Die Cloud-Strategie des BSI : Sichere Cloud-Nutzung in der Cybernation Deutschland
Cloud-Computing ist der moderne Standard für die Bereitstellung und Nutzung von IT-Diensten. Auch im Hinblick auf die Informationssicherheit ergeben sich viele Vorteile. Um diese für die öffentliche Verwaltung nutzbar zu machen, hat sich das BSI eine Cloud-Strategie mit konkreten Zielen gegeben.
Von Dr. Clemens Doubrava, Referatsleiter Cloud-Sicherheit beim BSI
Um die Cloud-Strategie des BSI zu verstehen, sind grundlegende Informationen zum Cloud-Computing notwendig. Nur so kann die Tragweite der BSI-Cloud-Strategie ermessen werden. Deshalb gibt es eine kleine Einführung ins Thema. So wie eine Wolke keine scharfen Grenzen hat, gibt es auch keine exakte Definition von Cloud-Computing. Denn Cloud-Computing ist ein Paradigma. Damit ist eine grundsätzliche Denkweise gemeint, und das deutet schon darauf hin, dass es sich nicht nur um eine Evolution in der IT handelt, sondern um etwas Neues.
Nach der Norm ISO/IEC 22123-1:2023 ist Cloud-Computing ein „Paradigma, um einen netzwerkbasierten Zugang auf ein skalierbares und elastisches Reservoir gemeinsam nutzbarer physikalischer oder virtueller Ressourcen nach dem Selbstbedienungsprinzip und bedarfsgerechter Administration zu ermöglichen“. Ressourcen sind hier insbesondere Rechenleistung (Compute), Speicher (Storage) und Netze (Network). Dieses Reservoir ist elastisch, das heißt es kann sehr schnell an den Bedarf angepasst werden, zum Beispiel wenn nur für kurze Zeit ein Server benötigt wird. Und es ist skalierbar: Die Nutzung der Cloud-Dienste kann massiv erhöht oder verringert werden, etwa indem ein Dienst erst von zehn Anwenderinnen und Anwendern genutzt wird, aber es zu einem späteren Zeitpunkt 10 000 werden – ohne dass der Cloud-Dienst angepasst werden muss.
Das Cloud-Paradigma basiert auf einigen bekannten Prinzipien, die konsequent umgesetzt und geschickt miteinander kombiniert werden:
- Entkopplung von der Hardware, das heißt es gibt eine Virtualisierungsschicht über der Hardware: Wird zum Beispiel Speicherplatz benötigt, bekommt der Kunde keine Festplatte, sondern nur Speicherplatz und es wird nicht mitgeteilt, wo genau die Daten gespeichert sind. Die Virtualisierungsschicht kümmert sich um den gemeinsam genutzten Speicherplatz.
- Alles ist ein Service und alle Kommunikation läuft über standardisierte Schnittstellen: Im obigen Beispiel würde ein Cloud-Dienst mit dem Speicherdienst über dessen Schnittstelle kommunizieren. Schnittstellen sind so definiert, dass sie nur die notwendigen Möglichkeiten bieten. Außerdem werden Schnittstellen durch andere Prozesse überwacht. Auch die Administration der gesamten Cloud-Infrastruktur erfolgt über fest definierte Services.
- Alles ist Code: Da nur über definierte Schnittstellen kommuniziert wird und alles Schnittstellen hat, kann über Code, also Skripte et cetera, alles definiert, implementiert und konfiguriert werden.
- Alles ist maximal automatisiert: Das Innenleben einer Cloud ist so automatisiert, dass im Regelfall keine Eingriffe notwendig sind. Neue Kunden buchen Cloud-Dienste und bauen zum Beispiel ein komplexes virtuelles Rechenzentrum in der Cloud, ohne dass ein Administrator des Cloud-Anbieters irgendetwas tun muss. Fällt etwa eine Festplatte aus, wird sie automatisch aus dem Speicherreservoir entfernt – und da die Daten in der Cloud normalerweise mehrfach abgespeichert sind, wird eine weitere Kopie an einem anderen Ort gespeichert. Der Cloud-Nutzer merkt davon nichts.
