{"id":23297,"date":"2023-04-28T11:17:00","date_gmt":"2023-04-28T09:17:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=23297"},"modified":"2023-04-18T10:39:46","modified_gmt":"2023-04-18T08:39:46","slug":"cloud-dienste-sicher-nutzen-iso-iec-270012022","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=23297","title":{"rendered":"Cloud-Dienste sicher nutzen \u2013 ISO\/IEC 27001:2022"},"content":{"rendered":"\n

Autor\/Redakteur: Markus Jegelka, DQS- Fachexperte und Auditor f\u00fcr Informationssicherheitsmanagementsysteme<\/a>\/gg<\/p>\n\n\n\n

Ob Private oder Public, ob IaaS, PaaS oder SaaS: Cloud-Strukturen und -Dienste bestimmen weite Teile der heutigen IKT-Landschaften von Unternehmen, Organisationen oder Beh\u00f6rden. Einer Statista-Studie<\/a> zufolge nutzten 2022 bereits 84 Prozent aller deutschen Unternehmen Cloud-Dienste. Weitere 13 Prozent planen oder diskutieren deren Einsatz. Cloud Computing ist l\u00e4ngst Realit\u00e4t \u2013 und ver\u00e4ndert grundlegend die Art und Weise, wie IT-Dienste erbracht und genutzt werden. Die Risiken, die mit der zunehmenden Nutzung einhergehen, sind jedoch vielf\u00e4ltig. Laut des Jahresberichts 2022 der Cloud Security Alliance (CSA)<\/a> geh\u00f6ren unter anderem ein unzureichendes Identity & Access Management sowie Fehlkonfigurationen oder die versehentliche Offenlegung von Cloud-Daten durch eigene Mitarbeiter zu den gr\u00f6\u00dften Bedrohungen. Das Control 5.23 \u201eInformationssicherheit f\u00fcr die Nutzung von Cloud-Diensten\u201c aus dem neuen Anhang A der aktualisierten ISO\/IEC 27001:2022 thematisiert generische Anforderungen zur Minimierung dieser Risiken. Doch was umfasst diese neue Informationssicherheitsma\u00dfnahme im Detail und welche Aspekte m\u00fcssen f\u00fcr die erfolgreiche Einbindung in ein ISMS (Informationssicherheitsmanagementsystem) beachtet werden?<\/p>\n\n\n\n

\"\"<\/a>
Bild: 67226220\/Shutterstock.com<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Themenspezifische Informationssicherheit f\u00fcr die Nutzung von Cloud-Diensten<\/strong><\/p>\n\n\n\n

Die neue pr\u00e4ventive Ma\u00dfnahme dient der Definition und Verwaltung der Informationssicherheit bei der Nutzung von Cloud-Diensten. Sie unterst\u00fctzt bei der systematischen Festlegung der Prozesse f\u00fcr den Erwerb, die Nutzung, die Verwaltung und die Beendigung dieser Dienste \u2013 abgestimmt auf die konkreten Sicherheitsanforderungen der Organisation. Angesichts der Vielfalt der angebotenen Cloud-Services empfiehlt der Leitfaden ISO\/IEC 27002:2022 zur Umsetzung des Controls 5.23 einen themenspezifischen Ansatz. Unternehmen sollten spezifisch auf ihre jeweilige gesch\u00e4ftliche Nutzung zugeschnittene Cloud-Service-Richtlinien erstellen. Damit k\u00f6nnen Compliance-Anforderungen wesentlich granularer adressiert werden im Vergleich zu einer pauschalen Policy.<\/p>\n\n\n\n

Control 5.23 im Gesamtkontext von ISO\/IEC 27001<\/strong><\/p>\n\n\n\n

\u201eInformationssicherheit f\u00fcr die Nutzung von Cloud-Diensten\u201c ist in dieser Form eine komplett neue Ma\u00dfnahme, die in der vorherigen Fassung der Norm ISO\/IEC 27001 noch nicht enthalten war. Bislang waren Cloud-Dienste allgemein im Bereich der Lieferantenbeziehungen angesiedelt. Durch die steigende Verwendung und die enormen Weiterentwicklungen im Cloud-Bereich ist es allerdings sinnvoll, Cloud Services mit einer eigenst\u00e4ndigen Ma\u00dfnahme systematisch abzusichern. Dennoch sollte das Control 5.23 eng mit den Ma\u00dfnahmen 5.21 und 5.22 abgestimmt sein, die sich mit der Informationssicherheit in der IKT-Lieferkette und dem Management von Lieferantendienstleistungen befassen.<\/p>\n\n\n\n

