kundenwünsche oder Erwartungen im Vertrieb, im Kundendienst, in der Produktion und Entwicklung nicht oder ungenügend berücksichtigt werden können. Die Folgen sind ein erheblicher Ansehens- und Vertrauensverlust in die Tätigkeit des Serviceproviders mit ggf. beachtlichen wirtschaftlichen Auswirkungen. Der Schutzbedarf hinsichtlich der Integrität von Kundendaten muss daher ebenfalls als hoch bewertet werden. 7 Siehe unter 8 Siehe unter zitiert nach Gerber, S., Thiele, P., Zimmer, W.: Cloud Computing in der Öffentlichen Verwaltung? In: Krallmann, H, Zapp, A.: Bausteine einer vernetzten Verwaltung, Erich-Schnidt-Verlag Berlin 2012, S. 232 Fn Hansen, M.: Datenschutz im Cloud Computing In: Borges, G., Schwenk, J. (Hrsg.): Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, Springer Verlag Berlin-Heidelberg 2012, S. 91 Bundesamt für Sicherheit in der Informationstechnik 21

21 3 Schutzbedarf für CRM-SaaS-Anwendungen Ebenso kann die Manipulation von Accountdaten des Servicenehmers bewirken, dass Zugriffe auf das CRM-System nicht mehr oder nur mit eingeschränkten Zugriffsrechten möglich sind oder Unbefugten Zugriffsrechte auf Kundendaten zu verschaffen. Letzteres könnte gleichfalls dazu genutzt werden, Kundendaten zu manipulieren, auszuspähen oder zu stehlen. In diesem Falle wirkt sich eine Verletzung der Integrität auch auf die Vertraulichkeit aus. Der Schutzbedarf von Accountdaten auf das CRM System muss daher hinsichtlich der Integrität gleichfalls als hoch eingeschätzt werden. 3.3 Verfügbarkeit Für die drei Schutzbedarfskategorien können einzig bei der Verfügbarkeit konkrete Zeiten angegeben werden, weshalb hier von der eher qualitativen Einschätzung aus Tabelle 2 abgewichen wird. Hier werden die Verfügbarkeitsklassen (VKs) des Hochverfügbarkeitskompendiums des BSI und deren Abbildung auf die Schutzbedarfsfeststellung zugrunde gelegt. Dabei wird der Ausfall als kumulierte Nichtverfügbarkeit über ein Jahr bei einer Servicezeit von 24x7x365 angegeben. Nach dieser Klassifikation bedeutet Schutzbedarf normal (VK 1) eine 99%-ige Verfügbarkeit und impliziert, dass der Service kumuliert über ein Jahr höchstens 88 Stunden ausfällt. Hoher Schutzbedarf bei Verfügbarkeit (VK 2 oder 99,9% Verfügbarkeit) bedeutet, dass der Service kumuliert über ein Jahr nicht länger als 9 Stunden ausfällt. Sehr hoher Schutzbedarf (VK 3 oder 99,99% Verfügbarkeit) bedeutet, dass der Service kumuliert über ein Jahr nicht länger 53 Minuten ausfällt. Über den sehr hohen Schutzbedarf hinaus enthält das Hochverfügbarkeitskompendium noch die VK 4 (99,999% Verfügbarkeit), die impliziert, dass der Service über das Jahr kumuliert nicht länger als 6 Minuten ausfällt. Bei noch kürzeren kumulierten Ausfallzeiten (VK 5) spricht man von Disaster-toleranter Verfügbarkeit, bei der jedoch sinnvoll keine Zeit mehr angegeben werden kann. Der Ausfall eines CRM Systems führt zwangsläufig dazu, dass die Steuerung kundenbezogener Prozesse zumindest zeitweilig oder auch gänzlich behindert oder gar verhindert wird. Auch in diesem Fall können die Auswirkungen für den Serviceabonnenten Ansehens- oder Vertrauensverluste oder auch der Abbruch von Kundenkontakten sein. Die Festlegung der Verfügbarkeit im Allgemeinen unterliegt der Einschätzung des Serviceabonnenten und ist damit Gegenstand vertraglicher Vereinbarungen über die Leistungsgüte eines SaaS CRMS. Für dieses Schutzprofil wird bei CRM der Schutzbedarf bei Verfügbarkeit als hoch eingestuft. 22 Bundesamt für Sicherheit in der Informationstechnik

22 Gefährdungen für die Bereitstellung von CRM SaaS 4 4 Gefährdungen für die Bereitstellung von CRM SaaS Obwohl die SaaS-Anwendung aus der Perspektive des Abonnenten sich wie eine monolithische Softwarekomponente verhält, kann in der Regel nicht ausgeschlossen werden, dass sie tatsächlich in einer Multi-Provider Architektur implementiert ist, d. h. der SaaS Anbieter selbst sich für die Ausführung der Anwendung externer Ressourcen (beispielsweise Rechenleistung, Speicherkapazitäten oder auch Netzdienstleistern) bedient. Vor diesem Hintergrund müssen für das SaaS Servicemodell zumindest folgende Gefährdungsquellen in Betracht gezogen werden: Gefährdungen, in der Interaktion des Servicedienstleiters mit dem Servicenutzer, Gefährdungen, die aus der Bereitstellung anteilig genutzter physischer Ressourcen durch je verschiedene Serviceabonnenten entstehen, Gefährdungen, die aus der Bereitstellung je verschiedener SaaS Services eines Dienstleisters für die Endnutzer ein und desselben Serviceabonnenten entstehen, und Gefährdungen, die aus der Zusammenarbeit des Servicedienstleisters mit Vertragspartnern (Sub-Dienstleistern) des Dienstleisters entstehen. 4.1 Gefährdungen der Interaktion Zu den Gefährdungen in der Interaktion des Servicenutzers und des Servicedienstleiters gehören: 1. der Ausfall oder die Behinderung des Service ausgelöst durch unerwartete / unvorhergesehene Ereignisse wie straf- oder zivilrechtliche Zwangsmaßnahmen, elementare Gefährdungen wie die Zerstörung (der Verlust) physischer Ressourcen durch Feuer, Wasser oder katastrophalen Ereignissen im Umfeld, der Ausfall oder die Störung von Kommunikations- und Versorgungsnetzen oder sonstiger physischer Infrastrukturen, der Ausfall oder die Störung des Betriebs von Sub-Dienstleistern 2. der Ausfall oder die Behinderung des Service ausgelöst durch organisatorische Mängel wie: fehlende oder ungenügende Regelungen und Dokumentationen zur Aufrechterhaltung des ordnungsgemäßen Betriebs und der damit einhergehenden Zuständigkeiten (separation of duties), fehlendes oder unzureichendes Informationssicherheits-Management, Fehlen von Sicherheitsrichtlinien und eine ungenügende Kontrolle ihrer Umsetzung, die unsichere Administration von Anwendungen ausgelöst durch fehlende oder ungenügende Regelungen und Dokumentationen zur Aufrechterhaltung des ordnungsgemäßen Betriebs und der damit einhergehenden Zuständigkeiten sowie ein fehlendes oder unzureichendes Informations-Sicherheits-Management, eine ungenügende Sicherheitsüberprüfung und ungenügende Schulung der Mitarbeiter in Sicherheitsfragen, fehlendes oder unzureichendes Konfigurations- und Änderungsmanagement, fehlendes oder unzureichendes Management von kryptografischen Material, fehlende oder unzureichende Kontrolle des Zutritts zu schutzbedürftigen Räumen fehlende oder ungenügende Auswertung von Protokolldaten über den ordnungsgemäßen Betrieb und sicherheitsrelevanten Ereignissen, Bundesamt für Sicherheit in der Informationstechnik 23

