Empfehlungen zur Nutzung von Cloud- Dienstleistungen in Kritischen Infrastrukturen

Dienstleistungen in Kritischen Infrastrukturen

Version 1.7 vom 16.11.2020

Themenarbeitskreis "Nutzung cloudbasierter Dienste" des UP KRITIS

Änderungshistorie

Version 1.7 Erste, vom UP-KRITIS-Plenum im November 2020 freigegebene Version

Download dieses Dokuments unter:

https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Empfehlungen-Cloudnutzung.pdf

Kontakt:

Geschäftsstelle UP KRITIS

kritische.infrastrukturen@bsi.bund.de https://www.upkritis.de

Inhaltsverzeichnis

1 Management Summary ...4

2 Chancen und Risiken / mögliche Bedrohungen ...7

3 Cloud Computing Begriffsbestimmung ...9

3.1 Servicemodelle ...9

3.2 Bereitstellungsmodelle ... 10

4 Life-Cycle-Phasen der Cloud-Nutzung ... 11

4.1 Organisation / Strategie ... 11

4.2 Ziel- und Anforderungsbeschreibung der geplanten Cloudnutzung ... 13

4.3 Beschaffungsphase ... 14

4.4 Transitionsphase / Übergangsphase ... 14

4.5 Einsatzphase und Service-Kontrolle ... 15

4.6 Migrations- und Beendigungsphase ... 16

5 Quellenangaben ... 17

6 Literaturhinweise ... 17

7 Danksagung ... 17

1 Management Summary

Cloud Computing ist eine neue Technologie, aber auch ein Geschäftsmodell. Es ist die Zusammen- führung und der Betrieb großer Speicher- und Serverkapazitäten und die Bereitstellung von Applika- tionen in einem Service (Cloud-Dienst), um diese dem Markt kostengünstig anzubieten.

Es gibt unterschiedliche Bereitstellungsmodelle, welche die Fragen "wo soll der Service betrieben werden?" und "wer kann den Service nutzen? beantworten."

Zudem wird ein Cloud-Dienst nach dem Servicemodell differenziert. Dabei kann man für die unter- schiedlichen Cloud-Dienste ganze Infrastrukturen mieten (Infrastructure as a Service IaaS), Platt- formen (Platform as a Service PaaS) z. B. für die Softwareentwicklung oder auch nur einzelne Ge- schäftsprozesse und Softwarelösungen (Software as a Service SaaS).¹

Insbesondere Software as a Service nimmt an Bedeutung (und Marktanteil) deutlich zu. Viele Applika- tionen werden zur Miete auf externen Ressourcen angeboten. Solche Cloud-Dienste sind grundsätz- lich auch für KRITIS-Betreiber interessant, da sie einfach und ohne Installation auf dem Endgerät z. B. über den Browser aufgerufen und direkt genutzt werden können.

Mit der Nutzung von Cloud-Diensten gibt ein KRITIS-Betreiber jedoch immer einen Teil der Hoheit und Kontrolle ab. Das betrifft die Daten, die Prozesse, die Applikation(-en), den Betrieb, die Infra- struktur und die Kontrolle über die Informationssicherheit.

Weiterhin muss bei der Festlegung einer Cloud-Strategie geprüft und definiert werden, ob bspw.

Entwicklungs- oder Forschungsprozesse oder, kritische Dienstleistungen (nach BSI-KritisV) und an- dere Versorgungsdienstleistungen mit Cloud-Diensten realisiert werden dürfen oder ob ausschließ- lich unterstützende, nicht kritische Prozesse Cloud-Dienste nutzen dürfen.

Zu berücksichtigen ist auch, dass durch die Cloudnutzung neu eingeführte Risiken (wie z. B. tech- nische Probleme beim Cloud-Betreiber) bei der Erbringung der kritischen Dienstleistung nicht an Dritte abgewälzt werden dürfen. Insbesondere die Verfügbarkeit der kritischen Dienstleistung darf nicht durch Cloud-Dienstleistungen reduziert werden, die Verantwortung hierfür verbleibt beim KRITIS-Betreiber. Auch die zu tragenden Betriebs- und Compliancerisiken (insbesondere DSGVO) sowie die gesetzlichen Verpflichtungen können durch eine Auslagerung von Diensten in die Cloud nicht vollständig an den Cloud-Dienstleister übertragen werden, sondern verbleiben zu einem großen Teil beim KRITIS-Betreiber.

