Neu ist wie erwähnt ein Kapitel über Produktsicherheit. Dieses enthält Basis- und Zusatzkriterien, korrespondierende Kriterien für Kunden sowie ergänzende Informationen.

  • Leitlinien und Empfehlungen für Cloud-Kunden: Der Cloud-Anbieter macht Cloud-Kunden Leitlinien und Empfehlungen zugänglich.
  • Identifikation von Schwachstellen des Cloud-Dienstes: Die Verfahren sind Bestandteil des Softwareentwicklungsprozesses und umfassen unter anderem folgende Aktivitäten: Statische und dynamische Code-Analyse, Code Reviews durch qualifiziertes Personal des Cloud-Anbieters.
  • Online-Register bekannter Schwachstellen: Der Cloud-Anbieter betreibt oder verweist auf ein tagesaktuell gepflegtes Online-Register bekannter Schwachstellen. Die Verfahren zur Identifikation solcher Schwachstellen umfassen darüber hinaus jährliche Code-Reviews oder Penetration-Tests durch qualifizierte externe Dritte.
  • Fehlerbehandlungs- und Protokollierungsmechanismen: Damit können Cloud-Kunden Informationen über den Sicherheitsstatus der Cloud-Dienste sowie die von ihm bereitgestellten Daten, Dienste oder Funktionen abrufen.
  • Authentisierungsmechanismen: Diese Authentisierungsmechanismen sind an allen Zugangspunkten eingerichtet, die Benutzern, IT-Komponenten oder Anwendungen eine Interaktion mit dem Cloud-Dienst ermöglichen.
  • Sessionmanagement: Es sind Mechanismen auf dem neuesten Stand der Technik implementiert, die nach erkannter Inaktivität einer Session diese beendet. Die Erkennung der Inaktivität kann durch Zeitmessung erfolgen. Das Zeitintervall ist vom Cloud-Anbieter oder – soweit technisch möglich – durch den Cloud-Kunden konfigurierbar.
  • Vertraulichkeit von Authentisierungsinformationen: Beim Erstellen von Passwörtern wird das Einhalten der Anforderungen des Cloud-Anbieters (vgl. IDM-09) oder des Cloud-Kunden an Länge und Komplexität technisch erzwungen. Der Stand der Technik bezüglich kryptographisch starker Hash-Funktion ist in der jeweils aktuellen Fassung der Technischen Richtlinie TR-02102-1 "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" des BSI festgelegt.
  • Rollen- und Rechtekonzept: Der Cloud-Anbieter macht Cloud-Kunden ein Rollen- und Rechtekonzept zum Verwalten von Zugangs- und Zugriffsberechtigungen zugänglich. Sie ermöglichen den Cloud-Kunden

    • eine Verwaltung der Zugangs- und Zugriffsberechtigungen gemäß dem Prinzip der geringsten Berechtigung ("Least-Privilege-Prinzip") und
    • wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-Know-Prinzip") sowie
    • die Funktionstrennung zwischen operativen und kontrollierenden Funktionen ("Separation of Duties").
  • Autorisierungsmechanismen: Der Zugriff auf die vom Cloud-Dienst bereitgestellten Funktionen wird durch Zugriffskontrollen (Autorisierungsmechanismen) eingeschränkt, die überprüfen, ob Benutzer, IT-Komponenten oder Anwendungen zur Durchführung bestimmter Aktionen berechtigt sind.
  • Software-defined Networking: Soweit der Cloud-Dienst Funktionen für Software-defined Networking (SDN) bietet, wird die Vertraulichkeit der Daten des Cloud-Kunden durch geeignete SDN-Verfahren sichergestellt.
  • Images für virtuelle Maschinen und Container: Soweit Cloud-Kunden mit dem Cloud-Dienst virtuelle Maschinen oder Container betreiben, muss der Cloud-Kunde die Auswahl von Images von virtuellen Maschinen oder Containern gemäß seinen Vorgaben einschränken können. Falls der Cloud-Anbieter dem Cloud-Kunden Images von virtuellen Maschinen oder Containern zur Verfügung stellt, informiert er den Cloud-Kunden in geeigneter Weise über die gegenüber der Vorversion vorgenommenen Änderungen. Die vom Cloud-Anbieter bereitgestellten Images sind nach allgemein akzeptierten Branchenstandards gehärtet.
  • Lokationen der Datenverarbeitung und –speicherung: Der Cloud-Kunde ist in der Lage die Lokationen (Ort/Land) der Datenverarbeitung und -speicherung einschließlich der Datensicherungen gemäß der vertraglich zur Verfügung stehenden Optionen festzulegen. Dies muss durch die Cloud-Architektur sichergestellt sein.

    Weitere Informationen

    Das BSI hat eine detaillierte Zusammenstellung der Änderungen in einer Excel-Tabelle zum Download bereitgestellt.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge