Dienstleistungen in Kritischen Infrastrukturen
Version 1.7 vom 16.11.2020
Themenarbeitskreis "Nutzung cloudbasierter Dienste" des UP KRITIS
Änderungshistorie
Version 1.7 Erste, vom UP-KRITIS-Plenum im November 2020 freigegebene Version
Download dieses Dokuments unter:
https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Empfehlungen-Cloudnutzung.pdf
Kontakt:
Geschäftsstelle UP KRITIS
kritische.infrastrukturen@bsi.bund.de https://www.upkritis.de
Inhaltsverzeichnis
1 Management Summary ...4
2 Chancen und Risiken / mögliche Bedrohungen ...7
3 Cloud Computing Begriffsbestimmung ...9
3.1 Servicemodelle ...9
3.2 Bereitstellungsmodelle ... 10
4 Life-Cycle-Phasen der Cloud-Nutzung ... 11
4.1 Organisation / Strategie ... 11
4.2 Ziel- und Anforderungsbeschreibung der geplanten Cloudnutzung ... 13
4.3 Beschaffungsphase ... 14
4.4 Transitionsphase / Übergangsphase ... 14
4.5 Einsatzphase und Service-Kontrolle ... 15
4.6 Migrations- und Beendigungsphase ... 16
5 Quellenangaben ... 17
6 Literaturhinweise ... 17
7 Danksagung ... 17
1 Management Summary
Cloud Computing ist eine neue Technologie, aber auch ein Geschäftsmodell. Es ist die Zusammen- führung und der Betrieb großer Speicher- und Serverkapazitäten und die Bereitstellung von Applika- tionen in einem Service (Cloud-Dienst), um diese dem Markt kostengünstig anzubieten.
Es gibt unterschiedliche Bereitstellungsmodelle, welche die Fragen "wo soll der Service betrieben werden?" und "wer kann den Service nutzen? beantworten."
Zudem wird ein Cloud-Dienst nach dem Servicemodell differenziert. Dabei kann man für die unter- schiedlichen Cloud-Dienste ganze Infrastrukturen mieten (Infrastructure as a Service IaaS), Platt- formen (Platform as a Service PaaS) z. B. für die Softwareentwicklung oder auch nur einzelne Ge- schäftsprozesse und Softwarelösungen (Software as a Service SaaS).1
Insbesondere Software as a Service nimmt an Bedeutung (und Marktanteil) deutlich zu. Viele Applika- tionen werden zur Miete auf externen Ressourcen angeboten. Solche Cloud-Dienste sind grundsätz- lich auch für KRITIS-Betreiber interessant, da sie einfach und ohne Installation auf dem Endgerät z. B. über den Browser aufgerufen und direkt genutzt werden können.
Mit der Nutzung von Cloud-Diensten gibt ein KRITIS-Betreiber jedoch immer einen Teil der Hoheit und Kontrolle ab. Das betrifft die Daten, die Prozesse, die Applikation(-en), den Betrieb, die Infra- struktur und die Kontrolle über die Informationssicherheit.
Weiterhin muss bei der Festlegung einer Cloud-Strategie geprüft und definiert werden, ob bspw.
Entwicklungs- oder Forschungsprozesse oder, kritische Dienstleistungen (nach BSI-KritisV) und an- dere Versorgungsdienstleistungen mit Cloud-Diensten realisiert werden dürfen oder ob ausschließ- lich unterstützende, nicht kritische Prozesse Cloud-Dienste nutzen dürfen.
Zu berücksichtigen ist auch, dass durch die Cloudnutzung neu eingeführte Risiken (wie z. B. tech- nische Probleme beim Cloud-Betreiber) bei der Erbringung der kritischen Dienstleistung nicht an Dritte abgewälzt werden dürfen. Insbesondere die Verfügbarkeit der kritischen Dienstleistung darf nicht durch Cloud-Dienstleistungen reduziert werden, die Verantwortung hierfür verbleibt beim KRITIS-Betreiber. Auch die zu tragenden Betriebs- und Compliancerisiken (insbesondere DSGVO) sowie die gesetzlichen Verpflichtungen können durch eine Auslagerung von Diensten in die Cloud nicht vollständig an den Cloud-Dienstleister übertragen werden, sondern verbleiben zu einem großen Teil beim KRITIS-Betreiber.