Hier unterscheidet sich die Situation und Risikoabschätzung durch KRITIS-Betreiber von Betreibern aus anderen Branchen. So unterliegen größere KRITIS-Betreiber dem BSI-Gesetz, das sie zu verschie- denen präventiven und reaktiven Maßnahmen verpflichtet.

1 Weitere Erläuterungen zu den Servicemodellen finden sich im Anhang

Je nach Branche gelten auch Regelungen aus TKG, TMG oder ATG. Bei der Konzeption einer Cloud- nutzung müssen diese gesetzlichen Anforderungen berücksichtigt werden.

Durch die Nutzung von Cloud-Diensten entstehen Chancen und Risiken, sowie neue bzw. geänderte Anforderungen an den KRITIS-Betreiber. Die Chancen sind u. a. Kosteneffizienz, Skalierbarkeit, Flexi- bilität und eventuell ein Sicherheitsgewinn. Die Risiken sind u. a. Lieferantenabhängigkeit, Verlust der (direkten) Steuerung von Daten, Verlust von IT-Expertise und das Auslagern von sicherheitsrelevan- ten Anteilen der Produktionssysteme und -Daten aus dem eigenen Verantwortungsbereich.

Ökonomisch gesehen verlagern sich die Ausgaben vom Investitionsbudget auf die Sachkosten.

Die Risiken der Cloud-Service-Nutzung vergrößern sich, wenn die Nutzung solcher Services unkon- trolliert erfolgt. Eine Schatten-IT kann entstehen und der KRITIS-Betreiber ist nicht mehr voll- umfänglich in der Lage nachzuvollziehen, wo seine Daten gespeichert sind und verarbeitet werden.

Um die Risiken zu minimieren, einem Organisationsverschulden entgegen zu wirken und Cloud- Dienste zielgerichtet einzusetzen, sind neben einer strategischen Vorgabe der Geschäftsleitung Prozesse und Regeln zur Einbindung von Cloud-Diensten notwendig, die in der Regel neu zu defi- nieren sind.

Jeder KRITIS-Betreiber hat die Verantwortung für den Umgang mit Daten (Mitarbeiter-, Kunden-, Lieferanten-, Patienten-, Forschungsdaten, etc.) und natürlich auch Geschäftsgeheimnissen (Patente, Lieferverträge, Preise, Konditionen, usw.) sowie für die Bereitstellung der kritischen Dienstleistungen übernommen und muss bei einem Einsatz von Cloud-Diensten daher mindestens folgende Aspekte im Blick haben:

 Anforderung des Cloud-Nutzers²

 des Vertragsrechts

 des Datenschutzes

 des Risikomanagements

 gesetzliche Vorgaben

 der Beschaffung

 der Compliance

 der Informationssicherheit und den Stand der Technik

 die sichere Einbindung des Cloud- Dienstes in die IT- /OT³-

Infrastruktur und den Betrieb des KRITIS-Betreibers

2 Cloud-Nutzer ist hier entweder das ganze Unternehmen oder eine organisatorische Einheit

3 OT: Operational Technology: Produktions-, Industrie- und Steuerungsanlagen

Wird die Auslagerung eines Dienstes beendet, ist sicherzustellen, dass die Daten und die Funktionali- tät wieder in die Hoheit des KRITIS-Betreibers zurückgeholt und beim Cloudanbieter gelöscht wer- den. Eine vertragliche Regelung und Vorgehensweise zur Exit-Strategie empfiehlt sich bereits mit Vertragsabschluss zu vereinbaren.

