Amazon Web Services Risiko und Compliance Juli 2012

Transkript

1 Amazon Web Services Risiko und Compliance Juli 2012 (Die aktuelle Version finden Sie unter 1

2 Dieses Dokument bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr vorhandenes Kontrollrahmenwerk integrieren können, das ihre IT-Umgebung unterstützt. In diesem Dokument wird ein einfacher Ansatz zum Bewerten von AWS-Kontrollen erläutert. Außerdembietet es Informationen zur Unterstützung von Kunden bei der Integration von Kontrollumfeldern. In diesem Dokument werden außerdem AWS-spezifische Informationen rund um allgemeine Compliance-Probleme beim Cloud Computing behandelt. Inhalt dieses Dokuments: Risiko und Compliance Übersicht Umgebung mit gemeinsamen Zuständigkeiten Strenge Überwachung von Compliance Bewerten und Integrieren von AWS-Kontrollen AWS-Risiko- und Compliance-Programm Risikomanagement AWS-Kontrollumfeld AWS-Zertifizierungen und Bescheinigungen von Dritten SOC 1 (SSAE 16/ISAE 3402) FISMA Moderate PCI DSS Level 1 DIN ISO/IEC International Traffic in Arms Regulation (ITAR, US-Regelungen des internationalen Waffenhandels) FIPS Wichtige Compliance-Probleme und AWS Kontakt bei AWS Anhang: CSA Consensus Assessments Initiative Fragebogen, Version 1.1 Anhang: Glossar der Begriffe Risiko und Compliance Übersicht Da sich AWS und seine Kunden die Kontrolle der IT-Umgebung teilen, sind beide Parteien für die Verwaltung der IT- Umgebung verantwortlich. Der Anteil von AWS an der gemeinsamen Verantwortung liegt in der Bereitstellung seiner Services auf einer überaus sicheren und kontrollierten Plattform sowie einer breiten Palette von Ssfunktionen, die Kunden nutzen können. In der Verantwortung der Kunden liegt die Konfiguration ihrer IT-Umgebungen auf sichere und kontrollierte Weise für die vorgesehenen Zwecke. Während Kunden ihre Nutzung und Konfigurationen nicht AWS mitteilen, gibt AWS Informationen über sein Ss- und Kontrollumfeld preis, das für Kunden relevant ist. Dies geschieht seitens AWS wie folgt: Erwerben von Branchenzertifizierungen und Bescheinigungen unabhängiger Dritter, die in diesem Dokument beschrieben sind Veröffentlichen von Informationen zu AWS-Ss- und Kontrollpraktiken in Whitepaper und auf Websites Direktes Bereitstellen von Zertifikaten, Berichten und anderer Dokumentation für AWS-Kunden im Rahmen der Vertraulichkeitsvereinbarung (falls erforderlich) 2

3 Detaillierte Informationen zur AWS-S finden Sie im AWS-Whitepaper "Amazon Web Services Übersicht über Ssverfahren" In diesem Whitepaper werden die allgemeinen Sskontrollen und servicespezifischen Ssvorkehrungen beschrieben. Umgebung mit gemeinsamen Zuständigkeiten Wenn Sie Ihre IT-Infrastruktur in AWS-Services verlagern, entsteht ein Modell der gemeinsamen Zuständigkeiten zwischen Kunde und AWS. Dieses gemeinsame Modell bedeutet für die Kunden eine Erleichterung des Betriebs, da AWS die Komponenten des Host-Betriebssystems und der Virtualisierungsebene betreibt, verwaltet und steuert und zudem für die physische S der Standorte sorgt, an denen die Services ausgeführt werden. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Ss-Patches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Ssgruppe. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Zuständigkeiten von den genutzten Services, von deren Integration in Ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften abhängen. Durch Nutzung von Technologien wie Host-basierte Firewalls, Host-basierte Erkennung und Verhinderung des unbefugten Eindringens in Computersysteme, Verschlüsselung und Schlüsselverwaltung können Kunden die S erhöhen und/oder ihre strengere Compliance-Anforderungen erfüllen. Dieses Modell der gemeinsamen Verantwortung sorgt für Flexibilität und Kundenkontrolle, durch die Lösungen bereitgestellt werden können, die branchenspezifische Zertifizierungsanforderungen erfüllen. Das Modell der gemeinsamen Verantwortung von Kunde/AWS kann auch auf IT-Kontrollen ausgedehnt werden. Ebenso wie sich AWS und seine Kunden die Verantwortung für den Betrieb der IT-Umgebung teilen, werden die Verwaltung, der Betrieb und die Überprüfung von IT-Kontrollen von den Beteiligten übernommen. AWS kann Kunden den Aufwand des Betreibens von Kontrollen durch die Verwaltung derjenigen Kontrollen abnehmen, die mit der in der AWS-Umgebung bereitgestellten physischen Infrastruktur verbunden sind, die ggf. zuvor vom Kunden verwaltet wurden. Da jede Kundenumgebung in AWS anders bereitgestellt wird, können Kunden vom Verlagern der Verwaltung bestimmter IT- Kontrollen an AWS profitieren, was zu einem (neuen) verteilten Kontrollumfeld führt. Kunden können die verfügbare Dokumentation zu AWS-Kontrollen und -Compliance (im Abschnitt "AWS-Zertifizierungen und Bescheinigungen von Dritten" dieses Dokuments) nutzen, um ihre Verfahren zur Überprüfung und Bewertung von Kontrollen den Anforderungen entsprechend auszuführen. Im nächsten Abschnitt wird erläutert, wie AWS-Kunden ihr verteiltes Kontrollumfeld effektiv bewerten und überprüfen können. Strenge Überwachung von Compliance Wie gewohnt müssen AWS-Kunden unabhängig von der Art der IT-Bereitstellung weiterhin für eine angemessene Überwachung des gesamten IT-Kontrollumfelds sorgen. Zu den führenden Methoden zählen das Verstehen der zu erfüllenden Compliance-Ziele und -Anforderungen (aus relevanten Quellen), das Einrichten eines Kontrollumfelds, das diese Ziele und Anforderungen erfüllt, das Verstehen der basierend auf der Risikotoleranz der Organisation erforderlichen Überprüfung und das Bestätigen der betrieblichen Effektivität des Kontrollumfelds. Die Bereitstellung in der AWS-Cloud bietet Unternehmen unterschiedliche Möglichkeiten zum Anwenden verschiedener Arten von Kontrollen und Überprüfungsmethoden. Eine strenge Compliance und Überwachung auf Kundenseite kann dem folgenden einfachen Ansatz folgen: 1. Überprüfen der von AWS bereitgestellten Informationen sowie anderer Informationen, um sich so umfassend wie möglich mit der gesamten IT-Umgebung vertraut zu machen, und anschließendes Dokumentieren aller Compliance-Anforderungen 3