23 4 Gefährdungen für die Bereitstellung von CRM SaaS fehlende oder ungenügende Test- und Freigabeverfahren von Hard- und Softwareänderungen (Updates oder Patches) unzureichende vertragliche Regelungen mit Sub-Dienstleistern 3. der Ausfall oder die Behinderung des Service ausgelöst durch menschliches Fehlverhalten wie: die unerlaubte Ausübung (Eskalation) von Rechten, die fahrlässige oder auch unbeabsichtigte Nichteinhaltung von Sicherheitsregelungen und Sicherheitsmaßnahmen, der Verlust der Vertraulichkeit und Integrität von Daten durch fahrlässiges Fehlverhalten oder sorglosem Umgang mit sicherheitsrelevanten Informationen, fehlerhafte Konfiguration und Bedienung von Software- und Hardwarekomponenten, insbesondere Sicherheitskomponenten, Netzwerkgeräten, Servern oder Managementinterfaces zur dynamischen Allokation virtueller und physikalischer Ressourcen, fehlerhafte Interpretation sicherheitsrelevanter Ereignisse, unsachgemäße oder fehlerhafte Nutzung externer Dienstleistungen 4. der Ausfall oder die Behinderung des Service ausgelöst durch Fehlfunktion oder Versagen technischer Systeme und Infrastrukturen ausgelöst durch: Ausfall oder Störung interner Versorgungs- und Kommunikationsnetze fehlende oder fehlerhafte Implementierung von Standards und Standardlösungen, was zu Inkompatibilitäten oder zu neuen Schwachstellen führen kann, fehlende oder unzureichende Standards und Standardlösungen, die zu Inkompatibilitäten oder zu neuen Schwachstellen führen, Ausfall oder Störung vorhandener Sicherheitseinrichtungen wie Komponenten zur sicheren Identifikation und Authentisierung von Mandanten und Nutzern, der sicheren Segmentierung und Isolation sowie dynamischen Allokation virtueller und physikalischer Ressourcen, Komponenten zum Schutz der Kommunikation mit externen Entitäten und Datenträgern, oder Komponenten für ein zuverlässiges Sicherheitsmonitoring und Reaktionsverhalten (incident response) auf externe Angriffe, Hard- oder Softwareschwachstellen und -fehler, defekte Datenträger, unerwartete Erschöpfung virtueller und physikalischer Ressourcen, unaufgelöste Konflikte zwischen Nutzeranforderungen und der Cloud Umgebung Versagen oder Fehlverhalten technischer Leistungen von Sub-Dienstleistern. 5. Ausfall oder Störung des Service durch vorsätzliche Handlungen wie Manipulation von Geräten und Zubehör, Kompromittierung von Daten und Software Diebstahl oder Fälschung von Identitäten und damit von Zugriffsrechten (Forgery of ID and Access Rights) 24 Bundesamt für Sicherheit in der Informationstechnik

24 Gefährdungen für die Bereitstellung von CRM SaaS 4 Missbrauch von Zugriffsrechten, Ausführung von Schadcode und Scans (Untertaking Malicious Code and Scans) Verhinderung von Diensten (DDoS, EDoS), Kompromittierung von Managementwerkzeugen und -schnittstellen Abhören / Manipulation bewegter Daten (Intercepting / Compromise of Data in Transit) Datendiebstahl oder Datenmanipulation gespeicherter Daten (Data Leakage / Compromise) Kompromittierung kryptografischer Services (beispielsweise durch Verlust oder Kompromittierung des Schlüsselmaterials Kompromittierung oder Manipulation virtueller oder physikalischer Ressourcen (Server, Netze, Speicher, Switches, Router, Firewalls), Verhinderung oder Kompromittierung von Sub-Dienstleistungen (Anwendungen und Services) Verbergen von Fehlverhalten durch die Manipulation von Logs und Audits. 4.2 Gefährdungen aus der anteiligen Bereitstellung virtueller und physischer Ressourcen für je verschiedene Serviceabonnenten 1. Der Ausfall oder die Störung des Service ausgelöst durch menschliches Fehlverhalten wie: die fahrlässige oder auch unbeabsichtigte Nichteinhaltung von Sicherheitsregelungen und Sicherheitsmaßnahmen, die fehlerhafte Konfiguration und Bedienung von Software- und Hardwarekomponenten, insbesondere Sicherheitskomponenten, Netzwerkgeräten, Servern oder Managementinterfaces zur dynamischen Allokation virtueller und physikalischer Ressourcen, die fehlerhafte Interpretation sicherheitsrelevanter Ereignisse. 2. Der Ausfall oder die Störung des Service ausgelöst durch technisches Versagen wie: unzureichende bzw. unsichere Segmentierung und Isolation virtueller und physischer Ressourcen, die Erschöpfung, die Störung oder auch der Ausfall anteilig genutzter virtueller und physikalischer Ressourcen. 3. Kompromittierung oder Störung des Service ausgelöst durch vorsätzliche Handlungen die Manipulation von Geräten und Zubehör, die Kompromittierung von Daten und Software, den Diebstahl oder die Fälschung von Identitäten und damit von Zugriffsrechten (Forgery of ID and Access Rights), der Missbrauch von Zugriffsrechten, das Abhören / die Manipulation bewegter Daten (Intercepting / Compromise of Data in Transit), Datendiebstahl oder Datenmanipulation gespeicherter Daten (Data Leakage / Compromise), die Kompromittierung kryptographischer Services (beispielsweise durch Verlust oder Kompromittierung des Schlüsselmaterials, die Kompromittierung oder Manipulation virtueller oder physikalischer Ressourcen (Server, Netze, Speicher, Switches, Router, Firewalls) Bundesamt für Sicherheit in der Informationstechnik 25