Empfohlen wird auch die Bildung einer übergreifenden Arbeitsgruppe beim KRITIS-Betreiber. Diese erarbeitet Vorgaben aufgrund bestehender Standards (z. B. ISO, BSI, CSA, NIST) und hauseigenen sowie sektorspezifischen Aspekten.

Es ist empfehlenswert, als ersten Schritt die Cloudstrategie zu erstellen. Dabei sollten die Leitungs- ebene sowie die für die strategische Planung des KRITIS-Betreibers tätigen Bereiche mitarbeiten bzw.

unterstützen.

Inhalte sind:

 Festlegung der strategischen Aspekte der Cloudnutzung, u. a. zu erreichende (wirtschaftliche) Ziele und welche (kritischen) Prozesse und / oder (kritischen) Daten ausgelagert werden sollen

 Festlegen von Verantwortlichkeiten für Cloud-Dienste

 Festlegung der Sensibilität auszulagernder Daten sowie Prüfung auf Compliance Aspekte gemäß DSGVO und anderen Rechtsgrundlagen

 Festlegen der notwendigen Service-Qualitäts-Nachweise, u. a. Testate, Zertifikate, Dienst- leistersteuerungs- und Kontrollmechanismen zur Risikominimierung, Strategien für Audits bei Lieferanten4 und Dienstleistern

 Festlegung der technischen Voraussetzungen für die Cloud-Nutzung, vor allem unter dem Aspekt der Benutzerverwaltung (Authentifizierung) und der generellen technischen Einbin- dung von Diensten sowie deren (Betriebs-)Kontrolle.

Die weiteren Themengebiete ergeben sich aus den Life-Cycle-Phasen einer Cloud-Nutzung und setzen darin die Cloudstrategie operativ um (Details siehe Kapitel 4)

 Ziel- und Anforderungsbeschreibung der angedachten Cloudnutzung

 Beschaffungsphase

 Transitionsphase / Überführungsphase

 Einsatzphase (inklusive Service-Kontrolle und Behandlung von Vorfällen)

 Migrations- und Beendigungsphase

4 Audits bei Lieferanten und Dienstleistern siehe Annex

2 Chancen und Risiken / mögliche Bedrohungen

Chancen Risiken / mögliche Bedrohungen

 Skalierbar und flexibel

 Nur Nutzungskosten werden bezahlt

 geringere Investitionskosten im Vergleich zur lokalen Bereitstellung

 keine Infrastruktur-Vorhaltekosten (z. B.

Migrationsflächen)

 Sicherheitsmaßnahmen sind günstiger

 Sicherheitsmaßnahmen bei Hauptanbietern i. d. R. besser / professioneller als On Premise

 Mehrere Standorte können Geo- Redundanzen ermöglichen

 Cloudanbieter verfügen i. d. R. über mehr Spezialisten

 Standardisierung von Plattformen und Software

 Tatsächliche Verfügbarkeit entspricht nicht den Anforderungen des KRITS- Betreibers

 Konfigurationsmöglichkeiten nicht flexibel genug, um kurzfristige Änderun- gen der Anforderung umzusetzen

 Abhängigkeit steigt (Internet, Lieferant)

 Vertrauenswürdigkeit des Anbieters

 Verlust der direkten Steuerung von Daten / Prozessen und

Sicherheitsmaßnahmen bei

verbleibender Verantwortung beim KRITIS-Betreiber

 Verstoß gegen rechtliche Vorgaben

 Sachkosten steigen

 Verlust von IT-Expertise beim KRITIS- Betreiber

 große Anbieter sind attraktives Angriffsziel (Inhalte, Störung, Managementnetze)

 Daten werden nach außen (außerhalb des Unternehmens) transportiert und übertragen, ggf. auch grenzübergreifend und somit in andere Rechtsräume

 Management der Verschlüsselungs- zertifikate problematisch

 Bei Public Cloud-Services besteht immer die Möglichkeit der Datenexposition

 Migrationen von einem Anbieter zum nächsten erzeugt Abhängigkeiten

 Kostendruck auf Cloudanbieter führt zum Einsatz weniger geschulten Personals

 Ungeplante Einstellung der

Leistungserbringung des Cloud-Dienstes

 Finanzielle Planungsunsicherheit über die initiale Vertragslaufzeit hinaus

 Durch die internetbasierte Verbindung zur Cloud entstehen Laufzeiten, welche ggf. mit der bislang eingesetzten Lösung nicht kompatibel sind.