Hier unterscheidet sich die Situation und Risikoabschätzung durch KRITIS-Betreiber von Betreibern aus anderen Branchen. So unterliegen größere KRITIS-Betreiber dem BSI-Gesetz, das sie zu verschie- denen präventiven und reaktiven Maßnahmen verpflichtet.
1 Weitere Erläuterungen zu den Servicemodellen finden sich im Anhang
Je nach Branche gelten auch Regelungen aus TKG, TMG oder ATG. Bei der Konzeption einer Cloud- nutzung müssen diese gesetzlichen Anforderungen berücksichtigt werden.
Durch die Nutzung von Cloud-Diensten entstehen Chancen und Risiken, sowie neue bzw. geänderte Anforderungen an den KRITIS-Betreiber. Die Chancen sind u. a. Kosteneffizienz, Skalierbarkeit, Flexi- bilität und eventuell ein Sicherheitsgewinn. Die Risiken sind u. a. Lieferantenabhängigkeit, Verlust der (direkten) Steuerung von Daten, Verlust von IT-Expertise und das Auslagern von sicherheitsrelevan- ten Anteilen der Produktionssysteme und -Daten aus dem eigenen Verantwortungsbereich.
Ökonomisch gesehen verlagern sich die Ausgaben vom Investitionsbudget auf die Sachkosten.
Die Risiken der Cloud-Service-Nutzung vergrößern sich, wenn die Nutzung solcher Services unkon- trolliert erfolgt. Eine Schatten-IT kann entstehen und der KRITIS-Betreiber ist nicht mehr voll- umfänglich in der Lage nachzuvollziehen, wo seine Daten gespeichert sind und verarbeitet werden.
Um die Risiken zu minimieren, einem Organisationsverschulden entgegen zu wirken und Cloud- Dienste zielgerichtet einzusetzen, sind neben einer strategischen Vorgabe der Geschäftsleitung Prozesse und Regeln zur Einbindung von Cloud-Diensten notwendig, die in der Regel neu zu defi- nieren sind.
Jeder KRITIS-Betreiber hat die Verantwortung für den Umgang mit Daten (Mitarbeiter-, Kunden-, Lieferanten-, Patienten-, Forschungsdaten, etc.) und natürlich auch Geschäftsgeheimnissen (Patente, Lieferverträge, Preise, Konditionen, usw.) sowie für die Bereitstellung der kritischen Dienstleistungen übernommen und muss bei einem Einsatz von Cloud-Diensten daher mindestens folgende Aspekte im Blick haben:
Anforderung des Cloud-Nutzers2
des Vertragsrechts
des Datenschutzes
des Risikomanagements
gesetzliche Vorgaben
der Beschaffung
der Compliance
der Informationssicherheit und den Stand der Technik
die sichere Einbindung des Cloud- Dienstes in die IT- /OT3-
Infrastruktur und den Betrieb des KRITIS-Betreibers
2 Cloud-Nutzer ist hier entweder das ganze Unternehmen oder eine organisatorische Einheit
3 OT: Operational Technology: Produktions-, Industrie- und Steuerungsanlagen
Wird die Auslagerung eines Dienstes beendet, ist sicherzustellen, dass die Daten und die Funktionali- tät wieder in die Hoheit des KRITIS-Betreibers zurückgeholt und beim Cloudanbieter gelöscht wer- den. Eine vertragliche Regelung und Vorgehensweise zur Exit-Strategie empfiehlt sich bereits mit Vertragsabschluss zu vereinbaren.