4 2. Entwerfen und Implementieren von Kontrollzielen zum Erfüllen der Compliance-Anforderungen des Unternehmens 3. Bestimmen und Dokumentieren von Kontrollen in der Zuständigkeit externer Parteien 4. Bestätigen, dass alle Kontrollziele erfüllt werden und alle wichtigen Kontrollen effektiv entworfen sind und betrieben werden Wenn sich Unternehmen der Überwachung von Compliance auf diese Weise annähern, machen sie sich besser mit ihrem Kontrollumfeld vertraut und können dadurch die durchzuführenden Überprüfungsaufgaben besser erledigen. Bewerten und Integrieren von AWS-Kontrollen AWS bietet seinen Kunden eine umfassende Palette an Informationen zu seinem IT-Kontrollumfeld in Form von Whitepaper, Berichten, Zertifizierungen, Beglaubigungen und anderen Bescheinigungen von Dritten. Diese Dokumentation hilft Benutzern, mehr über die relevanten Kontrollfunktionen der von ihnen verwendeten AWS-Services zu erfahren und zu verstehen, wie diese Kontrollfunktionen eingestuft wurden. Diese Informationen helfen Kunden ebenfalls bei der Prüfung, ob die Kontrollfunktionen ihrer erweiterten IT-Umgebung effektiv sind. Üblicherweise werden die Entwurfs- und Betriebseffektivität von Kontrollzielen und Kontrollen durch interne und/oder externe Prüfer im Rahmen einer Prozessüberprüfung und Evidenzbewertung geprüft. Zum Überprüfen von Kontrollen erfolgt zumeist (durch den Kunden oder externen Prüfer beim Kunden) eine direkte Beobachtung/Untersuchung. Bei Serviceanbietern wie AWS werden Bescheinigungen und Zertifizierungen von Dritten angefordert und bewertet, um die begründete Gewissheit hinsichtlich Entwurfs- und Betriebseffektivität von Kontrollziel und Kontrollen zu haben. Auch wenn die wichtigsten Kontrollen des Kunden von AWS verwaltet werden, kann das Kontrollumfeld im Ergebnis weiter ein einheitliches Rahmenwerk sein, in dem alle Kontrollen berücksichtigt und als effektiv betrieben bestätigt werden. Beglaubigungen und Zertifizierungen von AWS durch Dritte sorgen nicht nur für einen höheren Grad der Überprüfung des Kontrollumfelds, sondern können Kunden die Anforderung abnehmen, bestimmte Überprüfungsaufgaben für ihre IT-Umgebung in der AWS-Cloud selbst zu erledigen. AWS bietet seinen Kunden IT-Kontrollinformationen auf die beiden folgenden Weisen: 1. Definition spezifischer Kontrollen. AWS-Kunden können von AWS verwaltete Schlüsselkontrollen bestimmen. Schlüsselkontrollen sind für das Kontrollumfeld des Kunden sehr wichtig und erfordern eine externe Bescheinigung der Betriebseffektivität dieser Schlüsselkontrollen, um Compliance-Anforderungen zu erfüllen, z. B. die jährliche Bilanzprüfung. Zu diesem Zweck veröffentlicht AWS eine Vielzahl von IT-Kontrollen in seinem Service Organization Controls 1 (SOC 1) Type II-Bericht. Der SOC 1-Bericht, zuvor Statement on Auditing Standards (SAS) No. 70, Service Organizations-Bericht und allgemein SSAE 16-Bericht (Statement on Standards for Attestation Engagements No. 16) genannt, ist eine umfassend anerkannte Prüfungsvorschrift des American Institute of Certified Public Accountants (AICPA). Die SOC 1-Prüfung ist eine umfassende Untersuchung sowohl des Entwurfs als auch der Betriebseffektivität der von AWS definierten Kotrollziele und -aktivitäten (zu der die Kontrollziele und -aktivitäten für den Teil der Infrastruktur zählen, der von AWS verwaltet wird). "Type II" bezieht sich auf die Tatsache, dass alle in dem Bericht beschriebenen Kontrollen vom externen Prüfer nicht nur auf Angemessenheit des Entwurfs, sondern auch auf Betriebseffektivität getestet werden. Aufgrund der Unabhängigkeit und Kompetenz des externen Prüfers von AWS sollten die in dem Bericht identifizierten Kontrollen Kunden mit einem hohen Maß an Vertrauen in das Kontrollumfeld von AWS versehen. Die Kontrollen von AWS zeichnen sich für zahlreiche Compliance-Zwecke, so z. B. Bilanzprüfungen nach Sarbanes-Oxley (SOX) Abschnitt 404, durch einen effektiven Entwurf und Betrieb aus. Das Arbeiten mit SOC 1 Type II-Berichten wird auch von anderen externen Zertifizierungsstellen generell zugelassen (beispielsweise können DIN ISO/IEC Prüfer einen SOC 1 Type II-Bericht anfordern, um ihre Beurteilungen für Kunden fertigzustellen). 4

5 Andere spezifische Kontrollaktivitäten stehen im Zusammenhang mit der Compliance von AWS mit Payment Card Industry (PCI)- und Federal Information Security Management Act (FISMA)-Standards. Wie nachfolgend erläutert, befolgt AWS die FISMA Moderate-Standards und den PCI Data Security Standard. Diese PCI- und FISMA-Standards zeichnen sich durch strenge Vorschriften aus und erfordern eine unabhängige Bescheinigung, dass AWS die veröffentlichten Standards befolgt. 2. Allgemeine Kontrolle der Standard-Compliance.Wenn ein AWS-Kunde will, dass eine breite Palette von Kontrollzielen erfüllt wird, kann eine Überprüfung der Branchenzertifizierungen von AWS erfolgen. AWS ist nach DIN ISO/IEC zertifiziert, erfüllt somit einen weitreichenden Ssstandard und befolgt bewährte Methoden zum Aufrechterhalten einer sicheren Umgebung. Durch Befolgen des PCI Data Security Standard (PCI DSS) erfüllt AWS vielfältige Anforderungen an Kontrollen, die für Kreditkartendaten verarbeitende Unternehmen maßgeblich sind. AWS befolgt die FISMA-Standards und bietet dadurch einen breite Palette spezifischer Kontrollen, die von US-Bundesbehörden gefordert werden. Durch die Einhaltung dieser allgemeinen Standards sind Kunden in umfassender Weise und eingehend über das Wesen der vorhandenen Kontrollen und Ssprozesse, die beim Compliance-Management Berücksichtigung finden können, informiert. AWS-Zertifizierungen und Bescheinigungen durch Dritte werden im weiteren Verlauf dieses Dokuments detaillierter behandelt. AWS-Risiko- und Compliance-Programm AWS bietet Informationen zu seinem Risiko- und Compliance-Programm, damit Kunden AWS-Kontrollen in ihr Überwachungsrahmenwerk integrieren können. Mithilfe dieser Informationen können Kunden ein vollständiges Kontroll- und Überwachungsrahmenwerk dokumentieren, in dem AWS eine wichtige Rolle einnimmt. Risikomanagement Die Geschäftsleitung von AWS hat einen strategischen Unternehmensplan entwickelt, der die Risikoerkennung sowie die Implementierung von Kontrollen zur Verringerung und Bewältigung von Risiken vorsieht. Die Geschäftsleitung von AWS bewertet den strategischen Unternehmensplan mindestens halbjährlich neu. Aufgrund dieses Plans muss die Geschäftsleitung Risiken innerhalb ihrer Zuständigkeitsbereiche erkennen und angemessene Maßnahmen für den Umgang mit solchen Risiken umsetzen. Zusätzlich wird das Kontrollumfeld von AWS verschiedenen internen und externen Risikoanalysen unterzogen. Die Compliance- und Ssteams von AWS haben ein Rahmenwerk für die und dazugehörige Richtlinien entwickelt. Es basiert auf dem COBIT-Rahmenwerk (Control Objectives for Information and related Technology) und ist wirksam mit dem auf ISO Kontrollfunktionen basierenden zertifizierbaren DIN ISO/IEC Rahmenwerk, PCI DSS und National Institute of Standards and Technology (NIST) Publication Rev 3 (Recommended Security Controls for Federal Information Systems) integriert. AWS pflegt die Ssrichtlinien nach, führt Ssschulungen für Mitarbeiter durch und prüft die Anwendungss. Im Rahmen dieser Überprüfungen wird die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie die Einhaltung der Richtlinien für die bewertet. In regelmäßigen Abständen untersucht das Ssteam von AWS alle mit dem Internet verbundenen IP-Adressen von Service-Endpunkten auf Schwachstellen ab (Instances von Kunden werden nicht untersucht). Das AWS- Ssteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen schließen. Zusätzlich werden regelmäßig unabhängige externe Ssfirmen mit einer Überprüfung auf Schwachstellen beauftragt. Die 5

