Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Cloud à la IT-Grundschutz

Dieser Artikel stellt einen neuen IT-Grundschutz-Baustein vor, der entwickelt wurde, um Organisationen und Unternehmen dabei zu unterstützen, den Einsatz ihrer Cloud Dienste sicherer zu gestalten. Die Entwicklung des Bausteins basierte auf der Annahme, dass die Berücksichtigung von Cloud-Computing im IT-Grundschutz (Stand 2023) verbesserungsfähig ist. Der neue Baustein benennt 29 Sicherheitsmaßnahmen und konzentriert sich darauf, Verbesserungen in der bisherigen Absicherung des IT-Grundschutz-Kompendiums zu liefern. Vor allem sorgt er dafür, dass wichtige Themen wie Datenschutz, Data-Lifecycle-Management, Compliance und Governance, Lieferkettenmanagement, Portabilität und Interoperabilität sowie eine sichere Nutzung von Cloud-Diensten (ausführlicher) umgesetzt werden.

Samir BendraouaIT-GrundschutzSecurity-Management
Lesezeit 6 Min.

Von Samir Bendraoua, München

Cloud-Computing spielt heute eine entscheidende Rolle in der IT vieler Unternehmen [1]. Immer mehr Organisationen nutzen Cloud- Dienste, weil sie flexibel und einfach zu skalieren sind. Dabei gibt es zwei Hauptarten von Clouds: Public Clouds, die von vielen verschiedenen Nutzern verwendet werden, und Private Clouds, die speziell für einzelne Organisationen entwickelt werden, um deren Sicherheits- und Compliance-Anforderungen [2] besser zu erfüllen.

Auch die öffentliche Verwaltung setzt zunehmend auf Cloud- Technologie, um ihre IT effizienter und sicherer zu gestalten. Im Koalitionsvertrag 2021–2025 [3] wurde beispielsweise eine Verwaltungs-Cloud beschlossen, die darauf abzielt, eine sichere und leistungsfähige digitale Infrastruktur für staatliche Behörden zu schaffen. Diese Cloud-Lösung soll die Verwaltung flexibler machen und sicherstellen, dass die digitale Souveränität der öffentlichen Verwaltung gestärkt wird.

Der IT-Grundschutz bietet bereits eine gute Grundlage, um die Sicherheit von Cloud-Umgebungen zu gewährleisten: Er enthält bewährte Methoden, mit denen sich Risiken erkennen lassen und eigene Sicherheitsmaßnahmen formuliert werden können. Allerdings liegt der Schwerpunkt des bisherigen Cloud-Bausteins OPS.2.2 „Cloud-Nutzung“ [4] vor allem auf organisatorischen und vertraglichen Fragen, während Themenbereiche wie Datenschutz, Data-Lifecycle-sowie Lieferkettenmanagement, Portabilität und Interoperabilität – allesamt in der Cloud – nicht ausreichend berücksichtigt werden.

Um diese Lücken zu schließen und es einfacher zu machen, Clouds sicher zu nutzen, wurde ein neuer Baustein entwickelt. Dieser Baustein bündelt die wichtigsten Sicherheitsmaßnahmen aus verschiedenen anerkannten cloudrelevanten Standards. So haben Organisationen und Unternehmen alle einschlägigen Maßnahmen an einem Ort und können diese leichter umsetzen.

Ergänzende Entwicklung

Für die Entwicklung des zusätzlichen Bausteins wurden mehrere Sicherheitsstandards ausgewählt, die für die Sicherheit von Cloud-Computing besonders relevant sind:

  • Cloud-Controls-Matrix (CCM): Die CCM [5] wird von der Cloud Security Alliance (CSA) unterstützt, einer Organisation mit über 120000 Mitgliedern und 400 Partnerunternehmen – sie spiegelt aktuelle und weithin anerkannte Sicherheitspraktiken wider.
  • BSI-Kriterienkatalog C5 [6]: Dieser Katalog basiert auf bekannten Standards wie ISO/IEC 27001 und der CCM. Er berücksichtigt Rückmeldungen von Cloud-Anbietern, Kunden, Prüfern und Regulierungsbehörden, um praxisnahe und aktuelle Sicherheitsanforderungen zu gewährleisten.
  • ISO-Normen DIN EN ISO/IEC 27017:2020 und 27018:2017: Diese Normen sind international anerkannt und werden in vielen Branchen genutzt. Sie sind durch ihre breite Anwendbarkeit und Akzeptanz in verschiedenen Branchen von hoher Relevanz (vgl. [7]).
  • ITU-T-Empfehlungen: Diese Best Practices aus der Telekommunikationsbranche wurden durch die Zusammenarbeit von 900 Unternehmen, Forschungsinstituten und anderen Organisationen entwickelt [8].
  • Secure Controls Framework (SCF, [9]): Obwohl nicht ausschließlich auf Cloud-Computing ausgerichtet, bietet dieses Framework wertvolle Einblicke in allgemeine Sicherheitsmaßnahmen, die auch für Cloud-Umgebungen relevant sind.