Empfohlen wird auch die Bildung einer übergreifenden Arbeitsgruppe beim KRITIS-Betreiber. Diese erarbeitet Vorgaben aufgrund bestehender Standards (z. B. ISO, BSI, CSA, NIST) und hauseigenen sowie sektorspezifischen Aspekten.
Es ist empfehlenswert, als ersten Schritt die Cloudstrategie zu erstellen. Dabei sollten die Leitungs- ebene sowie die für die strategische Planung des KRITIS-Betreibers tätigen Bereiche mitarbeiten bzw.
unterstützen.
Inhalte sind:
Festlegung der strategischen Aspekte der Cloudnutzung, u. a. zu erreichende (wirtschaftliche) Ziele und welche (kritischen) Prozesse und / oder (kritischen) Daten ausgelagert werden sollen
Festlegen von Verantwortlichkeiten für Cloud-Dienste
Festlegung der Sensibilität auszulagernder Daten sowie Prüfung auf Compliance Aspekte gemäß DSGVO und anderen Rechtsgrundlagen
Festlegen der notwendigen Service-Qualitäts-Nachweise, u. a. Testate, Zertifikate, Dienst- leistersteuerungs- und Kontrollmechanismen zur Risikominimierung, Strategien für Audits bei Lieferanten4 und Dienstleistern
Festlegung der technischen Voraussetzungen für die Cloud-Nutzung, vor allem unter dem Aspekt der Benutzerverwaltung (Authentifizierung) und der generellen technischen Einbin- dung von Diensten sowie deren (Betriebs-)Kontrolle.
Die weiteren Themengebiete ergeben sich aus den Life-Cycle-Phasen einer Cloud-Nutzung und setzen darin die Cloudstrategie operativ um (Details siehe Kapitel 4)
Ziel- und Anforderungsbeschreibung der angedachten Cloudnutzung
Beschaffungsphase
Transitionsphase / Überführungsphase
Einsatzphase (inklusive Service-Kontrolle und Behandlung von Vorfällen)
Migrations- und Beendigungsphase
4 Audits bei Lieferanten und Dienstleistern siehe Annex
2 Chancen und Risiken / mögliche Bedrohungen
Chancen Risiken / mögliche Bedrohungen
Skalierbar und flexibel
Nur Nutzungskosten werden bezahlt
geringere Investitionskosten im Vergleich zur lokalen Bereitstellung
keine Infrastruktur-Vorhaltekosten (z. B.
Migrationsflächen)
Sicherheitsmaßnahmen sind günstiger
Sicherheitsmaßnahmen bei Hauptanbietern i. d. R. besser / professioneller als On Premise
Mehrere Standorte können Geo- Redundanzen ermöglichen
Cloudanbieter verfügen i. d. R. über mehr Spezialisten
Standardisierung von Plattformen und Software
Tatsächliche Verfügbarkeit entspricht nicht den Anforderungen des KRITS- Betreibers
Konfigurationsmöglichkeiten nicht flexibel genug, um kurzfristige Änderun- gen der Anforderung umzusetzen
Abhängigkeit steigt (Internet, Lieferant)
Vertrauenswürdigkeit des Anbieters
Verlust der direkten Steuerung von Daten / Prozessen und
Sicherheitsmaßnahmen bei
verbleibender Verantwortung beim KRITIS-Betreiber
Verstoß gegen rechtliche Vorgaben
Sachkosten steigen
Verlust von IT-Expertise beim KRITIS- Betreiber
große Anbieter sind attraktives Angriffsziel (Inhalte, Störung, Managementnetze)
Daten werden nach außen (außerhalb des Unternehmens) transportiert und übertragen, ggf. auch grenzübergreifend und somit in andere Rechtsräume
Management der Verschlüsselungs- zertifikate problematisch
Bei Public Cloud-Services besteht immer die Möglichkeit der Datenexposition
Migrationen von einem Anbieter zum nächsten erzeugt Abhängigkeiten
Kostendruck auf Cloudanbieter führt zum Einsatz weniger geschulten Personals
Ungeplante Einstellung der
Leistungserbringung des Cloud-Dienstes
Finanzielle Planungsunsicherheit über die initiale Vertragslaufzeit hinaus
Durch die internetbasierte Verbindung zur Cloud entstehen Laufzeiten, welche ggf. mit der bislang eingesetzten Lösung nicht kompatibel sind.
