Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor kurzem eine Schrift über „Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste in der Bundesverwaltung“ veröffentlicht. Der dort aufgestellte Anforderungskatalog ist für Bundesbehörden verpflichtend, für andere Stellen dienen sie als Empfehlung. Für kirchliche Einrichtungen sind die zu treffenden Maßnahmen nach Ziffer 3.4, Unterpunkt 4 der Anlage zur KDO-DVO verpflichtend, soweit Meldedaten in kirchlichen Rechenzentren verarbeitet werden. Auch andere Dienststellen sollten jedoch die Mindeststandards für eine ausreichende Sicherheit berücksichtigen.
Der Mindeststandard bezieht sich nach dem Inhalt der Schrift auf die Phasen der Beschaffung (Auswahl der Anbieter, vertragliche Regelungen), den Einsatz und die Beendigung von Cloud-Diensten. Hierfür werden entsprechende Anforderungen zur Erhöhung der Informationssicherheit aufgestellt. Einbezogen wurden dabei auch bereits existierende Standards und Regelungen. Die zwölfseitige Schrift dient daher als notwendiger Einstieg mit dem Ziel der Erfüllung von Basisanforderungen zur sicheren Nutzung.
BSI: Einführung zum Mindeststandard zur Nutzung externer Cloud-Dienste
Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste in der Bundesverwaltung
Anforderungskatalog Cloud-Computing des BSI (C5)
BSI: IT-Grundschutz-Bausteine