Erfassung und Gruppierung von Sicherheitsmaßnahmen

Insgesamt wurden aus den genannten Standards 316 relevante Sicherheitsmaßnahmen identifiziert (vgl. Abb. 1) und in zwei Hauptgruppen unterteilt:

Abbildung 1: Relative Anzahl der extrahierten Sicherheitsanforderungen und prozentualer Anteil nach Standards sortiert
  • Maßnahmen, die ausschließlich in die Verantwortung des Cloud- Kunden fallen
  • Maßnahmen, die sowohl vom Cloud-Kunden als auch vom Anbieter gemeinsam umgesetzt werden müssen

Nach der Auswahl der relevanten Sicherheitsmaßnahmen wurden die zugrunde liegenden Standards erneut analysiert, um häufig behandelte Themenbereiche zu identifizieren. Diese Analyse diente dazu, die häufig betrachteten Themengebiete zu identifizieren (vgl. Abb. 2). Anschließend wurden die Sicherheitsmaßnahmen diesen Themenbereichen zugeordnet.

Abbildung 2: Gruppierung der extrahierten Sicherheitsanforderungen

Um die Analyse strukturiert und effizient durchzuführen, wurden die Sicherheitsmaßnahmen systematisch erfasst und thematisch geordnet. Dabei erfolgte die Erfassung nach den Kriterien „Standard“, „Anforderung“ und „Maßnahme“, um eine klare Zuordnung und einen einfachen Vergleich sicherzustellen (vgl. Abb. 3).

Abbildung 3: Ausschnitt aus dem Tabellenblatt der erfassten extrahierten Sicherheitsanforderungen

Mapping der Sicherheitsanforderungen

Um zu überprüfen, wie gut die extrahierten Sicherheitsmaßnahmen im IT-Grundschutz-Kompendium 2023 abgedeckt sind, wurden sie miteinander verglichen (vgl. Abb. 4). Die Maßnahmen wurden zunächst nach Themen geordnet und dann übersichtlich in einer Tabelle dargestellt. Dabei kamen bereits vorhandene Referenztabellen für den C5-Katalog [10], die CCM und die ISO-Normen zum Einsatz. Für Standards ohne direkte Zuordnung, wie das SCF oder die ITU-T-Empfehlungen, wurde eine Stichwortsuche verwendet. Am Ende wurden alle Sicherheitsmaßnahmen identifiziert, die bereits eine Entsprechung im IT-Grundschutz-Kompendium 2023 haben.

Abbildung 4: Ausschnitt aus der Referenztabelle von Sicherheitsanforderungen aus unterschiedlichen Standards auf das IT-Grundschutz-Kompendium 2023

Bewertung und Kategorisierung

Im letzten Schritt wurden die Sicherheitsmaßnahmen daraufhin bewertet, welchen Mehrwert sie für das IT-Grundschutz-Kompendium bieten. Dafür wurden sie mit den bereits bestehenden Maßnahmen im Kompendium verglichen: Umfassendere Maßnahmen aus dem IT-Grundschutz- Kompendium wurden als „ausreichend abgedeckt“ markiert, während weniger detaillierte Maßnahmen als „nicht ausreichend abgedeckt“ eingestuft wurden.

Maßnahmen, die keine klare Zuordnung hatten, wurden als „diskutabel“ betrachtet und Maßnahmen ohne nachvollziehbaren Bezug zum Kompendium als „kein Zusammenhang“ klassifiziert. Die Ergebnisse dieser Bewertung wurden in einer Tabelle zusammengefasst. Anschließend wurden die Maßnahmen in die Schutzkategorien „Basis“, „Standard“ und „Hochschutz“ eingeordnet. Ausgewiesene Experten prüften und bestätigten abschließend diese Einordnung, was schließlich zur Entwicklung des Cloud-Bausteins führte.

Ergebnis

Aus der Menge von 316 ursprünglich erfassten Sicherheitsmaßnahmen der genannten Standards wurden 61 identifiziert, die im IT-Grundschutz-Kompendium Bereiche wie Datensicherheit, Datenschutz, Compliance, Rechtssicherheit, die sichere Nutzung von Cloud-Diensten et cetera erweitern oder präzisieren. Nach einer abschließenden Konsolidierungsphase wurden diese Maßnahmen aufgrund von Redundanzen und Diskussionspotenzial auf 29 zentrale Maßnahmen reduziert.