25 4 Gefährdungen für die Bereitstellung von CRM SaaS 4.3 Gefährdungen aus der Bereitstellung verschiedener Services für Endnutzer eines Serviceabonnenten 1. der Ausfall oder die Störung des Service ausgelöst durch menschliches Fehlverhalten wie: die fahrlässige oder auch unbeabsichtigte Nichteinhaltung von Sicherheitsregelungen und Sicherheitsmaßnahmen, der Verlust der Vertraulichkeit und Integrität von Daten durch fahrlässiges Fehlverhalten oder sorglosem Umgang mit sicherheitsrelevanten Informationen, fehlerhafte Konfiguration und Bedienung von Software- und Hardwarekomponenten, insbesondere Sicherheitskomponenten, Netzwerkgeräten, Servern oder Managementinterfaces zur dynamischen Allokation virtueller und physikalischer Ressourcen, fehlerhafte Interpretation sicherheitsrelevanter Ereignisse. 2. Kompromittierung oder Störung des Service ausgelöst durch technisches Versagen wie: unzureichende Trennung von Anwendungen (isolation failure), Erschöpfung anteilig bereitgestellter virtueller und physikalischer Ressourcen, fehlerhafte Zuweisung anteilig bereitgestellter virtueller und physikalischer Ressourcen, unzureichende oder fehlerhafte Abgrenzung von Identitäten und Zugriffsrechten, 3. Kompromittierung oder Störung des Service ausgelöst durch vorsätzliche Handlungen wie: Kompromittierung von Daten und Software, den Diebstahl oder die Fälschung von Identitäten und damit von Zugriffsrechten (Forgery of ID and Access Rights), Missbrauch von Zugriffsrechten (Privilege Escalation), Abhören / Manipulation bewegter Daten (Intercepting / Compromise of Data in Transit), Datendiebstahl oder Datenmanipulation gespeicherter Daten (Protection of Data at Rest / Data Leakage) Kompromittierung kryptografischer Services (beispielsweise durch Verlust oder Kompromittierung des Schlüsselmaterials, Kompromittierung oder Manipulation virtueller oder physikalischer Ressourcen (Server, Netze, Speicher, Switches, Router, Firewalls). 4.4 Gefährdungen durch Sub-Dienstleister 1. der Ausfall des Service (Einstellung des Betriebs) ausgelöst durch beispielsweise straf- oder zivilrechtliche Zwangsmaßnahmen, elementare Gefährdungen wie die Zerstörung (der Verlust) physischer Ressourcen durch Feuer, Wasser oder katastrophalen Ereignissen im Umfeld, wirtschaftliche Gründe (Insolvenz), 2. der Ausfall oder die Störung des Service ausgelöst durch organisatorische Mängel: fehlende oder unzureichende Regelungen zwischen Dienstleister und Sub-Dienstleister 3. der Ausfall oder die Störung des Service ausgelöst durch menschliches Fehlverhalten: fahrlässige oder auch unbeabsichtigte Nichteinhaltung von vereinbarten Sicherheitsregelungen und Sicherheitsmaßnahmen, Verlust der Vertraulichkeit und Integrität von Daten durch fahrlässiges Fehlverhalten oder sorglosem Umgang mit sicherheitsrelevanten Informationen durch den Sub-Dienstleister, fehlerhafte Konfiguration und Bedienung von Software- und Hardwarekomponenten, 26 Bundesamt für Sicherheit in der Informationstechnik

26 Gefährdungen für die Bereitstellung von CRM SaaS 4 fehlerhafte Interpretation sicherheitsrelevanter Ereignisse. 4. Ausfall oder Störung des Service ausgelöst durch technisches Versagen: technisches Versagen oder fehlerhafte Funktion der für die Erbringung der Dienstleistung vereinbarten Ressourcen, Ausfall oder fehlerhaftes Verhalten von Kommunikationsverbindungen. 5. Kompromittierung oder Störung des Service ausgelöst durch vorsätzliche Handlungen Kompromittierung von Daten und Software, Diebstahl oder die Fälschung von Identitäten und damit von Zugriffsrechten (Forgery of ID and Access Rights), Missbrauch von Zugriffsrechten (Privilege Escalation), Abhören / Manipulation bewegter Daten (Intercepting / Compromise of Data in Transit), Datendiebstahl oder Datenmanipulation gespeicherter Daten (Data Leakage / Compromise), Kompromittierung kryptografischer Services (beispielsweise durch Verlust oder Kompromittierung des Schlüsselmaterials, Kompromittierung oder Manipulation virtueller oder physikalischer Ressourcen, Verhinderung von Diensten (DDoS, EDoS). Bundesamt für Sicherheit in der Informationstechnik 27

27 5 Sicherheitsanforderungen 5 Sicherheitsanforderungen In diesem Kapitel sollen Sicherheitsanforderungen aus verschiedenen Standards (ISO und NIST SP rev3), Empfehlungen und Anforderungen von staatlichen Behörden (Eckpunktepapier des BSI Sicherheitsempfehlungen für Cloud Computing Anbieter und NIST FedRAMP) und Empfehlungen sonstiger Konsortien wie die Cloud Control Matrix (CSA CMM) der Cloud Security Alliance (CSA) zusammengestellt werden. Diese Dokumente haben verschiedene Ansprüche. So ist der ISO-Standard mit internationaler Gültigkeit zertifizierbar, der NIST-Standard stellt Anforderungen auf, das Eckpunktepapier gibt Empfehlungen und die CSA CMM gibt Steuerungen an, um das Risikomanagement zu unterstützen. Insofern ist ein echter Vergleich unmöglich. Bei der nachfolgenden Nebeneinanderstellung geht es daher nicht darum, die Qualität, Tiefe oder den Umfang der jeweiligen Dokumente zu beurteilen. Es ist das Ziel aus allen diesen Publikationen relevante Sicherheitsanforderungen für Customer Relation Management als Software-as-a-Service zu extrahieren und hier übersichtlich zusammenzustellen. Dies soll die Grundlage für die auf der Basis der STRIDE-Analyse zu gewinnenden konkreten Ausgestaltungen dieser Sicherheitsan forderungen sein. Die nachfolgende Definition von Sicherheitsanforderungen im Kontext eines als SaaS bereitgestellten CRMS folgt in seiner Struktur dem Eckpunktepapier des BSI Sicherheitsempfehlungen für Cloud Computing Anbieter, konkretisiert jedoch die dortigen Empfehlungen für den Anwendungsfall SaaS CRM. In den weiteren Spalten wird auf die den gleichen Inhalt adressierenden Teile der anderen Publikationen (ISO 27001:2005, NIST SP rev3, NIST FedRAMP und CSA CMM) verwiesen und ebenfalls dokumentiert, wenn dieser Aspekt nicht in der jeweiligen Publikation zu finden ist. Dabei ist zu beachten, dass FedRAMP auf NIST SP aufbaut und daher vielfach in der Tabelle eine Fehlanzeige zu sehen ist. Dies ist dem Design von FedRAMP als eine Spezifikation basierend auf NIST SP geschuldet und nicht als eine Schwäche von FedRAMP zu werten. Die Sicherheitsempfehlungen aus dem Eckpunktepapier des BSI sind einerseits im Fließtext enthalten und in unnummerierten Tabellen zusammengefasst. In der nachfolgenden Tabelle ist ein Eintrag in der Spalte BSI der Form 4.1 Tab. (2), (3)" zu lesen als Tabellenzeile 2 und 3 in der Tabelle in Kapitel Bundesamt für Sicherheit in der Informationstechnik