Der KRITIS-Betreiber könnte fälschlich seine Ressourcen für die Informations- sicherheit reduzieren, da er das Risiko nur noch beim Cloud-Betreiber sieht.
Die Verantwortung für die Risiken bleibt weiterhin beim KRITIS-Betreiber und kann nur im rechtlich zulässigen Rahmen auf den Cloudanbieter übertragen werden.
3 Cloud Computing Begriffsbestimmung
Beim Cloud Computing werden Service- und Bereitstellungsmodelle unterschieden.
3.1 Servicemodelle
On Premise(s)
Hier wird die IT-Infrastruktur vom Unternehmen selbst organisiert und geführt und steht dabei im eigenen Rechenzentrum. Das Unternehmen hat volle Kontrolle und Verantwortung über Hard- und Software seiner IT-Systeme.
Infrastructure as a Service (IaaS)
Bei IaaS werden IT-Ressourcen wie z. B. Rechenleistung, Datenspeicher oder Netze als Dienst durch einen Cloud-Provider angeboten. Ein Cloud-Kunde kauft diese virtualisierten und in hohem Maß standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Kunde z. B. Rechenleistung, Arbeitsspeicher und Datenspeicher anmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen. Er hat volle Kontrolle und Verantwortung über das IT-System vom Betriebssystem aufwärts. Beispiele: Azure, Amazon Web Services
Platform as a Service (PaaS)
Ein Cloud-Provider stellt eine komplette Infrastruktur bereit und bietet dem Cloud-Kunden auf der Plattform standardisierte Schnittstellen an, die von Diensten des Cloud-Kunden genutzt werden. So kann die Plattform z. B. Mandantenfähigkeit, Skalierbarkeit, Zugriffs- kontrolle, Datenbankzugriffe, etc. als Service zur Verfügung stellen. Der Cloud-Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der Cloud- Provider in der Regel eigene Werkzeuge anbietet.
Software as a Service (SaaS)
Sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt. Beispiele: MS Office 365, Dropbox, OneDrive
Abbildung 1 - Darstellung der Servicemodelle, Verantwortlichkeiten, Datenspeicherung und Datenverarbeitung
3.2 Bereitstellungsmodelle
Private Cloud
Hier wird die Cloud-Infrastruktur nur für ein Unternehmen betrieben. Sie kann vom Unter- nehmen selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechen- zentrum des eigenen Unternehmens oder in einem fremden Unternehmen stehen.
Public Cloud
Von einer Public Cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können und die Services von einem Anbieter zur Verfügung gestellt werden.
Community Cloud
In einer Community Cloud wird die Infrastruktur von mehreren Unternehmen geteilt, die ähn- liche Interessen haben. Eine solche Cloud kann von einer dieser Unternehmen oder einem Dritten betrieben werden.
Hybrid Cloud
Werden mehrere Cloud Infrastrukturen, die für sich selbst eigenständig sind, über standardi- sierte Schnittstellen gemeinsam genutzt, wird dies Hybrid-Cloud genannt.
4 Life-Cycle-Phasen der Cloud-Nutzung
Abbildung 2 zeigt den vom BSI empfohlenen sicheren Cloudnutzungsprozess im schematischen Überblick.
Abbildung 2 BSI-Empfehlung zum Cloudnutzungsprozess, schematischer Überblick
Im Folgenden wird stichwortartig beschrieben, welche Inhalte in den Phasen einer Cloudnutzung zur Bearbeitung empfohlen werden.
4.1 Organisation / Strategie
1) Wie viele und welche Bereiche und / oder Prozesse des KRITIS-Betreibers sollen mit Cloud- Diensten strategisch versorgt werden?