6 Ergebnisse und Empfehlungen dieser Überprüfungen werden kategorisiert und an die Geschäftsleitung von AWS weitergeleitet. Diese Untersuchungen werden zum Erhalten der Integrität und Funktionsfähigkeit der zugrunde liegenden AWS-Infrastruktur durchgeführt. Sie sind nicht dazu gedacht, die kundeneigenen Untersuchungen auf Schwachstellen zu ersetzen, die notwendig sind, um die jeweils geltenden Compliance-Anforderungen zu erfüllen. Kunden können die Erlaubnis zur Durchführung solcher Untersuchungen der eigenen Cloud-Infrastruktur beantragen, sofern sich diese Untersuchungen auf die Instances des Kunden beschränken und nicht gegen die Richtlinien zur angemessenen Nutzung von AWS verstoßen. Eine Genehmigung dieser Arten von Untersuchungen kann über das Formular AWS Vulnerability / Penetration Testing beantragt werden. AWS-Kontrollumfeld AWS verwaltet ein umfassendes Kontrollumfeld, zu dem Richtlinien, Prozesse und Kontrollaktivitäten gehören, die verschiedene Funktionen des allgemeinen Kontrollumfelds von Amazon nutzen. Dieses Kontrollumfeld dient der sicheren Bereitstellung der AWS-Serviceangebote. Das gemeinsame Kontrollumfeld umfasst die Personen, Prozesse und Technologien, die benötigt werden, um eine Umgebung einzurichten und zu verwalten, die die Betriebseffektivität des AWS-Kontrollrahmenwerks unterstützt. AWS hat maßgebliche Cloud-spezifische Kontrollen, die von führenden Cloud Computing-Branchengremien definiert wurden, in das AWS-Kontrollrahmenwerk integriert. AWS verfolgt ständig, welche Vorschläge diese Branchengremien hinsichtlich empfehlenswerter Methoden machen, mit deren Hilfe Kunden bei der Verwaltung ihres Kontrollumfelds besser unterstützt werden können. Das Kontrollumfeld von Amazon setzt auf der Führungsebene des Unternehmens ein. Geschäftsleitung und leitende Angestellte spielen bei der Bestimmung der Firmenphilosophie und Grundwerte des Unternehmens eine entscheidende Rolle. Jeder Mitarbeiter muss den Verhaltenskodex des Unternehmens befolgen, der in regelmäßigen Schulungen vermittelt wird. Compliance-Überprüfungen erfolgen, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen. Die Organisationsstruktur von AWS schafft einen Rahmen für die Planung, Ausführung und Kontrolle des Geschäftsbetriebs. Im Rahmen der Organisationsstruktur werden Rollen und Zuständigkeiten zugewiesen, um eine geeignete Stellenbesetzung, betriebliche Effizienz und Aufgabentrennung sicherzustellen. Die Geschäftsleitung hat Mitarbeitern in Schlüsselpositionen wichtige Kompetenzen eingeräumt und angemessene Berichtslinien für sie vorgesehen. Teil der Einstellungspolitik des Unternehmens sind Überprüfungen des Bildungsabschlusses, des vorherigen Arbeitsverhältnisses und ggf. Hintergrundüberprüfungen im Rahmen gesetzlicher Vorschriften. Neue Mitarbeiter werden in ihrer Einstellungs- und Integrationsphase von Amazon strukturiert mit den Tools, Prozessen, Systemen, Richtlinien und Verfahren des Unternehmens vertraut gemacht. AWS hat ein formelles sprogramm zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Kundensystemen und -daten in Kraft gesetzt. AWS veröffentlicht ein Whitepaper zur S, das auf der öffentlichen Website verfügbar ist und in dem erklärt wird, wie AWS Kunden beim Schutz ihrer Daten helfen kann. AWS-Zertifizierungen und Bescheinigungen von Dritten AWS arbeitet mit externen Zertifizierungsstellen und unabhängigen Prüfern zusammen, um Kunden mit umfassenden Informationen zu Richtlinien, Prozessen und Kontrollen zu versorgen, die von AWS definiert wurden und umgesetzt werden. SOC 1/SSAE 16/ISAE 3402 Amazon Web Services veröffentlicht nun den Bericht "Service Organization Controls 1 (SOC 1), Type II". Die dieser Berichterstattung zugrunde liegende Prüfung wird in Übereinstimmung mit den professionellen Standards "Statement 6

7 on Standards for Attestation Engagements Nr. 16 (SSAE 16)" und "International Standards for Assurance Engagements No (ISAE 3402)" durchgeführt. Dieser zwei Standards abdeckende Bericht hat zum Ziel, eine breite Palette finanzieller Prüfanforderungen von Prüfstellen in den USA und internationalen Prüfstellen zu erfüllen. Der SOC 1-Bericht bescheinigt, dass die Kontrollziele von AWS angemessen ausgearbeitet wurden und die einzelnen zum Schutz der Kundendaten definierten Kontrollen effektiv umgesetzt werden. Diese Prüfung ersetzt den Prüfbericht "Statement on Auditing Standards Nr. 70 (SAS 70) Type II". Die AWS SOC 1-Kontrollziele werden hier erläutert. Im Bericht selbst sind die Kontrollaktivitäten, die alle diese Ziele unterstützen, sowie die Ergebnisse der Testverfahren der einzelnen Kontrollen des unabhängigen Prüfers angegeben. Ssorganisation Amazon-Benutzerzugriff Logische S Sichere Datenverarbeitung Physische S und Schutzvorkehrungen für die Umgebung Änderungsmanagement Integrität, Verfügbarkeit und Redundanz der Daten Umgang mit Vorfällen Durch Kontrollen wird in angemessener Weise sichergestellt, dass Richtlinien für die in Kraft gesetzt und in der gesamten Organisation vermittelt wurden. Durch Kontrollen wird in angemessener Weise sichergestellt, dass Verfahren so eingerichtet wurden, dass Amazon- Benutzerkonten zeitgerecht hinzugefügt, geändert und gelöscht sowie regelmäßig überprüft werden. Durch Kontrollen wird in angemessener Weise sichergestellt, dass unerlaubter Zugriff auf die Daten von interner und externer Stelle beschränkt wird und dass der Zugriff auf die Daten eines Kunden vom Zugriff auf die Daten anderen Kunden getrennt ist. Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenverarbeitung zwischen dem Eingabepunkt des Kunden und dem Speicherplatz von AWS sicher ist und sorgfältig dokumentiert wird. Durch Kontrollen wird in angemessener Weise sichergestellt, dass der physische Zugriff auf das Betriebsgebäude von Amazon und die Rechenzentren auf autorisiertes Personal beschränkt ist und dass Verfahren zum Minimieren der Auswirkungen einer Fehlfunktion oder eines physischen Ausfalls der Computer- und Rechenzentrumsanlagen in Kraft sind. Durch Kontrollen wird in angemessener Weise sichergestellt, dass Änderungen (einschließlich bei Notfällen/Abweichungen von der Routine und Konfigurationen) an den vorhandenen IT- Ressourcen protokolliert, autorisiert, getestet, genehmigt und dokumentiert werden. Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenintegrität in allen Phasen, von der Übermittlung über die Speicherung bis hin zur Verarbeitung, gewährleistet ist. Durch Kontrollen wird in angemessener Weise sichergestellt, dass Systemvorfälle aufgezeichnet, untersucht und behoben werden. Bei den neuen SOC 1-Berichten liegt der Schwerpunkt auf Kontrollen einer Serviceorganisation, die bei einer Überprüfung der Bilanzen eines Unternehmens voraussichtlich relevant sind. Da der Kundenstamm von AWS ebenso breit gefächert ist wie die Nutzung von AWS-Services, hängt die Anwendbarkeit von Kontrollen auf Kundenbilanzen vom jeweiligen Kunden ab. Deshalb deckt der AWS SOC 1-Bericht bestimmte wichtige Kontrollen ab, die während einer Bilanzprüfung voraussichtlich erforderlich sind. Zugleich wird eine breite Palette allgemeiner IT-Kontrollen abgedeckt, 7