Beim Cloud-Computing von der „Industrialisierung der IT“ zu sprechen, beschreibt die neue technische Entwicklung recht anschaulich. Die Möglichkeiten des Cloud-Computings sind sehr vielfältig und Cloud-Dienste unterscheiden sich zum Teil grundlegend. „Die Cloud“ gibt es nicht. Dementsprechend differenziert ist das Vokabular, um die Cloud besser greifen zu können (Abb. 1). Stellt ein Cloud-Anbieter seine Dienste für alle zugänglich im Internet zur Verfügung, spricht man von einer „Public Cloud“ – baut sich dagegen eine Institution eine Cloud ausschließlich für die eigene Nutzung, heißt sie „Private Cloud“. Das sind zwei Beispiele von vielen Varianten.
Auch der wesentliche Kern eines Cloud-Dienstes kann variieren: Bei „Infrastructure as a Service“ (IaaS) stellt der Cloud-Dienst Ressourcen wie Rechenleistung, Speicher und Netze zur Verfügung. „Software as a Service“ (SaaS) sind Cloud-Dienste, die ähnliche Funktionen wie eine herkömmliche Software anbieten, beispielsweise Bürokommunikation. Dazwischen liegt „Platform as a Service“ (PaaS), wo grundlegende Dienste angeboten werden, auf die zum Beispiel Anwendungen nach „Software as a Service“ aufbauen. Die Service-Modelle unterscheiden sich wesentlich in Umfang und Dienstleistung (Abb. 2).
Diese neuen Möglichkeiten und ihre wirtschaftlichen Vorteile haben dem Cloud-Computing zum Siegeszug verholfen, wie die jährlichen Umfragen des KPMG Cloud-Monitors zeigen: Die Cloud-Nutzung in Wirtschaftsunternehmen stieg kontinuierlich an (siehe Abb. 3),
quasi alle Unternehmen nutzen inzwischen Cloud-Dienste. 23 % der in der jüngsten Erhebung befragten Unternehmen gaben an, ausschließlich Cloud-Dienste verwenden zu wollen (siehe Abb. 4).
Risikante Praktiken?
Um sich der Frage nach den hiermit verbundenen Risiken zu nähern, betrachten wir die Public Cloud: Ein kommerzieller Cloud-Anbieter bietet seine Cloud-Dienste für alle zugänglich im Internet an. Unterschiedlichste Kunden – womöglich auch Konkurrenten oder Hacker – teilen sich dort Ressourcen. Kann der Cloud-Anbieter ausreichende Sicherheit gewährleisten?
Hier lohnt es sich, zwischen Risiko und Bedrohung zu unterscheiden. Im Beispiel aus der „analogen“ Welt: ein heftiges Gewitter! Das Gewitter mit Blitzen stellt eine Bedrohung dar, es drohen gesundheitliche Probleme bis zum Tod. Auf freiem Feld gibt es keinen Schutz und deshalb ist das Risiko, dass ein Schaden eintritt, vergleichsweise hoch. Ein Haus mit richtig installiertem Blitzableiter bietet einen viel höheren Schutz – und das Risiko, Schaden durch einen Blitzeinschlag zu nehmen, ist viel geringer. Ein Faraday’scher Käfig bietet kompletten Schutz und es gibt kein Risiko, Schaden zu nehmen, wenn man sich im Käfig aufhält, ohne ihn zu berühren.
Bedrohungen sind daher nicht automatisch mit einem hohen Risiko gleichzusetzen, denn gegen sie können Schutzmaßnahmen eingesetzt werden, die das Risiko verringern oder gar beseitigen.
Welchen Bedrohungen sind Nutzer der Public Cloud ausgesetzt?