Hierzu ist eine Cloud Strategie notwendig, ob bspw. Entwicklungs- oder Forschungs- oder der z. B. wichtige Versorgungsprozesse mit Cloud-Diensten realisiert werden dürfen oder ob aus- schließlich unterstützende, nicht kritische Prozesse Cloud-Dienste nutzen dürfen.
Welche wirtschaftlichen Ziele sollen erreicht werden?
In welchem Verhältnis stehen diese Ziele zu den Risiken des Cloud-Dienstes?
Sollen Leistungen auch von extern bezogen werden, wenn diese auch intern angeboten werden können?
Nach welchem Service-Modell soll die Cloudlösung genutzt werden?
Festlegen der Verantwortlichkeiten für Cloud-Dienste.
Die Antworten haben einen maßgeblichen Einfluss auf die IT-Strategie des KRITIS-Betreibers.
2) Festlegung der Sensibilität auszulagernder und zu verarbeitender Daten und Dienste
Gibt es Informationsklassen/Datentypen/Dienste, die nicht außerhalb des KRITIS-Betreibers, Deutschlands, Europas gespeichert bzw. verarbeitet werden dürfen? Prüfung auf Compliance Aspekte gemäß DSGVO und anderen Rechtsgrundlagen. Dies ist meistens eine juristische Fragestellung.
Zudem sollte man die unterschiedliche Gerichtsbarkeit (andere Gesetze und Rechtsprechun- gen), sowie mögliche Sprachbarrieren bei der Wahl der Lokation von Cloud-Diensten beach- ten.
3) Anforderungen, Regelungen und Richtlinien festlegen
Festlegen der notwendigen Service-Qualitäts-Nachweise, u. a. (C5-) Testate, Zertifikate, Dienstleistersteuerungs- und Kontrollmechanismen zur Risikominimierung, Strategien für Audits bei Lieferanten und Dienstleistern.
4) Festlegung der technischen Voraussetzungen für die Cloud-Nutzung Wichtige Aspekte:
Benutzerverwaltung: Um Nutzerlebenszyklen abzubilden, werden Identitäts- und Access Managementsysteme5 und Verzeichnisdienste verwendet. Berechtigungen werden auf Grundlage bestehender Prozesse vergeben und dort abgelegt. Strategisch ist zu entscheiden, wie bei der Nutzung von Cloud-Diensten diese Informationen bereitgestellt werden und dadurch eine durch den KRITIS-Betreiber gesteuerte Autorisierung und Authentifizierung erreicht wird.
Schnittstellen: Grundsätzlich ist jeder Cloud-Dienst ein IT-Service und somit ein IT- Vertrag. Jeder Cloud-Dienst bringt definierte Schnittstellen mit, die von der IT des KRITIS-Betreibers administriert, betrieben und abgesichert werden müssen. Daher ist dessen zentrale IT bei jeder Beschaffungsphase eines Cloud-Dienstes einzubinden.
Dabei sollten auch die Themen o Sicherheit
o Backup
o Sicherheitsmonitoring o Betriebsmonitoring
besprochen und notwendige Anforderungen definiert werden.
5 Identitäts- und Access Managementsysteme: Vereinfacht Systeme, die Benutzern anhand ihrer Rollen im Unternehmen individuelle Rechte erteilen und im Zusammenspiel mit Access-Management Zugriffsrechte für Portale, Single-Sign-On oder Security Policies verwalten.
4.2 Ziel- und Anforderungsbeschreibung der geplanten Cloudnutzung 5) Nutzeranforderungen
Der Unternehmensbereich, der einen Cloud-Dienst nutzen möchte, muss seine Anforderung an den Cloud-Dienst beschreiben. Der Cloud-Dienstanbieter muss eine Produkt- und Leis- tungsbeschreibung vorlegen. Der Cloud-Nutzer muss die angebotene Leistung als hinreichend für seine Anforderung bestätigen und dabei auch Vorgaben (z. B. aus branchenspezifischen Sicherheitsstandards B3S) und gesetzliche Anforderungen (z. B. aus dem BSIG) berücksich- tigen.