28 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 Sicherheitsmanagement (Information Security Management - ISM) [ISM-01] Der Cloud-Service-Anbieter hat ein anerkanntes (z. B. nach BSI Standard100-2 zur Vorgehensweise im IT-Grundschutz oder ISO 27001/2) Informationssicherheits-Management-System etabliert und implementiert. [ISM-02] Das Informationssicherheits-Management-System etabliert und setzt eine klare Trennung von Aufgaben (Zuständigkeiten), Rollen und Verantwortlichkeiten durch (separation of duties) und benennt dem Cloud-Service-Abonnenten Ansprechpartner für Sicherheitsfragen. [ISM-03] Der Cloud-Service-Anbieter hat ein zuverlässiges Risikomanagement etabliert, das in regelmäßigen Abständen Bedrohungs- und Risikoanalysen für Daten, Anwendungen, virtuelle und physikalische Ressourcen durchführt. Die Ergebnisse werden dokumentiert, vor Verlust und Manipulation geschützt und dem Cloud-Service-Abonnenten auf Anforderung zur Kenntnis gebracht. [ISM-04] Sicherheitsrichtlinien, Sicherheitsarchitektur und Sicherheitsmaßnahmen des Service werden regelmäßig auf ihre Umsetzung und Wirksamkeit überprüft. Eine Überprüfung kann auf Verlangen des Cloud-Service-Abonnenten auch durch zertifizierte externe Auditoren durchgeführt werden. Die Überprüfung wird dokumentiert. Die Prüfprotokolle und Auditberichte werden vor Verlust und Manipulation geschützt und auf Verlangen dem Cloud-Service-Abonnenten vorgelegt. A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A A.6.1.1, A.6.1.2, A.6.1.3, A.6.2.1, A.6.2.2, A.8.1.1, A.8.2.1, A , A A.5.1.1, A.5.1.2, A.6.1.1, A.6.2.1, A.6.2.2, A.6.2.3, A , A A.6.1.8, A.8.1.1, A , A , PL-2, PM-1 AC-5, PM-2 IR-4, PL-1, PL-6, RA-1, RA-2, RA-3, RA-5, SA-1, SA-3, SA-4, SA-5, CA-2, CA-7, RA-1, RA-2, RA-3 FedRAMP AC-5, AC-6, SA-6, RA-1, RA-2, RA-3, RA-5, SA-1, SA-3, SA-4, SA-5 SA-9(1), SA-12, AU-6, AU-7, CA-1, CA-2, CA-7 CSA CMM V1.4 IS-01, IS-02, IS-03, IS-07, IS-08, IS-09, IS-10, IS-13, IS-15, IS-16, OP-01 IS-04, IS-05, RI-01, RI-02, RI-03, RI-04, RI-05, CO-01, CO-03, CO-05, DG-08, BSI 3 Tab.: (1), (2), 3 Tab. (4) 3 Tab (2) 29 Bundesamt für Sicherheit in der Informationstechnik

29 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 Sicherheitsarchitektur Rechenzentrumssicherheit (Information Facility Security - IFS) Sicherheit der Anwendung und der Anwendungsumgebung (Application and Environment Security - AES) [IFS-01] Der Zutritt zu Betriebsräumen des Cloud-Service-Anbieters ist nur sicher und zuverlässig authentisierten und autorisierten Personen möglich. [IFS-02] Der Cloud-Service-Anbieter hat eine robuste und redundante Infrastruktur für die Bereitstellung des Services etabliert, die die Verfügbarkeit der Anwendung auch im Falle Störungen, Ausfall einzelner Komponenten und beherrschbarer Elementarschäden sicherstellt. [AES-01] Die Anwendung wird in einer sicheren Betriebsumgebung ausgeführt und stellt die Korrektheit und Integrität importierter und exportierter Daten sicher. Eine Kompromittierung von Daten beim Import oder Export wird zuverlässig verhindert. A.9.1.1, A.9.1.2, A.9.1.3, A.9.1.4, A.9.1.6, A.9.1.4, A.9.2.1, A.9.2.2, A , A , A.9.2.3, A. A , A , A.9.2.1, A , A , A , A , A , A , A , A , A , A , A , PE-1, PE-2, PE-3, PE-6, PE-7 CP-6, CP-7, CP-8, CP-9, CP-10, PE-9, PE-11, PE-10, PE-12, PE-13, PE-15 PE-1, PE-18, CM-9, SA-9, AU-4, AU-5, CP-2, SA-2, SC-5, AC-19, AT-2, SA-8, SC-2, SC-3, SC-17, SC-14 FedRAMP MP-4, PE-1, PE-2, PE-3, PE-6, PE-7 CP-6, CP-7, CP-8, CP-9, CP-10, PE-9, PE-10, PE-11, PE-12 PE-13, PE-15 SA-11, SC-1, SC-4, SC-5, SC-7, SC-8, SC-9,, SI-9, SI-10 CSA CMM V1.4 FS-01, FS-02, FS-03, FS-04, FS-05, FS-06, FS-07, SA-06, RS-05, RS-06, RS-07, SA-01, SA-03, SA-05, IS-17, BSI 4.1 Tab. (2), (3), 4.1 Tab. (1), (3), (4), (5), 4.2 Tab.: (1), (2), (3), (4), 4.3 Tab.: (5), 30 Bundesamt für Sicherheit in der Informationstechnik

30 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 [AES-02] Die für den Betrieb erforderliche virtuelle und physikalische Anwendungsumgebung, auf der die Anwendung ausgeführt wird, ist (a) frei von Schadsoftware und Viren, (b) ausreichend gegen interne oder externe netzbasierte Angriffe geschützt und (c) sicher segmentiert (isoliert), so dass eine Eskalation von Zugriffsrechten über die operative Einsatzumgebung ausgeschlossen werden kann. Ein unbefugter und nicht autorisierter Zugriff auf Daten der Anwendung über die operative Einsatzumgebung ist nicht möglich. In der Anwendungsumgebung sind geeignete Werkzeuge installiert, die zuverlässig imstande sind, das Eindringen und die Ausführung von Schadsoftware, Host- bzw. Netz-basierte Angriffe zu entdecken und zu verhindern. [AES-03] Die Anwendung setzt eine sichere Identifikation und Authentisierung externer Zugriffe durch. Ein Zugriff auf Informationen oder Daten der Anwendung ist nur für zuverlässig und sicher authentisierte und autorisierte Nutzer oder andere Anwendungen oder Services möglich. Unbefugte Zugriffsversuche auf die Anwendung oder An A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1, A , A , A , A , A , A , A , A , A , A , A , A , A , A , A , A , A A , A , A , A , A , A , AC-1, AC-3, AC-4, AC-5, AC-6, AC-16, AC-17, AC-17, AC-18, AC-19, AC-20, AT-2, AU-1, AU-6, AU-7, AU-13, CA-3, CM-5, CP-8, IA-3, PE-5, SA-8, SC-2, SC-3, SC-7, SC-8, SC-9, SC-10, SC-14, SC-19, SC-20, SC-21, SC-22, SC-23, SI-1, SI-1, SI-3, SI-7, PE-6, PE-8, SC-7, SI-4, SP AC-1, AC-2, AC-3, AC-6, AC-7, AC-8, AC-9, AC-10, AC-14, FedRAMP SI-1, SI-3, SI-4, SI-8, AC-3(3), AC-6(2), AC-8, AC-17, IA-1, IA-2, CSA CMM V1.4 BSI IS-21, IS-34, 4.3 Tab.: (1), (2), (3), AU-10, IS-07, IS-08, IS-09, IS-10, SA-07, SC-7, 5 Tab.: (1), (2), (3), (3), (4), (5), 31 Bundesamt für Sicherheit in der Informationstechnik