Die regelmäßigen Veröffentlichungen der Cloud Security Alliance, einer führenden, gemeinnützigen Organisation zur Förderung von Cloud-Sicherheit, zu den Top-Bedrohungen beim Cloud-Computing bieten einen guten Überblick. An erster Stelle stehen hier Fehlkonfigurationen, gefolgt von unzureichendem Management der Identitäten und Berechtigungen sowie unsichere Schnittstellen. Aber auch eine fehlende Cloud-Nutzungsstrategie, unsichere Softwareentwicklung und unsichere Lieferketten gefährden die Sicherheit. Organisierte Kriminalität und Hacker stellen weiterhin eine große Bedrohung dar. Hinzu kommt noch der menschliche Faktor als Ursache für eine versehentliche Offenlegung von Daten.
Eine genauere Betrachtung dieser Bedrohungen zeigt, dass ihnen der Cloud-Nutzer fast immer direkt ausgesetzt ist. Das heißt: Selbst wenn es eine komplett abgesicherte Cloud gäbe, müsste der Cloud-Nutzer seine Aktivitäten in der Cloud trotzdem schützen. Maßnahmen gegen Bedrohungen sind in der Regel sowohl vom Cloud-Anbieter als auch vom Cloud-Kunden zu ergreifen. Im Sinne der „Shared Responsibility“, der geteilten Verantwortung, müssen alle Beteiligten ihren Beitrag zur Sicherheit leisten.
Welche Sicherheitsmaßnahmen bietet die Public Cloud?
Es liegt auf der Hand, dass erfolgreiche Angriffe auf einen Cloud-Anbieter weitreichende Folgen haben können, da zumeist viele Kunden betroffen sind, die auch kritische Prozesse in die Public Cloud verlagert haben. Dementsprechend groß müssen die Anstrengungen beim Cloud-Anbieter sein, sich gegen Bedrohungen zu wappnen. Neben einem ausgereiften und etablierten Informationssicherheitsmanagement spielen cloudspezifische Maßnahmen wie Automatisierung, Services, Standardisierung und Protokollierung eine wichtige Rolle.
Die Administration einer Cloud besteht aus speziell entwickelten Services, die genau definierte, minimalistische Schnittstellen haben. Ein direkter menschlicher Zugriff auf Komponenten in der Cloud kann so unterbunden und das „Vier-Augen-Prinzip“ konsequent durchgesetzt werden. Alle Routineaufgaben werden automatisiert.
Da Clouds kontinuierlich weiterentwickelt werden, existieren automatisierte und getestete Prozesse, um neue Softwareversionen für einzelne Services einzuspielen. Updates und Sicherheitspatches können so sehr schnell ausgerollt und Sicherheitslücken geschlossen werden. Das verkürzt die Zeitfenster, innerhalb derer diese Lücken ausnutzbar sind, drastisch.
In der Regel sind alle Daten während der Übertragung und Speicherung in einer Cloud verschlüsselt. Die Schlüssel dafür liegen gut geschützt in der Cloud und zusätzlich kann es Optionen geben, dass auch der Cloud-Anbieter nicht an diese Schlüssel kommt oder dass Daten zusätzlich mit einem Schlüssel gesichert sind, der beim Cloud-Kunden liegt. Einzig bei der Verarbeitung der Daten liegen sie entschlüsselt vor. Aber auch hier gibt es Ansätze wie beispielsweise „Confidential Computing“, mit dem der Schutz der Daten während der Verarbeitung erhöht werden kann.
Daten sind in der Cloud in der Regel mehrfach redundant an verschiedenen Orten gespeichert, sodass zum Beispiel der Ausfall einer Festplatte, auf der sie gespeichert sind, nicht zum Datenverlust führt und die Daten weiter verfügbar sind.