6) Risiken des Cloud-Dienstes beurteilen
Jeder Cloud-Dienst bringt Risiken mit sich, die der KRITIS-Betreiber beurteilen muss und für die er verantwortlich ist. Cloud-Dienste sind bzgl. ihrer bereitgestellten Sicherheit und des Risikopotentials zu beurteilen und die Risiken abzuwägen. (Siehe Tabelle Risiken und Chancen in Kapitel 2)
Zu berücksichtigen ist, dass durch die Cloudnutzung neu eingeführte Risiken (wie z. B. tech- nische Probleme beim Cloud-Betreiber) bei der Erbringung der kritischen Dienstleistung nicht an Dritte abgewälzt werden dürfen. Insbesondere die Verfügbarkeit der kritischen Dienst- leistung darf nicht durch die Nutzung von Cloud-Dienstleistungen reduziert werden. Die Ver- antwortung hierfür verbleibt beim KRITIS-Betreiber.
7) Integration in die Infrastruktur und Betrieb des Cloud-Dienstes
Jeder Cloud-Dienst bringt definierte Schnittstellen mit, die von der IT des KRITIS-Betreibers betrieben und abgesichert werden müssen.
Daher ist die zentrale IT bei jeder Beschaffungsphase eines Cloud-Dienstes einzubinden.
Der Schutz der On Premise / Cloud Lösung vor- und gegeneinander ist durch geeignete Maß- nahmen sicherzustellen.
8) Benutzerverwaltung
Jeder vom KRITIS-Betreiber genutzte Cloud-Dienst hat Benutzerkonten, die im Identitäts- und Access-Management des KRITIS-Betreibers eingebunden werden müssen (siehe 4.1.4).
Wie erfolgt diese Einbindung auf einem sicheren Weg, wie sehen Kontrollmechanismen aus, um z. B. Datenabflüsse und andere Sicherheitsvorfälle zu erkennen? Wie gestaltet sich die Rechtevergabe, eventuell ist ein auf den KRITIS-Betreiber angepasstes Rollenkonzept sinnvoll?
9) Verschlüsselungsmechanismen und Zertifikatsmanagement
Es muss definiert werden, in welcher Form die Daten gemäß dem aktuellen Stand der Technik (z. B. BSI, Technische Richtlinie für Kryptographische Verfahren) verschlüsselt werden Die Schlüssel/Zertifikate müssen so geschützt werden, dass diese nur dem Auftraggeber bekannt sind.
4.3 Beschaffungsphase
10) Benennung eines Servicemanagers
Die Verantwortung des Cloud-Dienstes und der Servicemanager für diesen Cloud-Dienst muss in dieser Phase festgelegt werden.
11) Vertragliche Aspekte
Jeder Vertrag für einen Cloud-Dienst muss rechtlich geprüft werden. Es sind zwingend die folgenden Vertragskomponenten zur Erreichung der Schutzziele mit aufzunehmen:
Beschreibung der Exit- und Migrationsstrategie. SLA bekommen eine besondere Bedeutung.
Die Sicherheit der Clouddienste
Verwendung von SecLA (z. B. Security Level Agreement des UP KRITIS)
Zertifikate
Daten und Verfahren besonders kritischer Prozesse
Datenschutzaspekte
o Auftragsdatenverarbeitung
o Datenschutzfolgeabschätzung (sofern erforderlich) o Eintrag in das Verfahrensverzeichnis
12) Notfallplanung / Notfalllösung
Vor der Transitionsphase sind die Notfallpläne hinsichtlich der Nichtverfügbarkeit von Cloud- Diensten vom jeweiligen KRITIS-Betreiber anzupassen.
4.4 Transitionsphase / Übergangsphase
13) Technische Anbindung und Parametrisierung des Cloud-Dienstes
Jeder Cloud-Dienst wird technisch in/an die Infrastruktur des KRITIS-Betreibers angebunden.