31 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 wendungsdaten bleiben nicht unentdeckt. [AES-04] Mandanten und Anwendungen und die ihnen zugewiesenen virtuellen und physikalischen Ressourcen (Netze, Server, Speicher) sind sicher segmentiert und isoliert. [AES-05] Die Anwendung ist so in die Anwendungsumgebung integriert, dass eine Umgehung von der Anwendungsumgebung bereitgestellter Sicherungsmaßnahmen nicht stattfinden kann. A , A , A , A , A , A , A , A , A , A A , A , A , A , A , A , A , A , A , A , A , A , A , A , A , AC-21, AU-1, AU-2, AU-3, AU-4, AU-5, AU-6, AU-7, AU-8, AU-11, AU-12, CM-5, IA-5, PE-1, PE-2, PE-1, PE-2, PE-6, PE-8, SC-9, SI-9, SC-10, SI-14, AC-1, AC-3, AC-5, AC-6, AC-17, AC-18, AC-20 MA-3, MA-4, PE-3, SA-1, SA-2, SA-8, SC-4, SC-7, SC-30, SC-32, AC-3, AC-4, AC-6, AC-17, AC-18, AC-20, CA-3, CP-8, PE-5, IA-8, SC-7, SC-8, SC-9, FedRAMP IA-3, IA-4, IA-7, SC-2, SC-30, SC-32, CSA CMM V1.4 BSI SA Tab.: (2), 4.5 Tab.: (2), 32 Bundesamt für Sicherheit in der Informationstechnik

32 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 [AES-06] Verbindungen zwischen logischen oder auch physisch voneinander getrennten Komponenten kommen erst nach einer sicheren wechselseitigen Authentisierung zustande. Die Identifikation und Authentisierung wird durch zuverlässige und eindeutige Sicherheitsattribute durchgesetzt. Ein unentdeckter Austausch von Sicherheitskomponenten des Service ist nicht möglich. [AES-07] Die Anwendung und die Anwendungsumgebung wird auf der Grundlage ausführlicher Richtlinien und Handlungsanweisungen sicher konfiguriert und betrieben. Ein unbefugter Zugriff auf Daten, die für die Konfiguration und den Betrieb der Anwendungsumgebung erforderlich sind, ist nicht möglich. A.7.2.2, A , A , A , A , A , A , A , A , A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.7.1.1, A.7.1.2, A.8.1.1, A , A , A , A , A , A , A , A , A , A , A SC-10, SC-19, SC-20, SC-21, SC-22, SC-23 AC-3, AC-4, AC-6, AC-16, AC-17, AC-18, AC-20, CA-3, CP-8, IA-8, PE-5, SC-7, SC-8, SC-9, SC-10, SC-19, SC-20, SC-21, SC-22, SC-23 CM-1, CM-2, CM-6, CM-9, FedRAMP CM-2(5)(a) CM-7, SC-7, CM-1 CM-3, CM-6, SA-7, CSA CMM V1.4 BSI SA-13, 4.3 Tab. (5), (7), (8), (9) 4.3 Tab.: (5), (6). 5 Tab.: (1) 33 Bundesamt für Sicherheit in der Informationstechnik

33 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 [AES-08] Konfigurationsänderungen oder Updates werden nur von erfahrenen und ausdrücklich autorisierten Mitarbeitern des Cloud-Service-Anbieters durchgeführt und werden (a) kontrolliert und dokumentiert, (b) vor Inbetriebsetzung auf Sicherheitsbedrohungen getestet. Die Tests werden ausführlich zu protokolliert, die Testprotokolle vor Verlust oder die Manipulation geschützt. [AES-09] Sicherheitslücken der Anwendung oder Anwendungsumgebung werden unverzüglich geschlossen und vorhandene Sicherheitspatches unverzüglich implementiert. [AES-10] Der Cloud-Service-Anbieter etabliert und implementiert sichere Prozesse für die Administration und Wartung der Anwendung und Anwendungsumgebung. Administration und Wartungsmaßnahmen dürfen nur von vertrauenswürdigen, erfahrenen und ausdrücklich autorisierten Mitarbeitern ausgeführt werden. Für die Administration und Wartung der Anwendung und der Anwendungsumgebung stehen ausführliche A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1, A , A , A , A , A , A , A , A , A , A , A , A , A A , A , A , A , A , A.5.1.1, A.5.1.2, A.6.1.1, A.6.3.1, A.8.1.1, A.9.2.4, A , A , A , A , A , CM-1, CM-3, CM-4, CM-5, CM-9, SA-10, SI-2, CM-1, CM-2, CM-3, CM-4, CM-5, CM-9, IR-1, IR-4, PL-4, SI-2, RA-3, RA-5, SA-6, SA-7, SI-2, SI-5, AC-5, AC-6, CM-1, CM-2, CM-3, CM-4, CM-5, CM-9, MA-1, MA-2, MA-3, MA-5, PL-4, SA-6, SA-7 FedRAMP CM-5, CM-6, CM-7, CM-9 MA-6, CSA CMM V1.4 RM-02, RM-03, RM-04, RM-05, RS-01, RS-02, BSI 4.4 (36) Tab,: (6), IS-20, 4.4 (36) Tab.: (6) OP-02, OP-04, 3 Tab.: (1), (2) 5 Tab.: (1), (3) 7 Tab.: (6) 11 Tab.: (1) 34 Bundesamt für Sicherheit in der Informationstechnik

34 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 Netzsicherheit (Network Security - NCS) Dokumentationen, Richtlinien oder Handreichungen zur Verfügung, die von den Administratoren und dem Wartungspersonal strikt befolgt werden. Die Maßnahmen werden ausführlich zu protokolliert und die Protokolle vor Verlust und Manipulation geschützt. [AES-11] Der Cloud-Service-Anbieter hat sichere Prozesse für die Überwachung des Softwarelebenszyklus der Anwendung etabliert und implementiert. Neue Releases werden erst eingesetzt werden, wenn sie qualitätsgesichert und ausführlichen Sicherheitstests unterzogen wurden. [AES-12] Der Cloud-Service-Anbieter garantiert die Einhaltung von Sicherheits-Mindeststandards bei der Entwicklung und Bereitstellung von Web-Anwendungen (beispielsweise gemäß den Prinzipien zur sicheren Softwareentwicklung nach OWASP) [NCS-01] Netzarchitekturen sind so entworfen, implementiert und konfiguriert, dass Verbindungen zwischen sicheren und unsicheren Netzen nicht möglich sind. Telekommunikations- und Netzverbindungen für den Datentransport, die Kommunikation zwischen logisch oder A , A , A , A,11.6.1, A , A , A , A , A , A , A , A , A , A , A , A , A , A , A A , A , A , A , A , A , A , A A.6.2.1, A , A , A , A , A , SA-10, SI-2 SI-7, SI-9, SI-10, SA-3, SA-5, SA-7, SA-8, SA-10, FedRAMP CP-4a, SA-3, SA-5, SA-7, SA-8, SA-10, SA-11 CSA CMM V1.4 IS-33, RM-01, RM-02, RM-03, RM-05, BSI 4.4 Tab.: (1), (6), (7), SA-3, SA-8, SA Tab.: (3), AC-4, AC-17, AC-18, AC-20, CA-3, CP-8, PE-5, SC-7, AC-17(8), SC-7, SC-8, SC-9, IS-31, RS-08, SA-08, SA-09, SA-11, 4.3 Tab.: (1), (2), (3), (6), (7), 35 Bundesamt für Sicherheit in der Informationstechnik