 Der KRITIS-Betreiber könnte fälschlich seine Ressourcen für die Informations- sicherheit reduzieren, da er das Risiko nur noch beim Cloud-Betreiber sieht.

Die Verantwortung für die Risiken bleibt weiterhin beim KRITIS-Betreiber und kann nur im rechtlich zulässigen Rahmen auf den Cloudanbieter übertragen werden.

3 Cloud Computing Begriffsbestimmung

Beim Cloud Computing werden Service- und Bereitstellungsmodelle unterschieden.

3.1 Servicemodelle

 On Premise(s)

Hier wird die IT-Infrastruktur vom Unternehmen selbst organisiert und geführt und steht dabei im eigenen Rechenzentrum. Das Unternehmen hat volle Kontrolle und Verantwortung über Hard- und Software seiner IT-Systeme.

 Infrastructure as a Service (IaaS)

Bei IaaS werden IT-Ressourcen wie z. B. Rechenleistung, Datenspeicher oder Netze als Dienst durch einen Cloud-Provider angeboten. Ein Cloud-Kunde kauft diese virtualisierten und in hohem Maß standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Kunde z. B. Rechenleistung, Arbeitsspeicher und Datenspeicher anmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen. Er hat volle Kontrolle und Verantwortung über das IT-System vom Betriebssystem aufwärts. Beispiele: Azure, Amazon Web Services

 Platform as a Service (PaaS)

Ein Cloud-Provider stellt eine komplette Infrastruktur bereit und bietet dem Cloud-Kunden auf der Plattform standardisierte Schnittstellen an, die von Diensten des Cloud-Kunden genutzt werden. So kann die Plattform z. B. Mandantenfähigkeit, Skalierbarkeit, Zugriffs- kontrolle, Datenbankzugriffe, etc. als Service zur Verfügung stellen. Der Cloud-Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der Cloud- Provider in der Regel eigene Werkzeuge anbietet.

 Software as a Service (SaaS)

Sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt. Beispiele: MS Office 365, Dropbox, OneDrive

Abbildung 1 - Darstellung der Servicemodelle, Verantwortlichkeiten, Datenspeicherung und Datenverarbeitung

3.2 Bereitstellungsmodelle

 Private Cloud

Hier wird die Cloud-Infrastruktur nur für ein Unternehmen betrieben. Sie kann vom Unter- nehmen selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechen- zentrum des eigenen Unternehmens oder in einem fremden Unternehmen stehen.

 Public Cloud

Von einer Public Cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können und die Services von einem Anbieter zur Verfügung gestellt werden.

 Community Cloud

In einer Community Cloud wird die Infrastruktur von mehreren Unternehmen geteilt, die ähn- liche Interessen haben. Eine solche Cloud kann von einer dieser Unternehmen oder einem Dritten betrieben werden.

 Hybrid Cloud

Werden mehrere Cloud Infrastrukturen, die für sich selbst eigenständig sind, über standardi- sierte Schnittstellen gemeinsam genutzt, wird dies Hybrid-Cloud genannt.

4 Life-Cycle-Phasen der Cloud-Nutzung

Abbildung 2 zeigt den vom BSI empfohlenen sicheren Cloudnutzungsprozess im schematischen Überblick.

Abbildung 2 BSI-Empfehlung zum Cloudnutzungsprozess, schematischer Überblick

Im Folgenden wird stichwortartig beschrieben, welche Inhalte in den Phasen einer Cloudnutzung zur Bearbeitung empfohlen werden.

4.1 Organisation / Strategie

1) Wie viele und welche Bereiche und / oder Prozesse des KRITIS-Betreibers sollen mit Cloud- Diensten strategisch versorgt werden?