8 um eine Vielzahl von Nutzungs- und Prüfszenarien zu berücksichtigen. Dies ermöglicht Kunden die Nutzung der AWS- Infrastruktur zum Speichern und Verarbeiten kritischer Daten einschließlich derjenigen, die für den Bilanzberichtsprozess wesentlich sind. AWS analysiert regelmäßig die Auswahl dieser Kontrollen neu, um Kundenfeedback und die Nutzung dieses wichtigen Prüfberichts zu berücksichtigen. AWS verpflichtet sich auch in Zukunft zur SOC 1-Berichterstattung und plant, Prüfungen in regelmäßigen Abständen fortzusetzen. Der SOC 1-Bericht deckt Folgendes ab: Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Virtual Private Cloud (VPC), Amazon Elastic Block Store (EBS), Amazon Relational Database Service (RDS), Amazon DynamoDB, Amazon Direct Connect, Amazon VM Import, Amazon Storage Gateway und die Infrastruktur, in der diese Komponenten in allen Regionen weltweit ausgeführt werden. FISMA Moderate Mit AWS können US-Bundesbehörden Compliance in Bezug auf den Federal Information Security Management Act (FISMA) erreichen und einhalten. FISMA verlangt von Bundesbehörden die Entwicklung, Dokumentierung und Implementierung eines ssystem für seine Daten und Infrastrukturen auf der Grundlage des Standards "National Institute of Standards and Technology Special Publication , Revision 3". FISMA Moderate Authorization and Accreditation verlangt von AWS die Implementierung und den Betrieb einer umfangreichen Zusammenstellung von Ssprozessen und Kontrollen. Dazu gehört die Dokumentation der administrativen, operativen und technischen Prozesse, mit denen die physische und virtuelle Infrastruktur geschützt werden, und die Prüfung der eingerichteten Prozesse und Kontrollen durch Dritte. AWS hat von der General Services Administration eine dreijährige Genehmigung vom Typ "FISMA Moderate" für IaaS (Infrastructure as a Service) erhalten. Darüber hinaus haben auf der AWS-Plattform entwickelte Angebote von Dritten FISMA Moderate-ATO-Zertifizierungen von US- Bundesbehörden erhalten. PCI DSS Level 1 AWS erfüllt die PCI DSS-Anforderungen an Shared Hosting-Anbieter. AWS erfüllt außerdem die Anforderungen an Service-Anbieter auf Level 1 gemäß PCI DSS Version 2.0. Händler und andere PCI-Service-Anbieter können die AWS PCIkonforme IT-Infrastruktur für die Speicherung, Verarbeitung und Übertragung von Kreditkarteninformationen in der Cloud nutzen, solange diese Kunden für ihren Teil der gemeinsam genutzten Umgebung PCI-Compliance sicherstellen. Diese Compliance-Überprüfung gilt für Amazon EC2, Amazon S3, Amazon EBS, Amazon VPC, Amazon RDS, Amazon Elastic Load Balancing (ELB), Amazon Identity and Access Management (IAM) und die Infrastruktur, in der diese Komponenten in allen Regionen weltweit ausgeführt werden. AWS stellt zusätzliche Informationen und Antworten auf häufig gestellte Fragen zur PCI-Compliance auf seiner Website bereit und arbeitet direkt mit Kunden bei der Vorbereitung und Bereitstellung einer PCI-konformen Umgebung für Karteninhaber in der AWS-Infrastruktur zusammen. DIN ISO/IEC AWS hat für sein s-managementsystem (ISMS), zu dem die AWS-Infrastruktur und - Rechenzentren sowie Services wie Amazon EC2, Amazon S3 und Amazon VPC gehören, die Zertifizierung nach DIN ISO/IEC erhalten. DIN ISO/IEC / ISO ist ein weit verbreiteter globaler Ssstandard, der Anforderungen und bewährte Methoden für eine systematische Vorgehensweise zur Verwaltung von Unternehmensund Kundendaten beschreibt und auf regelmäßigen Risikobewertungen basiert, die an sich ständig ändernde Bedrohungsszenarien angepasst sind. Um die Zertifizierung zu erhalten, muss ein Unternehmen zeigen, dass es über einen systematischen und kontinuierlichen Ansatz für den Umgang mit srisiken verfügt, die die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten bedrohen. Diese Zertifizierung unterstreicht das Engagement von Amazon, Sskontrollen und -praktiken transparent zu machen. Die Zertifizierung von AWS nach DIN ISO/IEC umfasst alle AWS-Rechenzentren in allen Regionen weltweit. Außerdem hat AWS ein formelles Programm eingeführt, um die Zertifizierung zu bestätigen. AWS bietet auf seiner Website weitere Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach DIN ISO/IEC

9 International Traffic in Arms Regulation (ITAR, US-Regelungen des internationalen Waffenhandels) Die von AWS verwaltete Region AWS GovCloud (USA) unterstützt die Einhaltung der US-Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations, ITAR). Als Teil der Verwaltung eines umfangreichen Programms zur Einhaltung von ITAR müssen Unternehmen, die den Exportregelungen von ITAR unterliegen, unbeabsichtigte Exporte kontrollieren, indem der Zugriff auf geschützte Daten auf Personen aus den USA und der physische Standort dieser Daten auf die USA beschränkt wird. Die von AWS GovCloud (USA) bereitgestellte Umgebung befindet sich physisch in den USA. Der Zugriff durch AWS-Personal ist auf Personen aus den USA beschränkt. Auf diese Weise können qualifizierte Unternehmen durch ITAR geschützte Artikel und Daten übertragen, verarbeiten und speichern. Die AWS GovCloud-Umgebung (USA) wurde durch einen unabhängigen Dritten geprüft, um sicherzustellen, dass die ordnungsgemäßen Kontrollen zur Unterstützung der Exportregelungsprogramme von Kunden vorhanden sind. FIPS Die Veröffentlichung des Federal Information Processing Standard (FIPS) ist ein Ssstandard der US- Regierung, mit dem die Ssanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. Um Kunden mit FIPS Anforderungen zu unterstützen, werden die VPN-Endpunkte der Amazon Virtual Private Cloud und die Load Balancer mit SSL-Beendigung in AWS GovCloud (USA) mit durch FIPS validierter Hardware betrieben. AWS arbeitet mit AWS GovCloud (USA)-Kunden zusammen, um die Informationen bereitzustellen, die benötigt werden, um die Einhaltung von Vorschriften bei Verwendung der AWS GovCloud (USA)- Umgebung sicherzustellen. Andere Initiativen zur Einhaltung von Vorschriften Die Flexibilität und Benutzerfreundlichkeit der AWS-Plattform erlaubt die Bereitstellung von Lösungen, die branchenspezifischen Zertifizierungsanforderungen genügen. HIPPA: Kunden haben in AWS beispielsweise Anwendungen für das Gesundheitswesen erstellt, die den Ss- und Datenschutzregeln von HIPPA entsprechen. AWS bietet die Ssvorkehrungen, mit denen Kunden elektronische Patientenakten schützen können. Weitere Informationen finden Sie im dazugehörigen Whitepaper (siehe den Link unten). CSA: AWS hat den Fragenkatalog der Cloud Security Alliance (CSA) Consensus Assessments Initiative beantwortet. Dieser von der CSA veröffentlichte Fragenkatalog bietet eine Möglichkeit zur Bezugnahme und Dokumentation, welche Ssvorkehrungen in der IaaS-Infrastruktur von AWS geboten werden. Der Fragenkatalog (CAIQ) enthält über 140 Fragen, die Cloud-Nutzer und -Begutachter ggf. einem Cloud-Anbieter stellen. In Anhang A dieses Dokuments finden Sie den von AWS ausgefüllten Fragenkatalog der CSA Consensus Assessments Initiative. 9

10 Wichtige Compliance-Probleme und AWS In diesem Abschnitt werden allgemeine AWS-spezifische Compliance-bezogene Themen beim Cloud Computing behandelt. Diese allgemeinen Compliance-Themen sind ggf. bei der Überprüfung des Betriebs in einer Cloud Computing- Umgebung von Interesse und können die Anstrengungen von AWS-Kunden beim Kontrollmanagement unterstützen. Punkt Cloud Computing- Compliance-Thema 1 Zuständigkeit für Kontrollen. Wer ist für welche Kontrollen in der Infrastruktur zuständig, die in der Cloud bereitgestellt ist? 2 Überprüfung der IT. Wie kann eine Überprüfung des Cloud-Anbieters erfolgen? 3 Compliance mit Sarbanes- Oxley (SOX). Wie wird SOX-Compliance erreicht, wenn SOX unterliegende Systeme in der Umgebung des Cloud-Anbieters bereitgestellt werden? 4 Compliance mit HIPAA. Können bei einer Bereitstellung in der Umgebung des Cloud- Anbieters HIPAA- Vorgaben erfüllt werden? Informationen zu AWS Für den in AWS bereitgestellten Teil kontrolliert AWS die physischen Komponenten der jeweiligen Technologie. Der Kunde übernimmt die Zuständigkeit und Kontrolle für alle anderen Komponenten, einschließlich Verbindungspunkte und Übertragungen. Um Kunden besser zu veranschaulichen, welche Kontrollen vorhanden sind und wie effektiv diese sind, veröffentlicht AWS einen SOC 1 Type II-Bericht zu den für EC2, S3 und VPC definierten Kontrollen sowie detaillierte Angaben zu den Kontrollen der physischen S und Umgebung. Diese Kontrollen sind mit einem hohen Grad an Spezifität definiert, der die Anforderungen der meisten Kunden erfüllen sollte. AWS-Kunden, die eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein Exemplar des SOC 1 Type II-Berichts anfordern. Die Überprüfung der meisten Ebenen und Kontrollen oberhalb der physischen Kontrollen liegt weiter in der Zuständigkeit des Kunden. Die Definition der von AWS definierten logischen und physischen Kontrollen ist im SOC 1 Type II-Bericht dokumentiert (SSAE 16). Dieser Bericht steht Audit- und Compliance-Teams zur Prüfung zur Verfügung. Die AWS-Zertifizierung nach DIN ISO/IEC und andere Zertifizierungen können ebenfalls von Prüfern geprüft werden. Wenn ein Kunde Finanzdaten in der AWS-Cloud verarbeitet, stellen Prüfer des Kunden ggf. fest, dass einige AWS-Systeme den Sarbanes-Oxley (SOX)-Vorschriften unterliegen. Die Prüfer des Kunden müssen selbständig bestimmen, ob SOX- Vorschriften gelten. Da die meisten logischen Zugriffskontrollen vom Kunden verwaltet werden, ist der Kunde am ehesten in der Lage zu bestimmen, ob seine Kontrollmaßnahmen geltende Normen erfüllen. Wenn die SOX-Prüfer spezifische Informationen zu den physischen Kontrollen von AWS wünschen, können sie Bezug auf den SOC 1 Type II-Bericht von AWS nehmen, in dem die Kontrollen von AWS detailliert beschrieben werden. HIPAA-Vorschriften gelten für den AWS-Kunden und unterliegen seiner Zuständigkeit. Die AWS-Plattform lässt die Bereitstellung von Lösungen zu, die branchenspezifische Zertifizierungsvorgaben wie HIPAA erfüllen. Kunden können AWS-Services nutzen, um für einen Ssgrad zu sorgen, der die Vorschriften zum Schutz elektronischer Patientenakten auf jeden Fall erfüllt. Kunden haben in AWS beispielsweise Anwendungen für das Gesundheitswesen erstellt, die den Ss- und Datenschutzregeln von HIPPA entsprechen. AWS bietet auf seiner Website weitere Informationen zur Compliance mit HIPAA, so z. B. ein Whitepaper zu diesem Thema. 10