35 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 physische separierten Komponenten oder Ressourcen und den Servicesupport sind vor Abhören, Manipulation und Zerstörung geschützt. Virtualisierte Netzwerkkomponenten (Verbindungen, Router und Switches) sind zuverlässig und sicher segmentiert und isoliert. [NCS-02] Der Cloud-Service-Anbieter stellt auf der Grundlage ausführlicher Richtlinien und Handlungsanweisungen die sichere Konfiguration und Segmentierung von Netzkomponenten sicher. Management-Netze (Management-Interfaces) sind strikt von Datennetzen getrennt. [NCS-03] Die Fernadministration des Service erfolgt über einen sicheren Kommunikationskanal (z. B. SSH, IPSec, TLS/SSL, VPN). Der Ausfall oder die Kompromittierung von A , A , A , A , A A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.6.2.1, A.7.1.1, A.7.1.2, A.8.1.1, A , A , A , A , A , A , A , A , A , A , A , A , A , A , A , A , A , A , SC-8, SC-9, SC-10, SC-11, SC-19, SC-20, SC-21, SC-22, SC-23 CM-1, CM-2, CM-6, CM-9, SA-8, SC-3, SC-4, SC-7, SC-32, FedRAMP SC-7(13), SC-11, CSA CMM V1.4 BSI IS-31, IS-32, 4.3 Tab.: (4), SC Tab.: (6), 36 Bundesamt für Sicherheit in der Informationstechnik

36 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 FedRAMP CSA CMM V1.4 BSI Management-Netzen (Management-Interfaces) wird zuverlässig verhindert. [NCS-04] Die Konfiguration der Netzkomponenten wird nur von erfahrenen und ausdrücklich autorisierten Mitarbeitern des Cloud-Service-Anbieters ausgeführt. Änderungen an der Konfiguration von Netzkomponenten werden vor Inbetriebnahme ausführlichen Sicherheitstests unterzogen. Die Tests werden protokolliert, die Protokolle vor Verlust oder Manipulation geschützt. A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1, A , A , A , A , A , A , A , A , A , A , A , A , A CM-1, CM-3, CM-4, CM-5, CM-9, SA-10, SI-2, 5 Tab. (2) [NCS-05] Im Falle verteilter Cloud-Computing-Ressourcen sind die Netzverbindungen zwischen den Rechen- oder Datenzentren redundant ausgelegt. A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.2, A.6.1.3, A.8.1.1, A.9.1.4, A , A , A , A , A , A , A , A , A , A CP-1, CP-2, CP-1, CP-2, CP-8, 4.3 Tab.: (10) 37 Bundesamt für Sicherheit in der Informationstechnik

37 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 Datenschutz und Datensicherheit (Data Safety and Security - DSS) [DSS-01] Der Cloud-Service-Anbieter gewährleistet die Einhaltung der für den Cloud-Service-Abonnenten geltenden datenschutzrechtlichen Regelungen. [DSS-02] Daten des Cloud-Service-Abonnenten werden außerhalb der am Standort geltenden Gerichtsbarkeit nur mit ausdrücklicher, schriftlicher Zustimmung des Cloud-Service-Abonnenten erfasst, verarbeitet und gespeichert. Das betrifft auch die Verarbeitung und Speicherung von Daten des Cloud-Service-Abonnenten durch Sub-Dienstleister des Cloud-Service-Anbieters. [DSS-03] Personenbezogene Daten des Cloud-Service-Abonnenten sind nach Maßgabe zu erwartender Bedrohungen - unter keinen Umständen unbefugten Dritten zugänglich. [DSS-04] Administratoren, Wartungspersonal oder andere Mitarbeiter des Cloud-Service-Anbieters sowie seines Sub-Dienstleisters haben keinen Zugriff auf geschäftsbezogene Daten des Cloud-Service-Abonnenten. [DSS-05] Ein unwiederbringlicher Verlust oder ein Diebstahl von Daten des Cloud-Service-Abonnenten wird durch geeignete Sicherheitsmaßnahmen zuverlässig verhindert. A , A , A , A , A , A , A , A , A , AC-2,AC-8, AU-6, AU-9, AU-11, CA-2, CA-7, IA-7, CP-9, MP-1, MP-4, PL-5, PE-8, PL-4, PS-6, PS-8, SA-5, SA-6, SA-7, SI-12, AC-8, AU-6, AU-9, AU-11, CP-9, MP-1, MP-4, SA-5, PL-4, PL-5, PS-6, PS-8, SA-7, SI-12 FedRAMP CSA CMM V1.4 DG-02, DG-03, BSI 12.1 Tab. (1), (2), (3), (4), (7) 13.2 Tab. (1), (2) 13.2 Tab.: (2), (3), (4) A PL-5; SI-12 DG-08, 4.5 Tab.: (1) A , A AC-8, AU-6, PL-4, PL-5, PS-6, PS-8, SA-7, SI-12 A5.1.1, A5.1.2, A.6.1.1, A.6.1.3, A.8.1.1, A.9.1.4, A10.1.1, A A , AC-1, AC-3, AU-4, CP-6, CP-10, CP-9, DG-04, DG-05, DG-07, 4.5 Tab.: (1) 4.5 Tab.: (3) 38 Bundesamt für Sicherheit in der Informationstechnik

38 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 [DSS-06] Der Cloud-Service-Anbieter gewährleistet eine regelmäßige, transparente und redundante Sicherung von Anwendungs- und anwendungsbezogenen Daten. [DSS-07] Datenträger, auf denen Daten und Informationen des Cloud-Service-Abonnenten aufbewahrt werden, werden regelmäßig auf korrekte Funktion geprüft sowie vor Verlust und Zugriff unbefugter Dritter geschützt. [DSS-08] Der Cloud-Service-Anbieter stellt die vollständige und nicht wiederherstellbare Löschung von Daten des Cloud-Service-Abonnenten bei Vertragsende oder auf Anforderung des Cloud-Service-Abonnenten sicher. A , A , A11.2.2, A11.4.1, A , A , A , A , A , A , A , A , A , A , A A.9.1.4, A A , A , A A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.7.2.2, A.8.1.1, A.9.2.5, A.9.2.6, A.9.2.7, A , A ,A , A , A , A , A , A , A , A CP-6, CP-9, CP-10 MP-1, MP-2, MP-4, MP-5, MP-6, FedRAMP CSA CMM V1.4 BSI CP-9, 4.5 Tab.: (3) MP-1, MP-2, MP-4, MP-5, MP-6, DG-05, 4.5 Tab.: (4) 39 Bundesamt für Sicherheit in der Informationstechnik