Hierzu ist eine Cloud Strategie notwendig, ob bspw. Entwicklungs- oder Forschungs- oder der z. B. wichtige Versorgungsprozesse mit Cloud-Diensten realisiert werden dürfen oder ob aus- schließlich unterstützende, nicht kritische Prozesse Cloud-Dienste nutzen dürfen.

 Welche wirtschaftlichen Ziele sollen erreicht werden?

 In welchem Verhältnis stehen diese Ziele zu den Risiken des Cloud-Dienstes?

 Sollen Leistungen auch von extern bezogen werden, wenn diese auch intern angeboten werden können?

 Nach welchem Service-Modell soll die Cloudlösung genutzt werden?

 Festlegen der Verantwortlichkeiten für Cloud-Dienste.

Die Antworten haben einen maßgeblichen Einfluss auf die IT-Strategie des KRITIS-Betreibers.

2) Festlegung der Sensibilität auszulagernder und zu verarbeitender Daten und Dienste

Gibt es Informationsklassen/Datentypen/Dienste, die nicht außerhalb des KRITIS-Betreibers, Deutschlands, Europas gespeichert bzw. verarbeitet werden dürfen? Prüfung auf Compliance Aspekte gemäß DSGVO und anderen Rechtsgrundlagen. Dies ist meistens eine juristische Fragestellung.

Zudem sollte man die unterschiedliche Gerichtsbarkeit (andere Gesetze und Rechtsprechun- gen), sowie mögliche Sprachbarrieren bei der Wahl der Lokation von Cloud-Diensten beach- ten.

3) Anforderungen, Regelungen und Richtlinien festlegen

Festlegen der notwendigen Service-Qualitäts-Nachweise, u. a. (C5-) Testate, Zertifikate, Dienstleistersteuerungs- und Kontrollmechanismen zur Risikominimierung, Strategien für Audits bei Lieferanten und Dienstleistern.

4) Festlegung der technischen Voraussetzungen für die Cloud-Nutzung Wichtige Aspekte:

 Benutzerverwaltung: Um Nutzerlebenszyklen abzubilden, werden Identitäts- und Access Managementsysteme⁵ und Verzeichnisdienste verwendet. Berechtigungen werden auf Grundlage bestehender Prozesse vergeben und dort abgelegt. Strategisch ist zu entscheiden, wie bei der Nutzung von Cloud-Diensten diese Informationen bereitgestellt werden und dadurch eine durch den KRITIS-Betreiber gesteuerte Autorisierung und Authentifizierung erreicht wird.

 Schnittstellen: Grundsätzlich ist jeder Cloud-Dienst ein IT-Service und somit ein IT- Vertrag. Jeder Cloud-Dienst bringt definierte Schnittstellen mit, die von der IT des KRITIS-Betreibers administriert, betrieben und abgesichert werden müssen. Daher ist dessen zentrale IT bei jeder Beschaffungsphase eines Cloud-Dienstes einzubinden.

Dabei sollten auch die Themen o Sicherheit

o Backup

o Sicherheitsmonitoring o Betriebsmonitoring

besprochen und notwendige Anforderungen definiert werden.

5 Identitäts- und Access Managementsysteme: Vereinfacht Systeme, die Benutzern anhand ihrer Rollen im Unternehmen individuelle Rechte erteilen und im Zusammenspiel mit Access-Management Zugriffsrechte für Portale, Single-Sign-On oder Security Policies verwalten.

4.2 Ziel- und Anforderungsbeschreibung der geplanten Cloudnutzung 5) Nutzeranforderungen

Der Unternehmensbereich, der einen Cloud-Dienst nutzen möchte, muss seine Anforderung an den Cloud-Dienst beschreiben. Der Cloud-Dienstanbieter muss eine Produkt- und Leis- tungsbeschreibung vorlegen. Der Cloud-Nutzer muss die angebotene Leistung als hinreichend für seine Anforderung bestätigen und dabei auch Vorgaben (z. B. aus branchenspezifischen Sicherheitsstandards B3S) und gesetzliche Anforderungen (z. B. aus dem BSIG) berücksich- tigen.