In einer Cloud wird alles protokolliert – so kennt der Cloud-Anbieter den Status seiner Cloud sehr genau. Selbst kleine Auffälligkeiten, die auf Angriffe hindeuten, werden durch automatisierte und oft schon KI-gestützte Prozesse erkannt. Dadurch kann bei einem Angriff sehr schnell reagiert werden, indem beispielsweise der Zugriff auf Daten sofort unterbunden wird. Zu präventiven Sicherheitsmaßnahmen kommen also noch reaktive Maßnahmen hinzu, die einen Schaden drastisch reduzieren. Die Sicherheitsarchitektur von Public Clouds folgt dem Ansatz „Assume Breach“: Gehe davon aus, dass die Cloud schon erfolgreich angegriffen wurde, und schütze sie trotzdem durch eine vielschichtige Sicherheitsarchitektur.
Weitere Sicherheitsmaßnahmen sind unter anderem: Abwehr von Denial-of-Service-Attacken, Angreifer- Erkennung und Serverless Computing auf minimalen, gehärteten Kernen. Beim Cloud-Computing werden also intensiv Prävention, Detektion und Reaktion für die Sicherheit der Cloud-Infrastruktur selbst sowie für Daten und Prozesse genutzt. Trotzdem gilt: Eine fehlerfreie Cloud gibt es nicht.
Die Verringerung der Abhängigkeit von einem Cloud-Anbieter ist zunächst Aufgabe des Kunden. Diese umfasst eine Multi-Cloud Strategie und die Nutzung standardisierter Cloud-Dienste oder, wenn möglich, grundsätzlich die Nutzung von Cloud-Diensten, die Portabilität und Interoperabilität unterstützen.
Die Cloud-Strategie des BSI
Das BSI hat sich die sichere Nutzung von Cloud-Computing als strategisches Ziel gesetzt, das sich in die Gesamtstrategie des BSI einfügt. Die Cloud-Strategie umfasst vier Aspekte.
Public Cloud
Public Clouds der Hyperscaler aktiv und sicher in Deutschland nutzen: Hyperscaler ist hier der Oberbegriff für weltumspannende, in großem Maßstab skalierende US-Cloud-Anbieter (insbesondere Amazon Web Service, Microsoft Azure, Google Cloud Platform, Oracle Cloud Infrastructure). Sie sind Marktführer mit sehr umfangreichen Service-Angeboten und hoher Sicherheit. Aufgrund ihrer Größe und Innovationskraft haben sie einen großen technologischen Vorsprung. Das gilt auch für die angebotenen Sicherheitstechnologien. Diese Angebote für die öffentliche Verwaltung besser und sicher nutzbar zu machen, ist ein Ziel des BSI.
Hier ist zwischen „Security of the Cloud“ (grundlegende Sicherheit der Cloud-Dienste) und „Security in the Cloud“ (sichere Nutzung der Cloud-Dienste) einerseits und den Verantwortungsbereichen von Cloud-Anbieter und Cloud-Nutzer andererseits zu unterscheiden. In allen Bereichen wird das BSI auf unterschiedliche Weise dazu beitragen, Public-Cloud-Dienste sicher nutzbar zu machen.
Eingestufte Informationen
Ein weiteres Ziel des BSI ist es, die Verarbeitung eingestufter Informationen bis VS-NfD (also „Verschlusssachen – nur für den Dienstgebrauch“) in Public Clouds zu ermöglichen. Informationen werden als Verschlusssache nach VS-NfD eingestuft, „wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein kann“ (vgl. Verschlusssachenanweisung VSA § 2 Abs. 2 Nr. 4.).
Die staatliche Verwaltung geht hier voran und zeigt, wie eine sichere Public-Cloud-Nutzung auch für sensible Inhalte umgesetzt werden kann. Die etablierte Zulassung, also die Prüfung von IT-Sicherheitsprodukten für die Verarbeitung von Verschlusssachen durch das BSI,
bleibt erforderlich und deren Ziele bleiben auch für Public Clouds richtig. Komponenten und Dienste in einer Cloud sind im Gegensatz zu klassischer IT einer ständigen Veränderung unterworfen. Deshalb muss die Zulassung neu gedacht werden, um trotzdem die geforderten, belastbaren Sicherheitsaussagen machen zu können. Kernaufgabe des BSI ist also die Entwicklung sicherer, zukunftsfester und mit dem eigenen gesetzlichen Auftrag kompatibler Zulassungsverfahren, die die Verarbeitung eingestufter Informationen in Public Clouds ermöglichen.
