Mindeststandard des BSI zur Nutzung externer Cloud-Dienste

Der Bedarf an sicheren Cloud-Diensten nimmt auch in der Bundesverwaltung stetig zu. Dabei können sich in der Praxis die Anwendungsbereiche stark unterscheiden, sodass auch in Abhängigkeit vom Schutzbedarf der zu verarbeitenden Daten die Informationssicherheit eine zunehmend zentrale Rolle einnimmt. Die Einforderung und Umsetzung von Sicherheitsanforderungen ist daher ein wichtiger Bestandteil bei der Inanspruchnahme von Cloud-Diensten. Vor diesem Hintergrund hat das BSI zielgerichtete Sicherheitsanforderungen als Mindeststandard nach § 8 Abs. 1 BSIG erarbeitet.

Dieser Mindeststandard greift die Themenkomplexe Informationssicherheit, Transparenz der Cloud-Diensterbringung und Nachweis über diese Aspekte durch geeignete Prüfungen auf. Rahmenbedingungen für die Cloud-Diensterbringung werden konkretisiert. Zudem wird vorgegeben, wie die Prüfnachweise des Cloud-Anbieters für das Informationssicherheitsmanagement der jeweiligen Einrichtung (Stelle des Bundes im Sinne des § 8 Abs. 1 BSIG) genutzt werden sollen. Unberührt bleibt jedoch die Verantwortung für die IT-Objekte, die die Einrichtung im Rahmen ihrer IT-Grundschutzkonzeption innehat. Letztere wird durch die Nutzung externer Cloud-Dienste angepasst.

Das BSI hat mit der sogenannten Nutzung und Mitnutzung externer Cloud-Dienste zwei wesentliche Anwendungsbereiche identifiziert, die für die Bundesverwaltung von besonderer Bedeutung sind und im Mindeststandard thematisiert werden. Bei der klassischen Cloud-Nutzung hat die Bundesbehörde einen Bedarf an einer IT-Leistung, die nicht durch eigene IT-Ressourcen, sondern über einen externen Cloud-Dienst erbracht werden soll. Hierbei handelt es sich letztendlich um eine sogenannte Make-or-Buy-Entscheidung der Einrichtung. Sofern sich die Einrichtung für die "Buy"-Option entscheidet, schließt diese mit einem Wirtschaftsunternehmen (Cloud-Anbieter) einen Vertrag über die Erbringung der IT-Leistung ab. Die Einrichtung nimmt somit die Rolle des Auftraggebers ein. Nach Einschätzung des BSI handelt es sich hierbei um den Regelfall bei der Inanspruchnahme von externen Cloud-Diensten durch Einrichtungen.

Hinzu kommen jedoch auch Bereiche, die hier als Mitnutzung bezeichnet werden. Dabei nehmen IT-Anwender einer Einrichtung externe Cloud-Dienste in Anspruch, ohne dass zwischen der Einrichtung und dem eigentlichen Cloud-Anbieter ein Vertragsverhältnis besteht. Somit ist die Einrichtung in diesen Fällen nicht Auftraggeber des Cloud-Dienstes. Insbesondere wenn IT-Anwender im Rahmen von (internationalen) Projekten oder Arbeitsgruppen institutionsübergreifend zusammenarbeiten wollen, wird diese Form der Mitnutzung immer häufiger gewählt. Da einige Sicherheitsanforderungen aus dem Mindeststandard zur Nutzung externer Cloud-Dienste - insbesondere zur Beschaffungsphase - regelmäßig zu weit greifen, regelt ein Kapitel zur Mitnutzung diesen Anwendungsbereich und hilft somit bei der Bewertung solcher Dienste.

Aktualisierung Dezember 2022: Der Mindeststandard wurde auf die Version 2.1 aktualisiert. Die vorgenommenen Anpassungen werden in der Änderungsübersicht zum Mindeststandard des BSI zur Nutzung externer Cloud-Dienste aufgelistet. Ebenso wurden die Umsetzungshinweise und die Referenztabelle aktualisiert: Die Umsetzungshinweise erläutern die neue Version des Mindeststandards im Hinblick auf die Umsetzungsaspekte. Die Referenztabelle basiert auf dem aktuellen IT-Grundschutz-Kompendium (Edition 2022) und berücksichtigt nun nur noch die im Mindeststandard explizit erwähnten IT-Grundschutz-Bausteine bzw. -Anforderungen.