6) Risiken des Cloud-Dienstes beurteilen

Jeder Cloud-Dienst bringt Risiken mit sich, die der KRITIS-Betreiber beurteilen muss und für die er verantwortlich ist. Cloud-Dienste sind bzgl. ihrer bereitgestellten Sicherheit und des Risikopotentials zu beurteilen und die Risiken abzuwägen. (Siehe Tabelle Risiken und Chancen in Kapitel 2)

Zu berücksichtigen ist, dass durch die Cloudnutzung neu eingeführte Risiken (wie z. B. tech- nische Probleme beim Cloud-Betreiber) bei der Erbringung der kritischen Dienstleistung nicht an Dritte abgewälzt werden dürfen. Insbesondere die Verfügbarkeit der kritischen Dienst- leistung darf nicht durch die Nutzung von Cloud-Dienstleistungen reduziert werden. Die Ver- antwortung hierfür verbleibt beim KRITIS-Betreiber.

7) Integration in die Infrastruktur und Betrieb des Cloud-Dienstes

Jeder Cloud-Dienst bringt definierte Schnittstellen mit, die von der IT des KRITIS-Betreibers betrieben und abgesichert werden müssen.

Daher ist die zentrale IT bei jeder Beschaffungsphase eines Cloud-Dienstes einzubinden.

Der Schutz der On Premise / Cloud Lösung vor- und gegeneinander ist durch geeignete Maß- nahmen sicherzustellen.

8) Benutzerverwaltung

Jeder vom KRITIS-Betreiber genutzte Cloud-Dienst hat Benutzerkonten, die im Identitäts- und Access-Management des KRITIS-Betreibers eingebunden werden müssen (siehe 4.1.4).

Wie erfolgt diese Einbindung auf einem sicheren Weg, wie sehen Kontrollmechanismen aus, um z. B. Datenabflüsse und andere Sicherheitsvorfälle zu erkennen? Wie gestaltet sich die Rechtevergabe, eventuell ist ein auf den KRITIS-Betreiber angepasstes Rollenkonzept sinnvoll?

9) Verschlüsselungsmechanismen und Zertifikatsmanagement

Es muss definiert werden, in welcher Form die Daten gemäß dem aktuellen Stand der Technik (z. B. BSI, Technische Richtlinie für Kryptographische Verfahren) verschlüsselt werden Die Schlüssel/Zertifikate müssen so geschützt werden, dass diese nur dem Auftraggeber bekannt sind.

4.3 Beschaffungsphase

10) Benennung eines Servicemanagers

Die Verantwortung des Cloud-Dienstes und der Servicemanager für diesen Cloud-Dienst muss in dieser Phase festgelegt werden.

11) Vertragliche Aspekte

Jeder Vertrag für einen Cloud-Dienst muss rechtlich geprüft werden. Es sind zwingend die folgenden Vertragskomponenten zur Erreichung der Schutzziele mit aufzunehmen:

 Beschreibung der Exit- und Migrationsstrategie. SLA bekommen eine besondere Bedeutung.

 Die Sicherheit der Clouddienste

 Verwendung von SecLA (z. B. Security Level Agreement des UP KRITIS)

 Zertifikate

 Daten und Verfahren besonders kritischer Prozesse

 Datenschutzaspekte

o Auftragsdatenverarbeitung

o Datenschutzfolgeabschätzung (sofern erforderlich) o Eintrag in das Verfahrensverzeichnis

12) Notfallplanung / Notfalllösung

Vor der Transitionsphase sind die Notfallpläne hinsichtlich der Nichtverfügbarkeit von Cloud- Diensten vom jeweiligen KRITIS-Betreiber anzupassen.

4.4 Transitionsphase / Übergangsphase

13) Technische Anbindung und Parametrisierung des Cloud-Dienstes

Jeder Cloud-Dienst wird technisch in/an die Infrastruktur des KRITIS-Betreibers angebunden.