Souveräne Clouds
Was bedeutet digitale Souveränität? Der IT-Beauftragte des Bundes definiert sie als „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“. Hierzu muss die IT-transformiert werden, um unabhängiger von Anbietern zu werden und die Resilienz durch austauschbare Komponenten zu erhöhen. Digitale Souveränität bedeutet, Alternativen zu schaffen und einen offenen, wettbewerbsfähigen Markt zu fördern.
Das BSI wird souveräne Nutzungsszenarien für europäische und nationale Clouds konkurrenzfähig mitgestalten. Dazu gehört die Unterstützung von Cloud-Anbietern bei der Ausgestaltung souveräner Cloud-Lösungen. Bereits jetzt gibt es Vorhaben wie die souveräne Delos Cloud, die nach Vorgaben des BSI aufgebaut und deren Sicherheit durch das BSI geprüft wird. Weiterhin begleitet das BSI den Aufbau der AWS EU Sovereign Cloud und führt intensive Gespräche mit nationalen Cloud-Anbietern sowie im Cloud-Reallabor.
Resiliente Digitalisierung
Nicht zuletzt soll auch die Resilienz der Digitalisierung durch sichere Cloud-Nutzung vorangebracht werden. Das BSI will klare Sicherheitsanalysen anbieten und diese im Bund anwenden, was als Beispiel für andere dienen kann. Weiter plant das BSI, sichere Infrastructure-as-Code-(IaC)-Beispiele für sichere Cloud-Nutzung zu veröffentlichen. Mit „Compliance as Code“ können als Code formulierte Compliance-Vorgaben genutzt und dank Cloud-Technologie stark skaliert angewendet werden.
Mit dem Kriterienkatalog Cloud-Computing C5 (siehe Kasten) stellt das BSI seit vielen Jahren unter Beweis, dass umsetzbare und wirtschaftliche Sicherheitsnachweise auf BSI-Niveau möglich sind. Dies soll auch für die europäische Zertifi zierung für Cloud-Dienste erreicht werden. Dieses Ziel soll unter anderem durch die Bereitstellung von Werkzeugen zur Skalierung der sicheren Cloud-Nutzung umgesetzt werden.
Kriterienkatalog Cloud-Computing (BSI C5) |
|---|
Der „Kriterienkatalog Cloud-Computing“ (englischer Titel: Cloud Computing Compliance Criteria Catalogue, kurz „C5“) richtet sich an professionelle Cloud-Diensteanbieter sowie deren Prüfer und Kunden. Er definiert die Mindestanforderungen an die Sicherheit von Cloud-Diensten, gibt aber nicht vor, wie genau die Maßnahmen zur Zielerreichung aussehen müssen. Im C5 sind 121 Kriterien in 17 Themengebieten gegliedert. Die Kriterien stammen zum größten Teil aus international anerkannten Sicherheitsstandards. Zusätzlich fordert der C5 von Cloud-Anbietern die Offenlegung von Umfeldparametern wie zum Beispiel Datenlokation oder Jurisdiktion. Der Sicherheitsnachweis wird von fachlich kompetenten Teams unter der Leitung eines Wirtschaftsprüfers nach dem Prüfungsstandard ISAE 3000 erbracht. |
Fazit
Das BSI hat sich viel vorgenommen, um den technologischen Fortschritt durch Cloud-Computing, der auch die Sicherheitsfunktionen beinhaltet, für die öffentliche Verwaltung, aber auch die Wirtschaft nutzbar zu machen. Cloud-Sicherheit stellt bereits heute in vielen Bereichen den Maßstab dar, an dem andere sich messen müssen. Die mit Cloud-Computing verbundenen Risiken dürfen aber nicht ausgeblendet, sondern müssen im Einzelfall benannt und bewertet werden. Hier wird das BSI wertvolle Beiträge leisten.