In der Diskussion um Cloud-Sicherheit wird oft ein entscheidender Punkt übersehen: Die Verantwortung liegt nicht allein beim Cloud-Anbieter. Der C5-Anforderungskatalog des BSI formuliert es treffend:
„Die Aufrechterhaltung der Informationssicherheit eines Cloud-Dienstes obliegt nicht alleine dem Cloud-Anbieter. Auch die Kunden müssen den Mitwirkungspflichten in ihrem Verantwortungsbereich nachkommen.“
Was bedeutet das konkret?
Viele Unternehmen verlassen sich darauf, dass der gewählte Cloud-Dienstleister umfassende Sicherheitsmaßnahmen implementiert. Doch selbst wenn ein Anbieter höchste Standards erfüllt, bleiben Risiken bestehen, die nur der Kunde selbst absichern kann.
Zentrale Mitwirkungspflichten im C5-Anforderungskatalog
Der C5-Anforderungskatalog definiert nicht nur die Sicherheitsverantwortung des Cloud-Anbieters, sondern stellt auch klare Anforderungen an die Kunden. Insbesondere in den folgenden Bereichen sind Unternehmen in der Pflicht, aktiv mitzuwirken, um die Informationssicherheit in der Cloud zu gewährleisten:
Asset Management: Unternehmen müssen stets einen Überblick über ihre in der Cloud gespeicherten und verarbeiteten Daten sowie deren Schutzbedarf behalten. Die Klassifizierung und Verwaltung von Assets liegt in der Verantwortung des Kunden.
Regelbetrieb & Kommunikationssicherheit: Die sichere Nutzung der Cloud hängt von gut definierten Betriebsprozessen ab. Dazu gehören unter anderem der Schutz sensibler Kommunikationskanäle sowie Maßnahmen zur Absicherung des Datenaustauschs.
Portabilität & Interoperabilität: Cloud-Dienste sollten so genutzt und konfiguriert werden, dass ein Wechsel des Anbieters oder die Migration von Daten ohne Sicherheitsrisiken möglich ist. Kunden müssen sicherstellen, dass entsprechende Mechanismen existieren.
Umgang mit Sicherheitsvorfällen & Notfallmanagement: Die Reaktion auf Sicherheitsvorfälle ist eine geteilte Verantwortung. Unternehmen müssen Prozesse etablieren, um im Ernstfall schnell und koordiniert mit dem Cloud-Anbieter zusammenzuarbeiten. Dazu gehört auch eine Notfallstrategie, um den Geschäftsbetrieb bei Störungen aufrechtzuerhalten.
Produktsicherheit: Kunden müssen sicherstellen, dass Anwendungen und Prozesse, die sie in der Cloud betreiben, aktuellen Sicherheitsstandards entsprechen. Der Einsatz von sicherern Konfigurationen und regelmäßige Updates sind dabei besonders wichtig.
Fazit:
Die Nutzung von Dienstleistungen in der Cloud bringt auf der einen Seite einige Vorteile in Sachen Skalierbarkeit und Effizienz und auf der anderen Seite eine klare Verantwortung mit sich, wenn es darum geht seine Hausaufgaben in Sachen Cloud-Security zu machen. Der C5-Anforderungskatalog zeigt deutlich, dass Unternehmen sich nicht allein auf den Anbieter verlassen können.
#CloudSecurity #C5 #CyberSecurity #Informationssicherheit #Compliance