Dabei ist der Transportweg der Daten bzw. Informationen unter Verwendung einer Transport- verschlüsselung nach dem aktuellen Stand der Technik zu realisieren. Die logische Anbindung an beim KRITIS-Betreiber bestehende Schnittstellen und Verarbeitungen muss entwickelt, geplant und umgesetzt werden. In der Start-Phase der Nutzung von Cloud-Diensten sowohl wie im täglichen Betrieb von Cloud-Diensten sind Parametrisierungen am Cloud-Dienst durch den KRITIS-Betreiber durchzuführen (z. B. Benutzermanagement).

14) Einbindung des Cloud-Dienstes in die ISMS-Organisation

Ein Cloud-Dienst muss sich in die ISMS-Prozesse eingliedern. Diese Eingliederung muss ge- plant und vollzogen werden und kann dann Teilaufgabe eines Servicemanagers sein.

15) Migration der Daten und Informationen in den Cloud-Dienst

Nachdem der jeweilige Cloud-Dienst einsatzbereit ist sind i. d. R. eine initiale Übertragung von Daten und Informationen in den Cloud-Dienst umzusetzen, damit die Arbeitsfähigkeit des Cloud-Dienstes hergestellt wird. Nach erfolgter Migration müssen vor einem produktiven Ein- satz des Cloud-Dienstes entsprechende leistungs- und Funktionstest als Teil der Migrations- phase durchgeführt werden. Für die Migration und die Tests sind der Kosten- und Res- sourcenbedarf zu berücksichtigen.

4.5 Einsatzphase und Service-Kontrolle 16) Kontrolle des Cloud-Dienstes und des Anbieters

Es ist die Rolle des Servicemanagers zu etablieren. Für jeden Cloud-Dienst muss ein Service- manager verantwortlich sein, der die Leistungserbringung überwacht, Sicherheitsnachweise überprüft und Kontakt mit dem Cloudanbieter hält. Der Servicemanager sollte hierzu ein zentrales Vertragsmanagement für Cloud-Dienstverträge nutzen.

Bei Geschäftsbeziehungen des KRITIS-Betreibers mit Cloud-Anbietern sollte das Thema der Durchführung von Audits durch den KRITIS Betreiber oder die Durchführung in seinem Auf- trag von Anfang an berücksichtigt werden.

17) Dokumentation der Verarbeitungstätigkeiten

Es empfiehlt sich, ein Verzeichnis der Cloud-Dienste analog zum Verzeichnis aller IT-Services zu führen.

18) Datensicherung und Restore

Auch für Daten und Informationen in Cloud-Diensten sind entsprechende Datensicherungen, Datenrücksicherungen und die zugehörigen Tests zu implementieren und zu betreiben. Dies muss auch ein Wiederanlaufverfahren für den gesamten cloudbasierten Service beinhalten.

19) Drucken

Bei der Nutzung von Cloud-Diensten ist die technische Umsetzung der Druckeranbindung und das Design für die Druckdatenströme notwendig.

20) Monitoring

Auch für Cloud-Dienste ist ein aktives und dauerhaftes Monitoring vorzusehen, da Cloud- Dienste i. d. R. eng in die Arbeitsabläufe eingebunden sind. Ausfälle oder Beeinträchtigungen von Cloud-Diensten können Auswirkungen auf die Leistungserbringung des KRITIS-Betrei- bers haben. Das Monitoring der Cloud-Dienste ist in geeigneter Weise in das interne Monito- ring beim KRITIS-Betreiber zu integrieren.

21) Steuerung von IT-Betriebsprozessen (ITIL-Prozesse)

Eine Nutzung von Cloud-Diensten entbindet den KRITIS-Betreiber nicht von der Anwendung von IT-Betriebsprozessen, wie z. B. dem Patchmanagement oder dem Kapazitätsmanagement.