Das Ergebnis ist ein neuer Cloud-Baustein mit 29 Sicherheitsmaßnahmen, der den bestehenden Baustein „OPS.2.2 Cloud-Nutzung“ gezielt erweitert. Tabelle 1 zeigt diese Maßnahmen einschließlich ihrer Kennung, der verantwortlichen Rollen für die Umsetzung und Überprüfung sowie ihrer Schutzkategorie (B = Basis, S = Standard bzw. H = Hochschutz).

Tabelle 1: Auflistung der 29 Sicherheitsmaßnahmen des neuen Cloud-Bausteins

Lessons Learned

Die Bewertung und Kategorisierung der Sicherheitsmaßnahmen im Bereich Cloud-Sicherheit bot wertvolle Einblicke, zeigte aber auch methodische Grenzen auf: Die Analyse verschiedener Standards ergab ein differenziertes Bild der aktuellen Sicherheitslage in Cloud- Umgebungen. Da die Standards aus unterschiedlichen Kontexten stammen und verschiedene Ansätze verfolgen, mussten die Ergebnisse zielorientiert interpretiert werden. Besonders herausfordernd war der Vergleich zwischen allgemein formulierten und sehr spezifischen Maßnahmen. Hilfsmittel wie Kreuzreferenztabellen, etwa die des C5, der CSA und der ISO-Normen, erleichterten den Vergleich, konnten aber nicht alle Kontextunterschiede vollständig berücksichtigen.

Um diesen Herausforderungen zu begegnen, wurden diese Sicherheitsmaßnahmen als diskutabel deklariert. In einer späteren Konsolidierungsphase wurde der Rat ausgewiesener Experten eingeholt, um ein valides Ergebnis des Vergleichs der jeweiligen Sicherheitsmaßnahmen erhalten zu können. Trotz dieser Herausforderungen liefert der Baustein wertvolle Erkenntnisse und identifizierte Bereiche, in denen das IT-Grundschutz-Kompendium sinnvoll erweitert oder präzisiert wird.

Samir Bendraoua ist Security-Consultant bei HiSolutions.

Literatur

[1] Bernhard Rohleder, Cloud Report 2023, Welche Rolle spielt die Cloud für die deutsche Wirtschaft?, Bitkom research, Mai 2023, www.bitkom-research.de/cloud-report-2023

[2] Judith S. Hurwitz, Daniel Kirsch, Cloud-Computing for Dummies, Wiley, 2. Edition, Juli 2020, ISBN 978-1-119-54665-8

[3] Deutsche Bundesregierung, Mehr Fortschritt wagen, Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit, Koalitionsvertrag 2021 2025 zwischen der Sozialdemokratischen Partei Deutschlands (SPD), Bündnis 90/Die Grünen und den Freien Demokraten (FDP), Dezember 2021, www.bundesregierung.de/breg-de/aktuelles/koalitionsvertrag-2021-1990800 oder direkt z. B. via www.spd.de/fileadmin/Dokumente/Koalitionsvertrag/Koalitionsvertrag_2021-2025.pdf

[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), Cloud-Nutzung, IT-Grundschutz-Baustein OPS.2.2, Februar 2023, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/04_OPS_Betrieb/OPS_2_2_Cloud-Nutzung_Edition_2023.pdf

[5] Cloud Security Alliance (CSA), Cloud Controls Matrix (CCM), Version 4, März 2024, https://cloudsecurityalliance.org/research/cloud-controls-matrix

[6] Bundesamt für Sicherheit in der Informationstechnik (BSI), Cloud-Computing Compliance Criteria Catalogue, Kriterienkatalog C5, Oktober 2020, www.bsi.bund.de/dok/7685384

[7] Statista, Bestand an gültigen ISO-27001-Zertifikaten weltweit in den Jahren 2006 bis 2022, September2023, https://de.statista.com/statistik/daten/studie/829313/umfrage/bestand-an-vergebenen-iso-27001-zertifikaten-weltweit/ (kostenpflichtig)

[8] International Telecommunication Union (ITU), ITU’s Telecommunication Standardization Sector(ITU‑T) in brief, undatiert, https://www.itu.int/en/ITU-T/about/Pages/default.aspx

[9] SCF Council, Secure Controls Framework (SCF), Downloadseite, https://securecontrolsframework.com/scf-download/

[10] Bundesamt für Sicherheit in der Informationstechnik(BSI), Zuordnung ISO/IEC 27001 sowie ISO/IEC 27002 zum IT-Grundschutz, Dezember 2021

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.