11 5 Compliance mit GLBA. Können bei einer Bereitstellung in der Umgebung des Cloud- Anbieters GLBA- Zertifizierungsvorgaben erfüllt werden? 6 Compliance mit US- Bundesvorschriften. Kann eine US-Bundesbehörde bei einer Bereitstellung in der Umgebung des Cloud- Anbieters Ss- und Datenschutzvorschriften erfüllen? 7 Speicherort der Daten. Wo sind Kundendaten gespeichert? 8 E-Discovery. Erfüllt der Cloud-Anbieter die Anforderungen des Kunden hinsichtlich E- Discovery-Verfahren und - Vorgaben? Die meisten GLBA-Vorgaben unterliegen der Kontrolle des AWS-Kunden. AWS bietet Kunden Möglichkeiten zum Schützen von Daten, Verwalten von Berechtigungen und Erstellen GLBA-konformer Anwendungen in der AWS- Infrastruktur. Wenn Kunden sich vergewissern möchten, ob physische Sskontrollen effektiv arbeiten, können sie den Anforderungen entsprechend Bezug auf den AWS SOC 1 Type II-Bericht nehmen. US-Bundesbehörden können eine Reihe von Compliance-Standards erfüllen, so z. B. Federal Information Security Management Act (FISMA) aus dem Jahr 2002, die Federal Information Processing Standard (FIPS) Publication und die International Traffic in Arms Regulations (ITAR). Je nach Vorgaben im jeweiligen Regelwerk ist auch die Einhaltung weiterer Gesetze und Vorschriften möglich. AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. Die Datenreplikation für S3-Datenobjekte erfolgt innerhalb des regionalen Clusters, in dem die Daten gespeichert sind, und die Daten werden nicht in andere Rechenzentrums-Cluster in anderen Regionen repliziert. AWS- Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um Gesetze oder Vorschriften einzuhalten. AWS ist gegenwärtig in den folgenden acht Regionen verfügbar: USA Ost (Nord-Virginia), USA West (Nordkalifornien), USA West (Oregon), GovCloud (USA), EU (Irland), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio) und Südamerika (São Paulo). AWS stellt die Infrastruktur. Die Kunden verwalten alle anderen Komponenten einschließlich Betriebssystem, Netzwerkkonfiguration und installierte Anwendungen. Es liegt in der Zuständigkeit des Kunden für den Fall eines Rechtsverfahren, elektronische Dokumente, die in AWS gespeichert oder verarbeitet werden, zu bestimmen, zu sammeln, zu verarbeiten, zu analysieren und vorzulegen. Auf Antrag arbeitet AWS ggf. mit Kunden zusammen, die bei Rechtsverfahren die Unterstützung durch AWS benötigen. 11

12 9 Rechenzentrumsbesuche. Lässt der Cloud-Anbieter Besuche von Rechenzentren zu? 10 Zugriff durch Dritte. Dürfen Dritte auf die Rechenzentren des Cloud- Anbieters zugreifen? 11 Privilegierte Aktionen. Werden privilegierte Aktionen überwacht und kontrolliert? 12 Zugriff durch Unternehmensangehörige. Wie geht der Cloud- Anbieter mit dem Risiko eines unangemessenen Zugriffs durch Unternehmensangehörige auf Kundendaten und - anwendungen um? Nein. Aufgrund der Tatsache, dass in seinen Rechenzentren mehrere Kunden gehostet werden, lässt AWS keine Kundenbesuche in Rechenzentren zu, da dadurch eine große Vielzahl von Kunden dem physischen Zugriff durch Dritte ausgesetzt würden. Zur Erfüllung dieser Kundenanforderung überprüft ein unabhängiger und kompetenter Prüfer das Vorhandensein und den Einsatz von Kontrollen als Teil unseres SOC 1 Type II-Berichts (SSAE 16). Durch diese weitreichend akzeptierte Bescheinigung durch einen Dritten erhalten Kunden eine unabhängige Sicht auf die Wirksamkeit der vorhandenen Kontrollen. AWS-Kunden, die eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein Exemplar des SOC 1 Type II-Berichts anfordern. Unabhängige Überprüfungen der physischen S von Rechenzentren ist außerdem Teil der DIN ISO/IEC , PCI- und ITAR-Prüfung sowie der FISMA-Testprogramme. AWS kontrolliert streng den Zugriff auf Rechenzentren, selbst bei internen Mitarbeitern. Dritten wird kein Zugriff auf AWS-Rechenzentren gewährt, es sei denn, es liegt gemäß den AWS-Zugriffsrichtlinien eine ausdrückliche Genehmigung durch den zuständigen AWS-Rechenzentrumsmanager vor. Im SOC 1 Type II- Bericht finden Sie Informationen zu spezifischen Kontrollen in Bezug auf den physischen Zugriff, die Autorisierung des Zugriffs auf Rechenzentren und andere dazugehörige Kontrollen. Vorhandene Kontrollen begrenzen den Zugriff auf Systeme und Daten und sorgen dafür, dass der Zugriff auf Systeme und Daten eingeschränkt ist und überwacht wird. Darüber hinaus sind Kundendaten und Server-Instances standardmäßig logisch von anderen Kunden isoliert. Die Kontrolle des privilegierten Benutzerzugriffs wird durch einen unabhängigen Prüfer im Rahmen von SOC 1-, DIN ISO/IEC , PCI-, ITAR- und FISMA-Prüfungen bei AWS überprüft. AWS hat bestimmte SOC 1-Kontrollen eingerichtet, die sich auf das Risiko eines unangemessenen Zugriffs durch Unternehmensangehörige beziehen, und die öffentlichen Zertifizierungs- und Compliance-Initiativen, die in diesem Dokument behandelt werden, befassen sich mit dem Zugriff durch Unternehmensangehörige. Bei sämtlichen Zertifizierungen und Bescheinigungen durch Dritte werden präventive und nachträglich aufdeckende Kontrollen des logischen Zugriffs überprüft. Darüber hinaus konzentrieren sich regelmäßige Risikobewertungen darauf, wie der Zugriff durch Unternehmensangehörige kontrolliert und überwacht wird. 12