Dabei ist der Transportweg der Daten bzw. Informationen unter Verwendung einer Transport- verschlüsselung nach dem aktuellen Stand der Technik zu realisieren. Die logische Anbindung an beim KRITIS-Betreiber bestehende Schnittstellen und Verarbeitungen muss entwickelt, geplant und umgesetzt werden. In der Start-Phase der Nutzung von Cloud-Diensten sowohl wie im täglichen Betrieb von Cloud-Diensten sind Parametrisierungen am Cloud-Dienst durch den KRITIS-Betreiber durchzuführen (z. B. Benutzermanagement).
14) Einbindung des Cloud-Dienstes in die ISMS-Organisation
Ein Cloud-Dienst muss sich in die ISMS-Prozesse eingliedern. Diese Eingliederung muss ge- plant und vollzogen werden und kann dann Teilaufgabe eines Servicemanagers sein.
15) Migration der Daten und Informationen in den Cloud-Dienst
Nachdem der jeweilige Cloud-Dienst einsatzbereit ist sind i. d. R. eine initiale Übertragung von Daten und Informationen in den Cloud-Dienst umzusetzen, damit die Arbeitsfähigkeit des Cloud-Dienstes hergestellt wird. Nach erfolgter Migration müssen vor einem produktiven Ein- satz des Cloud-Dienstes entsprechende leistungs- und Funktionstest als Teil der Migrations- phase durchgeführt werden. Für die Migration und die Tests sind der Kosten- und Res- sourcenbedarf zu berücksichtigen.
4.5 Einsatzphase und Service-Kontrolle 16) Kontrolle des Cloud-Dienstes und des Anbieters
Es ist die Rolle des Servicemanagers zu etablieren. Für jeden Cloud-Dienst muss ein Service- manager verantwortlich sein, der die Leistungserbringung überwacht, Sicherheitsnachweise überprüft und Kontakt mit dem Cloudanbieter hält. Der Servicemanager sollte hierzu ein zentrales Vertragsmanagement für Cloud-Dienstverträge nutzen.
Bei Geschäftsbeziehungen des KRITIS-Betreibers mit Cloud-Anbietern sollte das Thema der Durchführung von Audits durch den KRITIS Betreiber oder die Durchführung in seinem Auf- trag von Anfang an berücksichtigt werden.
17) Dokumentation der Verarbeitungstätigkeiten
Es empfiehlt sich, ein Verzeichnis der Cloud-Dienste analog zum Verzeichnis aller IT-Services zu führen.
18) Datensicherung und Restore
Auch für Daten und Informationen in Cloud-Diensten sind entsprechende Datensicherungen, Datenrücksicherungen und die zugehörigen Tests zu implementieren und zu betreiben. Dies muss auch ein Wiederanlaufverfahren für den gesamten cloudbasierten Service beinhalten.
19) Drucken
Bei der Nutzung von Cloud-Diensten ist die technische Umsetzung der Druckeranbindung und das Design für die Druckdatenströme notwendig.
20) Monitoring
Auch für Cloud-Dienste ist ein aktives und dauerhaftes Monitoring vorzusehen, da Cloud- Dienste i. d. R. eng in die Arbeitsabläufe eingebunden sind. Ausfälle oder Beeinträchtigungen von Cloud-Diensten können Auswirkungen auf die Leistungserbringung des KRITIS-Betrei- bers haben. Das Monitoring der Cloud-Dienste ist in geeigneter Weise in das interne Monito- ring beim KRITIS-Betreiber zu integrieren.
21) Steuerung von IT-Betriebsprozessen (ITIL-Prozesse)
Eine Nutzung von Cloud-Diensten entbindet den KRITIS-Betreiber nicht von der Anwendung von IT-Betriebsprozessen, wie z. B. dem Patchmanagement oder dem Kapazitätsmanagement.
