ArtikelCloud

Cloud-Dienste sicher nutzen – ISO/IEC 27001:2022

Autor/Redakteur: Markus Jegelka, DQS- Fachexperte und Auditor für Informationssicherheitsmanagementsysteme/gg

Ob Private oder Public, ob IaaS, PaaS oder SaaS: Cloud-Strukturen und -Dienste bestimmen weite Teile der heutigen IKT-Landschaften von Unternehmen, Organisationen oder Behörden. Einer Statista-Studie zufolge nutzten 2022 bereits 84 Prozent aller deutschen Unternehmen Cloud-Dienste. Weitere 13 Prozent planen oder diskutieren deren Einsatz. Cloud Computing ist längst Realität – und verändert grundlegend die Art und Weise, wie IT-Dienste erbracht und genutzt werden. Die Risiken, die mit der zunehmenden Nutzung einhergehen, sind jedoch vielfältig. Laut des Jahresberichts 2022 der Cloud Security Alliance (CSA) gehören unter anderem ein unzureichendes Identity & Access Management sowie Fehlkonfigurationen oder die versehentliche Offenlegung von Cloud-Daten durch eigene Mitarbeiter zu den größten Bedrohungen. Das Control 5.23 „Informationssicherheit für die Nutzung von Cloud-Diensten“ aus dem neuen Anhang A der aktualisierten ISO/IEC 27001:2022 thematisiert generische Anforderungen zur Minimierung dieser Risiken. Doch was umfasst diese neue Informationssicherheitsmaßnahme im Detail und welche Aspekte müssen für die erfolgreiche Einbindung in ein ISMS (Informationssicherheitsmanagementsystem) beachtet werden?

Bild: 67226220/Shutterstock.com

Themenspezifische Informationssicherheit für die Nutzung von Cloud-Diensten

Die neue präventive Maßnahme dient der Definition und Verwaltung der Informationssicherheit bei der Nutzung von Cloud-Diensten. Sie unterstützt bei der systematischen Festlegung der Prozesse für den Erwerb, die Nutzung, die Verwaltung und die Beendigung dieser Dienste – abgestimmt auf die konkreten Sicherheitsanforderungen der Organisation. Angesichts der Vielfalt der angebotenen Cloud-Services empfiehlt der Leitfaden ISO/IEC 27002:2022 zur Umsetzung des Controls 5.23 einen themenspezifischen Ansatz. Unternehmen sollten spezifisch auf ihre jeweilige geschäftliche Nutzung zugeschnittene Cloud-Service-Richtlinien erstellen. Damit können Compliance-Anforderungen wesentlich granularer adressiert werden im Vergleich zu einer pauschalen Policy.

Control 5.23 im Gesamtkontext von ISO/IEC 27001

„Informationssicherheit für die Nutzung von Cloud-Diensten“ ist in dieser Form eine komplett neue Maßnahme, die in der vorherigen Fassung der Norm ISO/IEC 27001 noch nicht enthalten war. Bislang waren Cloud-Dienste allgemein im Bereich der Lieferantenbeziehungen angesiedelt. Durch die steigende Verwendung und die enormen Weiterentwicklungen im Cloud-Bereich ist es allerdings sinnvoll, Cloud Services mit einer eigenständigen Maßnahme systematisch abzusichern. Dennoch sollte das Control 5.23 eng mit den Maßnahmen 5.21 und 5.22 abgestimmt sein, die sich mit der Informationssicherheit in der IKT-Lieferkette und dem Management von Lieferantendienstleistungen befassen.

Organisatorische Verpflichtungen

Mit Blick auf die Informationssicherheit müssen Unternehmen für die Umsetzung der Control eine Reihe von Aspekten definieren. Dazu gehören alle relevanten Anforderungen, die Auswahlkriterien und Anwendungsbereiche, die mit der Nutzung eines Cloud-Dienstes verbunden sind. Eine detaillierte Beschreibung der Rollen und relevanten Verantwortlichkeiten bestimmt, wie Cloud-Dienste innerhalb einer Organisation genutzt und verwaltet werden. Auf externer Seite ist dies auch mit dem Service-Provider abzustimmen: Welche Informationssicherheitsmaßnahmen verwaltet der Dienstleister und welche fallen in den Zuständigkeitsbereich des eigenen Unternehmens? Zudem gilt es zu klären, wie die vom Anbieter bereitgestellten Security-Maßnahmen zur Verfügung gestellt, bestmöglich genutzt und vertrauenswürdig überprüft werden können. Insbesondere bei der Nutzung mehrerer Cloud-Dienste unterschiedlicher Anbieter unterstützen fest definierte Prozesse bei der Handhabung von Steuerungen, Schnittstellen und Änderungen der Dienste.

Aufgrund der zahlreichen Informationssicherheitsrisiken, denen Unternehmen ausgesetzt sind, können Sicherheitsvorfälle auch im Zusammenhang mit Cloud-Diensten nicht ausgeschlossen werden. In solchen Fällen helfen Service-spezifische Incident-Management-Verfahren, bestmöglich mit solchen Sachverhalten umzugehen. Zur Verwaltung der Risiken sollten Cloud-Dienste gemäß der neuen ISO/IEC 27002:2022 durch einen systematisch festgelegten Ansatz überwacht, überprüft und bewertet werden. Darüber hinaus empfiehlt die Norm, dass Prozesse für die Änderung oder Einstellung der Nutzung eines Dienstes festgelegt werden müssen, die auch explizite Ausstiegsstrategien für Cloud Services enthalten müssen.

Service-Vereinbarungen mit den Providern

Die vertragliche Ausgestaltung von Cloud-Diensten ist für die auftraggebenden Kunden von zentraler Bedeutung, um verbindliche Rahmenparameter festzuhalten und sich rechtlich abzusichern. Cloud-Service-Vereinbarungen sind seitens der Anbieter häufig vordefiniert und nicht verhandelbar. Vor diesem Hintergrund müssen Unternehmen diesen Vereinbarungen besondere Beachtung schenken und sie genau unter die Lupe nehmen. Nur so lässt sich sicherstellen, dass die eigenen Interessen und wesentlichen betrieblichen Anforderungen an Vertraulichkeit, Integrität, Verfügbarkeit und Informationsverarbeitung erfüllt werden.