13 13 Mehrere Mandanten. Ist die Trennung der Daten verschiedener Kunden sicher umgesetzt? Die AWS-Umgebung ist eine virtualisierte Umgebung für mehrere Mandanten. AWS hat Ssverwaltungsprozesse, PCI-Kontrollen und andere Sskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden voneinander getrennt werden. AWS-Systeme sind so konzipiert, dass Kunden daran gehindert werden, auf physische Hosts oder Instances zuzugreifen, die ihnen nicht zugewiesen sind, indem eine Filterung durch die Virtualisierungssoftware erfolgt. Diese Arc wurden von einem unabhängigen PCI- Ssgutachter (Qualified Security Assessor, QSA) geprüft und erfüllt sämtliche Vorgaben der im Oktober 2010 veröffentlichten PCI DSS-Version 2.0. Beachten Sie, dass AWS auch Einzelmandantenoptionen bietet. Dedicated Instances sind Amazon EC2-Instances, die innerhalb Ihrer Amazon Virtual Private Cloud (Amazon VPC) gestartet werden und nur zur Ausführung der Hardware eines einzigen Kunden dienen. Mithilfe von Dedicated Instances kommen Sie in den vollen Genuss der Vorteile der Amazon VPC und AWS-Cloud, während Ihre Amazon EC2-Instances auf Hardware-Ebene isoliert werden. 14 Hypervisor- Schwachstellen. Hat der Cloud-Anbieter bekannte Hypervisor- Schwachstellen beseitigt? 15 Umgang mit Schwachstellen. Werden Patches ordnungsgemäß in Systeme eingespielt? 16 Verschlüsselung. Unterstützen die bereitgestellten Services eine Verschlüsselung? 17 Rechte an Daten. Welche Rechte werden dem Cloud-Anbieter an Kundendaten eingeräumt? Amazon EC2 nutzt derzeit eine stark angepasste Version des Xen-Hypervisors. Der Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft und eignet sich gut für die Aufrechterhaltung einer strikten Trennung zwischen virtuellen Gastmaschinen. Im Verlauf von Begutachtungen und Überprüfungen wird der Xen- Hypervisor von AWS regelmäßig von unabhängigen Prüfern beurteilt. Im AWS- Whitepaper zur S finden Sie weitere Informationen zum Xen-Hypervisor und zur strikten Trennung von Instances. AWS ist zuständig für das Einspielen von Patches in Systeme, die für die Bereitstellung von Services für die Kunden genutzt werden, z. B. Hypervisor und Netzwerkdienste. Dies erfolgt gemäß AWS-Richtlinien sowie DIN ISO/IEC , NIST- und PCI-Vorgaben. Kunden obliegt die Kontrolle ihrer eigenen Gastbetriebssysteme, Software und Anwendungen. Sie sind demzufolge für das Einspielen von Patches in ihre eigenen Systeme selbst verantwortlich. Ja. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS, SimpleDB und EC2. VPC- Sitzungen sind ebenfalls verschlüsselt. Amazon S3 bietet Kunden auch als Option die serverseitige Verschlüsselung. Kunden können auch Verschlüsselungsmethoden anderer Anbieter nutzen. Weitere Informationen finden Sie im AWS-Whitepaper zur S. Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS geht beim Schutz der Kundendaten auf Nummer Sicher und achtet sorgfältig darauf, welche gesetzlichen Vorschriften einzuhalten sind. AWS zögert nicht, Verfügungen von Strafverfolgungsbehörden anzufechten, wenn das Unternehmen der Meinung ist, die Verfügungen seien ohne solide Grundlage. 13

14 18 Datenisolierung. Trennt der Cloud-Anbieter Kundendaten auf angemessene Weise? 19 Zusammengesetzte Services. Bietet der Cloud- Anbieter seinen Service im Zusammenspiel mit Cloud- Services anderer Anbieter an? 20 Physische und Umgebungskontrollen. Werden diese Kontrollen vom angegebenen Cloud- Anbieter übernommen? 21 Schutz auf Client-Seite. Erlaubt der Cloud- Anbieter Kunden die Absicherung und Verwaltung des Zugriffs von Clients wie PCs und mobilen Geräten? 22 Servers. Erlaubt der Cloud-Anbieter Kunden die Absicherung ihrer virtuellen Server? 23 Identitäts- und Zugriffsverwaltung. Bietet der Service Funktionen für die Identitäts- und Zugriffsverwaltung? 24 Geplante Ausfallzeiten für Wartungen. Wird der Kunde benachrichtigt, wenn Systeme zu Wartungszwecken heruntergefahren werden? Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge Ss- und Kontrollfunktionen zum Gewährleisten der strikten Trennung von Kundendaten. Amazon S3 bietet erweiterte Datenzugriffskontrollen. Weitere Informationen zur S bestimmter Datenservices finden Sie im AWS- Whitepaper zur S. AWS arbeitet nicht mit anderen Cloud-Anbietern zusammen, um Kunden AWS- Services zu bieten. Ja. Siehe hierzu den entsprechenden Abschnitt im SOC 1 Type II-Bericht. Darüber hinaus fordern andere von AWS unterstützte Zertifizierungen wie DIN ISO/IEC und FISMA bewährte Methoden für physische und Umgebungskontrollen an. Ja. AWS erlaubt Kunden die Verwaltung von Client- und mobilen Anwendungen entsprechend ihren Anforderungen. Ja. AWS erlaubt Kunden die Implementierung ihrer eigenen Ssarc. Im AWS-Whitepaper zur S finden Sie weitere Informationen zur Serverund Netzwerks. AWS bietet verschiedene Funktionen für die Identitäts- und Zugriffsverwaltung, die Kunden das Verwalten von Benutzeridentitäten, das Zuweisen von Anmeldeinformationen, das Organisieren von Benutzern in Gruppen und das Verwalten von Benutzerberechtigungen zentral ermöglichen. Auf der AWS- Website finden Sie weitere Informationen. AWS muss Systeme für regelmäßige Wartungs- und System-Patch-Aufgaben nicht offline schalten. Die internen Wartungs- und System-Patch-Vorgänge bei AWS haben in der Regel keine Auswirkungen auf Kunden. Die Wartung der Instances selbst ist Aufgabe des Kunden. 14

15 25 Skalierbarkeit. Erlaubt der Anbieter Kunden eine Skalierung, die über den Ursprungsvertrag hinausgeht? 26 Verfügbarkeit von Services. Verpflichtet sich der Anbieter zu einem hohen Grad an Verfügbarkeit? 27 Distributed Denial Of Service-Angriffe (DDoS). Welche Schutzvorkehrungen bietet der Anbieter gegen DDoS-Angriffe? 28 Portierbarkeit von Daten. Können die bei einem Service-Anbieter gespeicherten Daten auf Kundenwunsch exportiert werden? 29 Aufrechterhaltung des Geschäftsbetriebs durch den Service-Anbieter. Bietet der Service- Anbieter ein Programm zur Aufrechterhaltung des Geschäftsbetriebs? 30 Betriebskontinuität auf Kundenseite. Erlaubt der Service-Anbieter Kunden die Implementierung eines Plans zur Betriebskontinuität? Die AWS-Cloud zeichnet sich durch Verteilung, hohe S und Ausfalls aus und bietet Kunden ein enormes Skalierungspotenzial. Kunden können ihre Bereitstellung vergrößern oder verkleinern und zahlen stets nur, was sie nutzen. In seinen Service Level Agreements (SLA) verpflichtet sich AWS zu hohen Verfügbarkeitsgraden. Für Amazon EC2 verpflichtet sich AWS beispielsweise zu einer Betriebszeit von 99,95 % im Jahr der Serviceleistung. Bei Amazon S3 beträgt die mindestens zugesagte Betriebszeit 99,99 %. Sollten diese Verfügbarkeitszeiten nicht eingehalten werden, erfolgen Servicegutschriften. Am 21. April 2011 verzeichnete EC2 einen Service-Ausfall in der Region USA Ost, der Auswirkungen auf die Kunden hatte. Details zum Service-Ausfall erhalten Sie im Artikel "Summary of the Amazon EC2 and Amazon RDS Service Disruption in the US East Region" ( Das AWS-Netzwerk bietet umfassenden Schutz vor üblichen Netzwerk- Ssproblemen. Darüber hinaus kann der Kunde zusätzliche Ssmaßnahmen implementieren. Im AWS-Whitepaper zur S finden Sie weitere Informationen zu diesem Thema und auch eine Erläuterung von DDoS-Angriffen. AWS ermöglicht Kunden das Verschieben von Daten zwischen ihrem eigenen und AWS-Speicher den Anforderungen entsprechend. Der AWS Import/Export-Service für S3 beschleunigt das Verschieben großer Datenmengen in und aus AWS mithilfe tragbarer Speichergeräte für den Transport. AWS bietet ein Programm zur Aufrechterhaltung des Geschäftsbetriebs. Ausführliche Informationen finden Sie im AWS-Whitepaper zur S. AWS bietet Kunden die Möglichkeit der Implementierung eines zuverlässigen Plans zur Betriebskontinuität, einschließlich häufiger Sicherungen von Server-Instances, Replikation zur Datenredundanz und sich über mehrere Regionen/Availability Zones erstreckender Bereitstellungsarcen. 15