Abhängig vom genutzten Cloud-Service wird der Cloud-Dienst-Anbieter zwar Teile der Leis- tung bzw. deren technische Umsetzung durchführen, die Einbindung in die internen Prozesse ist dennoch nötig. Zu beachten ist auch die Tatsache, dass Cloud-Dienst-Anbieter dabei i. d. R.
feste Zeitvorgaben bzw. Fristen vorgeben, welche einer individuellen Planung des KRITIS-Be- treibers ggf. entgegenstehen.
22) Behandlung von Sicherheitsvorfällen
Die Behandlung von Sicherheitsvorfällen beim KRITIS-Betreiber muss auch Sicherheitsvor- fälle in ausgelagerten Systemen und Prozessen behandeln. Es muss sichergestellt sein, dass der KRITIS-Betreiber über Sicherheitsvorfälle beim Cloud-Dienstanbieter informiert wird.
Dafür sind Kommunikationskanäle und Zeitpunkte zu definieren. Es sollte vertraglich verein- bart werden, dass der Cloud-Dienstanbieter im Rahmen einer transparenten Kommunikation den KRITIS-Betreiber über Angriffe, getroffene Sicherheitsmaßnahmen und weitere Aspekte informiert.
23) Übungen
Es müssen regelmäßig bestimmte Szenarien geübt werden, wie z. B. Wiederanlauf, Migration/
Rückgabe der Daten und Einspielen in die eigene Infrastruktur, Durchspielen von Sicherheits- vorfällen zu Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit.
4.6 Migrations- und Beendigungsphase 24) Rückgabe, Löschung oder Migration der Daten
Die Daten sind Werte des KRITIS-Betreibers und müssen daher wieder zurückgeführt, ge- löscht oder migriert werden können. Dies muss bei den vertraglichen Aspekten bereits fest- gelegt worden sein, u. a. durch Vereinbarung eines Löschkonzepts.
Für diese Arbeiten ist i. d. R. der IT- und OT-Betrieb des KRITIS-Betreibers einzubinden, um die Daten abzulegen, Verbindungen zu schaffen oder den Dienst zu migrieren.
5 Quellenangaben
ENISA: Cloud Security Guide for SMEs (April 2015)
BSI: Umsetzungshinweise zu den Mindeststandards des BSI zur Nutzung und Mitnutzung externer Cloud-Dienste nach § 8 Absatz 1 BSIG (V. 1.0 vom 20.06.2018),
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Umsetzungshinweise_Mindeststandards_Externe_Cloud-Dienste.pdf
BSI: Sichere Nutzung von Cloud-Diensten (08/2016),
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Sichere_Nutzung_Cloud/Sichere_Nutzung_Cloud_node.html
NIST: The NIST Definition of Cloud Computing, SP800-145 (09/2011) Wikipedia: https://de.wikipedia.org/wiki/Cloud_Computing#Servicemodelle
6 Literaturhinweise
ENISA: Survey and analysis of security parameters in cloud SLAs across the European public sector (19.12.2011)
BSI: Anforderungskatalog Cloud Computing (C5) (03/2020)
BSI: Sicherheitsempfehlungen für Cloud Computing Anbieter (02/2012)
Rat der IT-Beauftragten (D): Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung (29.07.2015)
IT-Planungsrat (D): Vorgehensweisen und Kriterien zur Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft (13.10.2016)
BSI: Cloud-Standards und Zertifizierungen im Überblick (18.02.2016)
NIST: The NIST Cloud Federation Reference Architecture (20.09.2019, Draft)
NIST: Guidelines on Security and Privacy in Public Cloud Computing, SP800-144, (12/2011)
CSA: Security Guidance for Critical Areas of Focus in Cloud Computing, Cloud Security Alliance (CSA), Version 4.0, 2017, https://cloudsecurityalliance.org/download/security-guidance-v4/
7 Danksagung
Dieses Papier wurde aus einem Positionspapier des Universitätsklinikums Tübingen entwickelt.
Der Themenarbeitskreis "Nutzung cloudbasierter Dienste" des UP KRITIS dankt dem Universitäts- klinikum für die Nutzungserlaubnis.