Abhängig vom genutzten Cloud-Service wird der Cloud-Dienst-Anbieter zwar Teile der Leis- tung bzw. deren technische Umsetzung durchführen, die Einbindung in die internen Prozesse ist dennoch nötig. Zu beachten ist auch die Tatsache, dass Cloud-Dienst-Anbieter dabei i. d. R.

feste Zeitvorgaben bzw. Fristen vorgeben, welche einer individuellen Planung des KRITIS-Be- treibers ggf. entgegenstehen.

22) Behandlung von Sicherheitsvorfällen

Die Behandlung von Sicherheitsvorfällen beim KRITIS-Betreiber muss auch Sicherheitsvor- fälle in ausgelagerten Systemen und Prozessen behandeln. Es muss sichergestellt sein, dass der KRITIS-Betreiber über Sicherheitsvorfälle beim Cloud-Dienstanbieter informiert wird.

Dafür sind Kommunikationskanäle und Zeitpunkte zu definieren. Es sollte vertraglich verein- bart werden, dass der Cloud-Dienstanbieter im Rahmen einer transparenten Kommunikation den KRITIS-Betreiber über Angriffe, getroffene Sicherheitsmaßnahmen und weitere Aspekte informiert.

23) Übungen

Es müssen regelmäßig bestimmte Szenarien geübt werden, wie z. B. Wiederanlauf, Migration/

Rückgabe der Daten und Einspielen in die eigene Infrastruktur, Durchspielen von Sicherheits- vorfällen zu Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit.

4.6 Migrations- und Beendigungsphase 24) Rückgabe, Löschung oder Migration der Daten

Die Daten sind Werte des KRITIS-Betreibers und müssen daher wieder zurückgeführt, ge- löscht oder migriert werden können. Dies muss bei den vertraglichen Aspekten bereits fest- gelegt worden sein, u. a. durch Vereinbarung eines Löschkonzepts.

Für diese Arbeiten ist i. d. R. der IT- und OT-Betrieb des KRITIS-Betreibers einzubinden, um die Daten abzulegen, Verbindungen zu schaffen oder den Dienst zu migrieren.

5 Quellenangaben

ENISA: Cloud Security Guide for SMEs (April 2015)

BSI: Umsetzungshinweise zu den Mindeststandards des BSI zur Nutzung und Mitnutzung externer Cloud-Dienste nach § 8 Absatz 1 BSIG (V. 1.0 vom 20.06.2018),

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Umsetzungshinweise_Mindeststandards_Externe_Cloud-Dienste.pdf

BSI: Sichere Nutzung von Cloud-Diensten (08/2016),

https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Sichere_Nutzung_Cloud/Sichere_Nutzung_Cloud_node.html

NIST: The NIST Definition of Cloud Computing, SP800-145 (09/2011) Wikipedia: https://de.wikipedia.org/wiki/Cloud_Computing#Servicemodelle

6 Literaturhinweise

ENISA: Survey and analysis of security parameters in cloud SLAs across the European public sector (19.12.2011)

BSI: Anforderungskatalog Cloud Computing (C5) (03/2020)

BSI: Sicherheitsempfehlungen für Cloud Computing Anbieter (02/2012)

Rat der IT-Beauftragten (D): Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung (29.07.2015)

IT-Planungsrat (D): Vorgehensweisen und Kriterien zur Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft (13.10.2016)

BSI: Cloud-Standards und Zertifizierungen im Überblick (18.02.2016)

NIST: The NIST Cloud Federation Reference Architecture (20.09.2019, Draft)

NIST: Guidelines on Security and Privacy in Public Cloud Computing, SP800-144, (12/2011)

CSA: Security Guidance for Critical Areas of Focus in Cloud Computing, Cloud Security Alliance (CSA), Version 4.0, 2017, https://cloudsecurityalliance.org/download/security-guidance-v4/

7 Danksagung

Dieses Papier wurde aus einem Positionspapier des Universitätsklinikums Tübingen entwickelt.

Der Themenarbeitskreis "Nutzung cloudbasierter Dienste" des UP KRITIS dankt dem Universitäts- klinikum für die Nutzungserlaubnis.