16 31 Lebensdauer von Daten. Bestimmt der Service die Lebensdauer von Daten? 32 Sicherungskopien. Ermöglicht der Service Sicherungen auf Band? 33 Preisanstiege. Darf der Service-Anbieter seine Preise unangemeldet erhöhen? 34 Nachhaltigkeit. Bietet der Service-Anbieter ein langfristiges Nachhaltigkeitspotenzial? Amazon S3 bietet eine Speicherinfrastruktur mit hoher Beständigkeit. Objekte werden auf mehreren Geräten an mehreren Standorten einer Amazon S3-Region redundant gespeichert. Nach der Speicherung bewahrt Amazon S3 die Beständigkeit von Objekten durch schnelle Erkennung und Behebung etwaiger Redundanzverluste. Amazon S3 überprüft auch regelmäßig die Integrität der gespeicherten Daten anhand von Prüfsummen. Wenn Datenbeschädigungen festgestellt werden, erfolgt eine Reparatur mittels redundanter Daten. In S3 gespeicherte Daten sind auf eine Beständigkeit von 99, % und eine Verfügbarkeit von Objekten von 99,99 % über einen Zeitraum von einem Jahr ausgelegt. AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings keinen Bandsicherungsservice an. Der Amazon S3-Service ist mit einer Wahrscheinlichkeit von Datenverlusten auf nahezu 0 % ausgelegt. Die Beständigkeit von Datenobjektkopien an mehreren Standorten wird mittels redundanter Datenspeicherung erreicht. Informationen zur Beständigkeit und Redundanz von Daten finden Sie auf der AWS-Website. AWS zeichnet sich durch häufige Preissenkungen aus, da die Kosten zum Bereitstellen dieser Services mit der Zeit sinken. In den vergangen Jahren hat AWS seine Preise stets reduziert. AWS ist ein führender Cloud-Anbieter und ein langfristiges Strategieprojekt von Amazon.com. AWS hat ein sehr hohes langfristiges Nachhaltigkeitspotenzial. Kontakt bei AWS Kunden können sich über ihren Vertreter für Geschäftsentwicklung an das AWS-Team für Compliance oder Security wenden. Der Vertreter leitet Kunden je nach Art ihrer Anfrage an das entsprechende Team weiter. Alternativ können allgemeine Fragen an folgende Adresse gesendet werden: aws-security@amazon.com ANHAND A: CSA CONSENSUS ASSESSMENTS INITIATIVE FRAGEBOGEN, VERSION 1.1 Die Cloud Security Alliance (CSA) ist eine "gemeinnützige Organisation mit dem Ziel der Förderung der Befolgung bewährter Methoden zum Gewährleisten von S beim Cloud Computing und zum Informieren über die Einsatzmöglichkeiten von Cloud Computing zum Absichern aller anderen Formen der Datenverarbeitung". [Referenz Eine große Vielzahl von IT-Ssexperten, Unternehmen und Verbänden beteiligen sich an diesem Projekt, damit die Ziele der Organisation erreicht werden. 16

17 Der Fragenkatalog der CSA Consensus Assessments Initiative umfasst verschiedene Fragen, die Cloud-Nutzer und/oder - Begutachter ggf. einem Cloud-Anbieter stellen. Dazu zählen eine Reihe von Fragen zu S, Kontrolle und Prozessen, die anschließend für eine breite Palette von Zwecken genutzt werden können, z. B. bei der Auswahl des Cloud-Anbieters und der Ssbewertung. AWS hat diesen Fragenkatalog wie folgt beantwortet. Bereich Compliance Compliance Kontrollgrupp e. Planung von Prüfungen Unabhängige Prüfungen CID CO-01.1 CO-02.1 Consensus Assessments Initiative- Fragen Generieren Sie Prüfbescheinigungen in einem strukturierten, branchenweit akzeptierten Format (z. B. CloudAudit/A6 URI Ontology, CloudTrust, SCAP/CYBEX, GRC XML, ISACA's Cloud Computing Management Audit/Assurance Program usw.)? Erlauben Sie Mandanten Einsicht in Ihre Berichte vom Typ SAS70 Type II/SSAE 16 SOC2/ISAE3402 oder ähnliche Prüfberichte von Dritten? Compliance CO-02.2 Führen Sie regelmäßige Netzwerkpenetrationstests Ihrer Cloud- Service-Infrastruktur gemäß branchenüblicher bewährter Methoden und Anleitungen durch? Compliance CO-02.3 Führen Sie regelmäßige Anmeldungspenetrationstests Ihrer Cloud- Service-Infrastruktur gemäß branchenüblicher bewährter Methoden und Anleitungen durch? Compliance CO-02.4 Führen Sie regelmäßige interne Überprüfungen gemäß branchenüblicher bewährter Methoden und Anleitungen durch? Compliance CO-02.5 Führen Sie regelmäßige externe Überprüfungen gemäß branchenüblicher bewährter Methoden und Anleitungen durch? Compliance CO-02.6 Werden die Ergebnisse von Netzwerkpenetrationstests Mandanten auf Antrag vorgelegt? Compliance CO-02.7 Werden die Ergebnisse interner und externer Überprüfungen Mandanten auf Antrag vorgelegt? Compliance Überprüfungen durch Dritte CO-03.1 Erlauben Sie Mandanten unabhängige Überprüfungen auf Schwachstellen? Antwort von AWS AWS hat bestimmte Branchenzertifizierungen und unabhängige Bescheinigungen durch Dritte erhalten und stellt AWS-Kunden mit einer Vertraulichkeitsvereinbarung bestimmte Zertifizierungen, Berichte und andere relevante Dokumente direkt zur Verfügung. AWS stellt Kunden mit einer Vertraulichkeitsvereinbarung Bescheinigungen durch Dritte, Zertifizierungen, einen Service Organization Controls 1 (SOC 1) Type II-Bericht und andere relevante Compliance-bezogene Berichte direkt zur Verfügung. In regelmäßigen Abständen untersucht das Ssteam von AWS alle mit dem Internet verbundenen IP-Adressen von Service- Endpunkten auf Schwachstellen ab (Instances von Kunden werden nicht untersucht). Das AWS- Ssteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen schließen. Zusätzlich werden regelmäßig unabhängige externe Ssfirmen mit einer Überprüfung auf Schwachstellen beauftragt. Die Ergebnisse und Empfehlungen dieser Überprüfungen werden kategorisiert und an die Geschäftsleitung von AWS weitergeleitet. Zusätzlich wird das Kontrollumfeld von AWS regelmäßigen internen und externen Risikoanalysen unterzogen. AWS beauftragt externe Zertifizierungsgremien und unabhängige Prüfer mit dem Prüfen und Testen des gesamten AWS-Kontrollumfelds. Kunden können die Erlaubnis zur Durchführung solcher Untersuchungen der eigenen Cloud- 17

18 Compliance CO-03.2 Beauftragen Sie externe Unternehmen mit Untersuchungen auf Schwachstellen und regelmäßigen Penetrationstests Ihrer Anwendungen und Netzwerke? Infrastruktur beantragen, sofern sich diese Untersuchungen auf die Instances des Kunden beschränken und nicht gegen die Richtlinien zur angemessenen Nutzung von AWS verstoßen. Eine Genehmigung dieser Arten von Untersuchungen kann über das Formular "AWS Vulnerability / Penetration Testing" beantragt werden. Compliance Compliance Kontakt mit Behörden Segmentierung von Kundendaten CO-04.1 CO-05.1 CO-05.2 Pflegen Sie gemäß Verträgen und geltenden Vorschriften Kontakte mit lokalen Behörden? Haben Sie die Möglichkeit, Kundendaten dergestalt logisch so zu segmentieren oder zu verschlüsseln, dass Daten nur für einen einzelnen Mandaten generiert werden können, ohne unbeabsichtigterweise auf Daten eines anderen Mandanten zuzugreifen? Haben Sie die Fähigkeit, Daten eines bestimmten Kunden zu segmentieren und bei einem Systemausfall oder nach Datenverlust wiederherzustellen? Das AWS-Ssteam beauftragt regelmäßig unabhängige Ssexperten mit der Durchführung externer Überprüfungen auf Schwachstellen. Der AWS SOC 1 Type 2-Bericht bietet weitere Details zu den spezifischen Kontrollmaßnahmen von AWS. AWS pflegt gemäß der Norm DIN ISO/IEC Kontakte mit Branchengremien, Risikomanagement- und Compliance- Organisationen, lokalen Behörden und Regulierungsgremien. Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge Ssund Kontrollfunktionen zum Gewährleisten der strikten Trennung von Kundendaten. Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden, weshalb sie für die etwaige Verschlüsselung ihrer Daten zuständig sind. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS, SimpleDB und EC2. VPC-Sitzungen sind ebenfalls verschlüsselt. Amazon S3 bietet Kunden auch als Option die serverseitige Verschlüsselung. Weitere Details finden Sie im AWS-Whitepaper "Risiko und Compliance" unter Compliance Geistiges Eigentum CO-06.1 Bieten Sie Richtlinien und Verfahren, in denen beschrieben ist, welche Kontrollen zum Schutz des geistigen Eigentums von Mandanten aktiv sind? Die Compliance- und Ssteams von AWS haben ein Rahmenwerk für die und dazugehörige Richtlinien entwickelt, das auf dem COBIT- Rahmenwerk (Control Objectives for Information and related Technology) basiert. In das AWS- Rahmenwerk für S sind die bewährten Methoden gemäß ISO/IEC und dem PCI Data Security Standard integriert. Compliance Geistiges Eigentum CO-07.1 Bleiben bei einer Detailuntersuchung der von Mandanten in Cloud betriebenen Services zum Nutzen des Cloud-Anbieters die Rechte am geistigen Eigentum der Mandanten gewahrt? Weitere Details finden Sie im AWS-Whitepaper "Risiko und Compliance" unter Die Ressourcennutzung wird von AWS den Anforderungen entsprechend überwacht, um die Verfügbarkeit des Service effektiv sicherzustellen. Bei der Überwachung der Ressourcennutzung erfasst AWS keine das geistige Eigentum des Kunden betreffenden Informationen. 18