39 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 Verschlüsselung und Schlüsselmanagement (Public Key Infrastructure - PKI) [DSS-09] Ein Zugriff auf die Anwendung und Anwendungsdaten von mobilen Endgeräten erfolgt nur über sichere Kanäle und in Übereinstimmung mit den Sicherheitsrichtlinien des Cloud-Service-Abonnenten. [PKI-01] Die Kommunikation zwischen Cloud-Service-Anbieter und Cloud-Service-Abonnenten, Cloud-Computing Standorten sowie Drittdienstleistern erfolgt verschlüsselt. [PKI-02] Der Cloud-Service-Anbieter stellt ausreichend starke und standardisierte kryptografische Sicherheitsmaßnahmen und Services zur Verfügung, mit denen (a) eine unbefugte Kenntnisnahme oder Manipulation von Daten, Anwendungen, Komponenten und Services verhindert werden kann und (b) die Korrektheit, die Integrität und A , A , A , A , A , A , A , A , A , A , A , A A10.4.1, A , A , A , A , A , A , A , A , A , A , A , AC-18, AC-19, AC-1, AC-3, AC-4, AC-17, AC-18, AC-19, AC-20, AT-2, CA-3, PL-4, PS-6, SA-8, SA-9, SC-2, SC-3, SC-7, SC-8, SC-9, SC-11, SC-14, SC-16, SI-3, SI-7, SI-9, SC-12, SC-13 FedRAMP AC-18, AC-19 IA-7, SC-11, SC-12, SC-13 CSA CMM V1.4 IS-32, SA-10, SA-15, BSI 4.4 Tab. (1), (2), (4), (7) IS-18, 4.3 Tab.: (7), (8), (9), IS-18, IS Tab.: (1), 40 Bundesamt für Sicherheit in der Informationstechnik

40 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 ID- und Rechtemanagement (ID and Rights Management - IDM) Authentizität importierter und exportierter Daten zuverlässig gewährleistet wird und eine mögliche Aufdeckung oder Kompromittierung beim Import und Export verhindert werden kann. [PKI-03] Für den kryptografischen Schutz bewegter Daten (data in transit) und gespeicherter Daten (data at rest) sowie Kommunikationsverbindungen werden ausschließlich vertrauenswürdige kryptografische Komponenten eingesetzt. [PKI-04] Die Erzeugung, Verwaltung, Verteilung und Speicherung kryptografischen Materials wird nur in sicheren Umgebungen ausgeführt. Der Zugang zur Administration kryptografischen Materials erfordert eine separate Autorisierung. Kryptografische Materialien dienen ausschließlich einem Verwendungszweck. [PKI-05] Eine unbefugte Kenntnisnahme oder Kompromittierung sowie ein Verlust kryptografischen Materials wird nach Maßgabe zu erwartender Bedrohungen - zuverlässig verhindert. [IDM-01] Der Cloud-Service-Anbieter stellt sicher, dass Zugriffe auf die Anwendung und Anwendungsumgebung nur auf der Basis eines sicheren Identitätsmanagements, Rollen- und Rechtekonzepts, einer starken Authentisierung und einer strikten Trennung von Aufgaben und Zuständigkeiten (separation of duties) erfolgen können. A , A SC-13, A , A , A , SC-12, SC-13 FedRAMP AU-10(5), IA-7, SA-4, SC-28, SC-12(5), SC-17, CSA CMM V1.4 BSI 4.6 Tab.: (1), 4.6 Tab.: (1), A SC 12, SC-17 SC-12, IS-19, 4.6 Tab.: (1), A , A , A , A , A , A , A , A , AC-5, AU-1, AU-2, AU-3, AU-4, AU-5, AU-6, AU-7, AU-8, AU-11, AU-12, AC-1, AC-2, AC-3, AC-6, AC-7, AC-8, AC-9, AC-10, AC-16, IA-2(8), IA-4e, SA-01, SA-02, 5 Tab. (1), (2), (3), (4), (5) 41 Bundesamt für Sicherheit in der Informationstechnik

41 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 [IDM-02] Die Umsetzung und Einhaltung des Identitätsmanagements und die Wirksamkeit der implementierten Maßnahmen werden regelmäßig überprüft. [IDM-03] Ein Diebstahl oder die Fälschung von Identitäten oder Zugriffsrechten wird, mit Blick auf erwartbare Bedrohungsszenarien, zuverlässig verhindert. [IDM-04] Mitarbeiter erhalten Zugriff nur auf die Funktionen, die sie für sie Erfüllung ihrer Aufgaben (ihrer Rolle) benötigen (least privilege). [IDM-05] Eine Eskalation von Zugriffsrechten wird, mit Blick auf erwartbare Bedrohungsszenarien, zuverlässig verhindert. Kritische Administrationsaufgaben, wie die Einspielung von Sicherheitspatches oder die Änderung von sicherheitskritischen Konfigurationsdaten werden besonders geschützt AC-14, AC-21, CM-5, IA-2, IA-6, IA-8, PE-1, PE-2, PE-6, PE-8, SC-7, SC-10, SI-9, SI-4 FedRAMP CSA CMM V1.4 A , AC-2, PE-2, 5 Tab.: (2) A.6.1.3, A.8.1.1, A , A , A , A , A , A , A , A A.6.1.3, A.8.1.1, A , A ,A , A , A , A , A , A , A , A BSI 5 Tab.: (1), (2), (3), (4), (5) AC-6 AC-6 5 Tab.: (3) AC-3, AC-5, AC-6, AC-3, AC-5, AC-6 5 Tab.: (4) 4.3 Tab. (5), (6) 42 Bundesamt für Sicherheit in der Informationstechnik

42 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 Kontrollmöglichkeiten für den Nutzer (User Information Control - UIC) Monitoring und Security Incident Management (SIM) [IDM-06] Die Zugriffe werden protokolliert. Die Protokolle werden vor Verlust und Manipulation geschützt [UIC-01] Die Verfügbarkeit der Anwendung, die Performanz und die Auslastung werden ausreichend und transparent protokolliert. Die Protokolle sind vor Verlust und Manipulation geschützt. [UIC-02] Der Cloud-Service-Abonnent hat die Möglichkeit haben Monitoringinformationen hinsichtlich der Verfügbarkeit, Performanz und Auslastung über definierte Schnittstellen regelmäßig abzufragen. [SIM-01] Der Cloud-Service-Anbieter hat ein zuverlässiges Monitoring für das Konfigurationsmanagement etabliert und implementiert. Diesbezügliche Aktivitäten von Administratoren werden überwacht und protokolliert. Die Protokolle werden vor Verlust und Manipulation geschützt. [SIM-02] Der Cloud-Service-Anbieter verfügt über klare Richtlinien sowie etablierte und bewährte Prozesse für die Behandlung sicherheitskritischer Ereignisse. A.6.2.2, A.8.1.1, A , A A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1, A , A , A , A , A , A , A , A , A , A FedRAMP CSA CMM V1.4 BSI AC-8, AC-9, AC-7 7 Tab.: (2) AU-9, IR-1, IR-4, IR-5, IR-8, SC-5, SI-4(5), IR-1, IR-3, IR-4, IR-6, IR-7, IR-8b, IR-8e, 7 Tab.: (2), (5) 6 Tab.: (1) IS-30, 7 Tab.: (1), (2), IS-22, IS-23, IS-24, IS-25, 7 Tab.: (1), (3) 3 Tab.: (1) 43 Bundesamt für Sicherheit in der Informationstechnik

