Mindestanforderungen bei der Nutzung externer Cloud-Dienste

09.05.2017 - 11:58

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor kurzem eine Schrift über „Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste in der Bundesverwaltung“ veröffentlicht. Der dort aufgestellte Anforderungskatalog ist für Bundesbehörden verpflichtend, für andere Stellen dienen sie als Empfehlung. Für kirchliche Einrichtungen sind die zu treffenden Maßnahmen nach Ziffer 3.4, Unterpunkt 4 der Anlage zur KDO-DVO verpflichtend, soweit Meldedaten in kirchlichen Rechenzentren verarbeitet werden. Auch andere Dienststellen sollten jedoch die Mindeststandards für eine ausreichende Sicherheit berücksichtigen.

Der Mindeststandard bezieht sich nach dem Inhalt der Schrift auf die Phasen der Beschaffung (Auswahl der Anbieter, vertragliche Regelungen), den Einsatz und die Beendigung von Cloud-Diensten. Hierfür werden entsprechende Anforderungen zur Erhöhung der Informationssicherheit aufgestellt. Einbezogen wurden dabei auch bereits existierende Standards und Regelungen. Die zwölfseitige Schrift dient daher als notwendiger Einstieg mit dem Ziel der Erfüllung von Basisanforderungen zur sicheren Nutzung.

Fundstellen der Dokumente:

BSI: Einführung zum Mindeststandard zur Nutzung externer Cloud-Dienste 
Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste in der Bundesverwaltung 
Anforderungskatalog Cloud-Computing des BSI (C5) 
BSI: IT-Grundschutz-Bausteine