19 Compliance Daten- Governance Geistiges Eigentum Besitz/Verwaltu ng CO-08.1 DG Bieten Sie bei einer Detailuntersuchung der von Mandanten in Cloud betriebenen Services zum Nutzen des Cloud-Anbieters Mandanten die Möglichkeit, diese zu verweigern? Befolgen Sie einen strukturierten Standard für die Schriftgutverwaltung (z. B. DIN ISO 15489, Oasis XML Catalog Specification, CSA-Anleitung für Datentypen)? Die Nutzung der Services von Kunden, die in der Cloud betrieben werden, wird nicht im Detail untersucht. AWS-Kunden behalten die Kontrolle über ihre eigenen Daten und können zum Erfüllen ihrer Anforderungen einen strukturierten Standard für die Schriftgutverwaltung implementieren. Daten- Governance Daten- Governance Daten- Governance Daten- Governance Daten- Governance Daten- Governance Daten- Governance Klassifizierung Richtlinien für Verarbeitung/Be nennung/sicher heit DG DG DG DG DG DG DG Verfügen Sie über eine Möglichkeit zum Identifizieren virtueller Maschinen über Richtlinien-Tags/Metadaten (können beispielsweise Tags genutzt werden, um das Gastbetriebssystem daran zu hindern, Daten im falschen Land zu laden/instanziieren/transportieren usw.)? Verfügen Sie über eine Möglichkeit zum Identifizieren von Hardware über Richtlinien-Tags/Metadaten/Hardware- Tags (z. B. TXT/TPM, VN-Tag usw.)? Verfügen Sie über eine Möglichkeit, den geografischen Standort eines Systems als Authentifizierungsfaktor zu nutzen? Können Sie auf Anfrage den physischen Standort des Speichers der Daten eines Mandanten angeben? Ermöglichen Sie Mandanten das Bestimmen akzeptabler geografischer Standorte für das Routing von Daten oder die Instanziierung von Ressourcen? Gibt es Richtlinien und Verfahren für die Benennung, Verarbeitung und S von Daten und Objekten, die Daten enthalten? Sind Mechanismen für die Benennungsvererbung für Objekte implementiert, die als Sammelcontainer für Daten fungieren? Virtuelle Maschinen werden Kunden im Rahmen des EC2-Service zugewiesen. Kunden behalten die Kontrolle darüber, welche Ressourcen genutzt werden und wo sich diese befinden. Auf der AWS-Website ( finden Sie weitere Details. AWS bietet die Möglichkeit, EC2-Ressourcen mit Tags zu versehen. EC2-Tags sind ein Typ von Metadaten, der verwendet werden kann, um benutzerfreundliche Namen zu erstellen, die Durchsuchbarkeit zu verbessern und die Koordination zwischen mehreren Benutzern zu verbessern. Die AWS Management Console unterstützt ebenfalls das Arbeiten mit Tags. AWS bietet die Möglichkeit des auf der IP- Adresse basierenden bedingten Benutzerzugriffs. Kunden können Bedingungen hinzufügen, um zu steuern, wie Benutzer AWS nutzen, z. B. Tageszeiten, ihre Quell-IP-Adresse oder Anforderung von SSL. AWS bietet den Kunden die Flexibilität, Instances und Daten in mehreren geografischen Regionen zu speichern. AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um Gesetze oder Vorschriften einzuhalten. Derzeit ist AWS in sechs Regionen verfügbar: USA Ost (Nord- Virginia), USA West (Nord-Kalifornien), GovCloud (USA) (Oregon), Südamerika (São Paulo), EU (Irland), Asien-Pazifik (Singapur) und Asien- Pazifik (Tokio). Weitere Details finden Sie im AWS-Whitepaper "Risiko und Compliance" unter Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden, die zum Erfüllen ihrer Anforderungen Richtlinien und Verfahren für die Benennung und Verarbeitung implementieren können. 19

20 Daten- Governance Daten- Governance Aufbewahrungsr ichtlinien DG DG Verfügen Sie über technische Kontrollmöglichkeiten zum Erzwingen der Datenaufbewahrungsrichtlinien von Mandanten? Verfügen Sie über ein dokumentiertes Verfahren zum Beantworten von Anfragen nach Mandantendaten von Behörden oder Dritten? AWS ermöglicht Kunden das Löschen ihrer Daten. Kontrolle und Besitz der eigenen Daten verbleiben allerdings bei den AWS-Kunden, weshalb sie für das Verwalten der Datenaufbewahrung gemäß ihren Anforderungen zuständig sind. Weitere Informationen finden Sie im Whitepaper "Amazon Web Services Übersicht über Ssverfahren" auf der AWS-Website ( AWS geht beim Schutz der Kundendaten auf Nummer Sicher und achtet sorgfältig darauf, welche gesetzlichen Vorschriften einzuhalten sind. AWS zögert nicht, Verfügungen von Strafverfolgungsbehörden anzufechten, wenn das Unternehmen der Meinung ist, die Verfügungen seien ohne solide Grundlage. Daten- Governance Daten- Governance Daten- Governance Sicheres dauerhaftes Löschen Nicht für die Produktionsumg ebung vorgesehene Daten DG DG DG Unterstützen Sie das sichere Löschen (z. B. Entmagnetisieren/kryptografische Löschen) archivierter Daten gemäß den Vorgaben des Mandanten? Verfügen Sie über ein veröffentlichtes Verfahren zum Beenden der Servicevereinbarung einschließlich Zusicherung der Bereinigung von Mandantendaten aus allen EDV- Ressourcen, sobald ein Kunde Ihre Umgebung verlassen oder eine Ressource freigegeben hat? Verfügen Sie über Verfahren, die sicherstellen, dass Produktionsdaten nicht in andere Umgebungen als in die Produktionsumgebung repliziert oder in diesen verwendet werden? Zu den AWS-Prozessen gehört u. a. ein Verfahren für die Außerbetriebnahme von Speichergeräten, die das Ende ihrer Nutzungsdauer erreicht haben. Bei diesem Verfahren wird sichergestellt, dass Kundendaten nicht autorisierten Personen nicht preisgegeben werden. AWS verwendet die im DoD M ("National Industrial Security Program Operating Manual") oder in NIST ("Guidelines for Media Sanitation") beschriebenen Verfahren, um Daten im Zuge der Außerbetriebnahme zu zerstören. Falls eine Hardwarekomponente nicht mithilfe dieser Verfahren außer Betrieb genommen werden kann, wird das Gerät entmagnetisiert oder gemäß den branchenüblichen Verfahren zerstört. Weitere Informationen finden Sie im Whitepaper "Amazon Web Services Übersicht über Ssverfahren" auf der AWS-Website ( Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS ermöglicht Kunden das Entwickeln und Pflegen von Produktions- und anderen Umgebungen. Kunden sind dafür zuständig, dass ihre Produktionsdaten nicht in andere Umgebungen repliziert werden. Daten- Governance Informationslec ks DG Verfügen Sie über Kontrollen, die Datenlecks oder die beabsichtigte/unbeabsichtigte Gefährdung von Daten zwischen Mandanten in einer Mehrmandantenumgebung verhindern? Die AWS-Umgebung ist eine virtualisierte Umgebung für mehrere Mandanten. AWS hat Ssverwaltungsprozesse, PCI-Kontrollen und andere Sskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden voneinander getrennt werden. AWS-Systeme sind so konzipiert, dass Kunden daran gehindert 20