43 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 Notfallmanagement (Business Continuity Management - BCM) [SIM-03] Der Cloud-Service-Anbieter stellt die kontinuierliche (24/7) Erkennung, Identifikation und eine unverzügliche und angemessene Behandlung (Einleitung von Gegenmaßnahmen) sicherheitskritischer Ereignisse (security impacts) durch ein erfahrenes und handlungsfähiges Team und geeignete technische Maßnahmen sicher. [SIM-04] Sicherheitskritische Ereignisse werden dem Cloud-Service-Abonnenten zur Kenntnis gebracht sowie umfassend, ausführlich und transparent dokumentiert. Die Dokumentation wird vor Verlust und Manipulation geschützt und auf Verlangen dem Cloud-Service-Abonnenten vorgelegt. [BCM-01] Der Cloud-Service-Anbieter hat ein zuverlässiges und sicheres Notfallmanagement etabliert und implementiert. Die darin definierten Maßnahmen und Prozesse werden regelmäßig auf ihre Funktion und Wirksamkeit überprüft. Der Cloud-Service-Anbieter sollte nachweisen, dass sein Notfallmanagement auf international anerkannten Standards wie z. B. BS (heute ISO 22301) oder BSI-Standard basiert (z. B. anhand Notfallvorsorgekonzept und Notfallhandbuch). A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.2, A.6.1.3, A.8.1.1, A.8.2.2, A , A , A , A , A , A , A IR-1, IR-2, IR-3, IR-4, IR-5, IR-7, FedRAMP IR-6, IR-7, IR-8, CSA CMM V1.4 BSI SA-14, 7 Tab.: (1), (2), (3), A.6.1.6, A IR-6 IR-6, IS-23, IS-25 7 Tab.: (4), (5), (6), A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.2, A.6.1.3, A.8.1.1, A.8.2.2, A.9.1.4, A , A , A , A , A , A , A , A , A , A CP-1, CP-2, CP-3, CP-4, PM-9, CP-2b, CP-2f, CP-9, CP-10(3), PE-10b, PE-14a, OP-03, RS-03, RS-04, 8 Tab.: (1), (2), (3), (4), 44 Bundesamt für Sicherheit in der Informationstechnik

44 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 FedRAMP CSA CMM V1.4 BSI [BCM-02] Eine Störung oder ein Ausfall der Verfügbarkeit wird durch eine redundante Auslegung und dynamische Bereitstellung zusätzlicher Instanzen sowie virtueller und physischer Ressourcen verhindert. A.9.1.4, A , A , A , A , CP-6, CP-7, CP-8, CP-9 CP-9, PE-17, 4.1. Tab. (1), (6) 4.3 Tab. (10) 8 Tab. (1), (2) [BCM-03] Die Anwendung kann bei einem Systemfehler oder einem erfolgreichen Angriff wieder in einen sicheren und stabilen Zustand zurückgeführt werden. A.9.1.4, A CP-10 [BCM-04] Störungen der Verfügbarkeit, die Maßnahmen zur Wiederherstellung und die Zeitdauer der Störung werden zuverlässig und transparent protokolliert, die Protokolle vor Verlust und Manipulation geschützt. 7 Tab.: (2) Portabilität und Interoperabilität (Portability and Interoperability Management - PIM) [PIM-01] Die Anwendung ist kompatibel und interoperabel mit den Systemen (Anwendungen) des Cloud-Service-Abonnenten und auf der Basis akzeptierter und marktgängiger (Sicherheits-) Standards implementiert. [PIM-02] Datenformate für den Austausch, die Verarbeitung und Speicherung von Daten basieren auf international anerkannten Standards. Der Cloud-Service-Anbieter stellt die Plattformunabhängigkeit für den Austausch und die Speicherung von Daten sicher. A , A , AC-2, CA-2, CA-7, IA-7, PE-8, RA-5, SI-12 9 Tab.: (1), (2), 9 Tab.: (1), (2), [PIM-03] Schnittstellen für den Datenaustausch und die Datenspeicherung sind durch den Cloud-Service-Anbieter offen gelegt. 9 Tab.: (2), Sicherheitsüberprüfung und -nachweis (Security Compliance Management - SCM) [SCM-01] Der Cloud-Service-Anbieter führt regelmäßige Sicherheitsrevisionen/Audits (Überprüfung von Sicherheitskonzepten, Sicherheitsrichtlinien, Sicherheitsarchitekturen und Sicherheitsmaßnahmen, Erkennung und Behandlung sicherheitskritischer Ereignisse) auf der Basis A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1, A , A , A , AU-1, AU-2, AU-3, AU-12, PL-6 AU-2d, AU-3(1), CA-6c, CO-01, CO-02, CO-03, CO-05, IS-29, 3, Tab. (3) 10 Tab.: (1), (2), (3), (4), 45 Bundesamt für Sicherheit in der Informationstechnik

45 5 Sicherheitsanforderungen BSI Eckpunktepapier Sicherheitsanforderung ISO 27001:2005 NIST rev3 Anforderungen an das Personal (Human Resource Requirements - HRR) international anerkannter und akzeptierter Standards durch. Das gilt auch für die von ihm vertraglich für die Erstellung des Service gebundenen Sub-Dienstleister [SCM-02] Die Prüfergebnisse werden ausführlich dokumentiert und vor Verlust und Manipulation geschützt. [SCM-03] Unabhängige Auditoren führen regelmäßig Revisionen durch. Der Cloud-Service-Abonnent kann die Dokumentation der Revisionen auf Verlangen einsehen. [HRR-01] Mitarbeiter des Cloud-Service-Anbieters und der an der Bereitstellung des Service beteiligten Sub-Dienstleiter werden regelmäßig zu Sicherheitsbedrohungen und Sicherheitsmaßnahmen ausreichend geschult. [HRR-02] Die Mitarbeiter werden regelmäßig einer Sicherheitsüberprüfung unterzogen und auf die Einhaltung der Bewahrung von Betriebsgeheimnissen von Cloud-Service-Abonnenten verpflichtet. Mitarbeiter, die Zugang zu Anwendungs- oder Konfigurationsdaten haben, werden in besonderem Maße auf ihre Pflichten im Umgang mit diesen hingewiesen. A , A , A , A , A A A.8.2.2, A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.6.1.5, A.8.1.1, A.8.1.2, A.8.1.3, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A , A , A , AU-1, AU-7, AU-9, AU-11, PL-6 AT-1, AT-2, AT-3, AT-4, IR-2, PS-1, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, PS-8, FedRAMP CSA CMM V1.4 BSI (5), AU-11, 3 Tab. (4) AT-1, AT-2, AT-3, AT-4, PS-1, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, HR-01, IS-11, IS-12, IS-14, HR-01, HR-02, HR-03, LG-01, LG-02, 10 Tab.: (4), (5) 11 Tab.: (2), (3), 11 Tab.: (1), (4), 46 Bundesamt für Sicherheit in der Informationstechnik

46 Anhang Anhang Bundesamt für Sicherheit in der Informationstechnik 47

47 Anhang A1 IETF Cloud Stack Anhang A1 IETF Cloud Stack 48 Bundesamt für Sicherheit in der Informationstechnik