BSI veröffentlicht Anforderungskatalog für Cloud Computing

18.03.2016

Auf der CeBIT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht. 

Im Rahmen der CeBIT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht. Basierend auf eigenen Erkenntnissen und anerkannten Standards zur IT-Sicherheit ist der Katalog in Basis- und höherwertige Anforderungen unterteilt, um auf unterschiedliche Sicherheitsbedürfnisse einzugehen. Besonderes Augenmerk wird dabei auf die Transparenz des Cloud-Diensts gelegt. Der Anforderungskatalog richtet sich in erster Linie an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. 

Zur Überprüfung der Sicherheit einer Cloud-Lösung fordert der Katalog neben der Umsetzung von Sicherheitsanforderungen auch die Offenlegung von Umfeldparametern. Darin werden Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen nachgewiesen und für den Nutzer verständlich dargestellt. Dies unterstützt den Cloud-Kunden in seiner Entscheidungsfindung für oder gegen den Einsatz eines Cloud-Dienstes.

Der Anforderungskatalog bietet Cloud-Anbietern die Möglichkeit, sich im Rahmen einer Compliance- oder Wirtschaftsprüfung schnell und mit geringem Mehraufwand die Erfüllung der Anforderungen testieren zu lassen. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen SOC2-Bericht erbracht. Dieser basiert auf dem international anerkannten Testierungsregime der ISAE 3000, das von Wirtschaftsprüfern verwendet wird.

Der Katalog ist in 17 thematische Bereiche unterteilt. Hier bedient sich das BSI bei anerkannten Sicherheitsstandards wie ISO/IEC27001, der Cloud Controls Matrix der Cloud Security Alliance sowie BSI-Veröffentlichungen und übernimmt deren Anforderungen, wo immer es sich angeboten hat

Der neue Anforderungskatalog steht auf der Webseite des BSI zum Download zur Verfügung.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

BSI aktualisiert Cloud-Sicherheits-Katalog C5

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen 2016 erstmals veröffentlichten Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten (C5) in einer neuen Version vorgestellt.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020