Organisatorische Verpflichtungen<\/strong><\/p>\n\n\n\n

Mit Blick auf die Informationssicherheit m\u00fcssen Unternehmen f\u00fcr die Umsetzung der Control eine Reihe von Aspekten definieren. Dazu geh\u00f6ren alle relevanten Anforderungen, die Auswahlkriterien und Anwendungsbereiche, die mit der Nutzung eines Cloud-Dienstes verbunden sind. Eine detaillierte Beschreibung der Rollen und relevanten Verantwortlichkeiten bestimmt, wie Cloud-Dienste innerhalb einer Organisation genutzt und verwaltet werden. Auf externer Seite ist dies auch mit dem Service-Provider abzustimmen: Welche Informationssicherheitsma\u00dfnahmen verwaltet der Dienstleister und welche fallen in den Zust\u00e4ndigkeitsbereich des eigenen Unternehmens? Zudem gilt es zu kl\u00e4ren, wie die vom Anbieter bereitgestellten Security-Ma\u00dfnahmen zur Verf\u00fcgung gestellt, bestm\u00f6glich genutzt und vertrauensw\u00fcrdig \u00fcberpr\u00fcft werden k\u00f6nnen. Insbesondere bei der Nutzung mehrerer Cloud-Dienste unterschiedlicher Anbieter unterst\u00fctzen fest definierte Prozesse bei der Handhabung von Steuerungen, Schnittstellen und \u00c4nderungen der Dienste.<\/p>\n\n\n\n

Aufgrund der zahlreichen Informationssicherheitsrisiken, denen Unternehmen ausgesetzt sind, k\u00f6nnen Sicherheitsvorf\u00e4lle auch im Zusammenhang mit Cloud-Diensten nicht ausgeschlossen werden. In solchen F\u00e4llen helfen Service-spezifische Incident-Management-Verfahren, bestm\u00f6glich mit solchen Sachverhalten umzugehen. Zur Verwaltung der Risiken sollten Cloud-Dienste gem\u00e4\u00df der neuen ISO\/IEC 27002:2022 durch einen systematisch festgelegten Ansatz \u00fcberwacht, \u00fcberpr\u00fcft und bewertet werden. Dar\u00fcber hinaus empfiehlt die Norm, dass Prozesse f\u00fcr die \u00c4nderung oder Einstellung der Nutzung eines Dienstes festgelegt werden m\u00fcssen, die auch explizite Ausstiegsstrategien f\u00fcr Cloud Services enthalten m\u00fcssen.<\/p>\n\n\n\n

Service-Vereinbarungen mit den Providern<\/strong><\/p>\n\n\n\n

Die vertragliche Ausgestaltung von Cloud-Diensten ist f\u00fcr die auftraggebenden Kunden von zentraler Bedeutung, um verbindliche Rahmenparameter festzuhalten und sich rechtlich abzusichern. Cloud-Service-Vereinbarungen sind seitens der Anbieter h\u00e4ufig vordefiniert und nicht verhandelbar. Vor diesem Hintergrund m\u00fcssen Unternehmen diesen Vereinbarungen besondere Beachtung schenken und sie genau unter die Lupe nehmen. Nur so l\u00e4sst sich sicherstellen, dass die eigenen Interessen und wesentlichen betrieblichen Anforderungen an Vertraulichkeit, Integrit\u00e4t, Verf\u00fcgbarkeit und Informationsverarbeitung erf\u00fcllt werden.<\/p>\n\n\n\n\n\n\n\n

Daher sollten die aus der Cloud bezogenen L\u00f6sungen stets auf branchenweit anerkannten Normen f\u00fcr Architektur und Infrastruktur basieren, zeitgem\u00e4\u00dfe Zugangskontrollen unterst\u00fctzen, die den individuellen Sicherheitsanforderungen entsprechen, und L\u00f6sungen zur \u00dcberwachung und zum Schutz vor Schadsoftware enthalten. Es gilt vertraglich festzuhalten, dass Verarbeitung und Speicherung sensibler Informationen nur an zugelassenen Orten beziehungsweise innerhalb einer bestimmten Gerichtsbarkeit erlaubt ist (zum Beispiel wichtig bei kritischen Infrastrukturen). Der Dienstleister muss gezielte Unterst\u00fctzung im Falle eines Sicherheitsvorfalls in der Cloud-Dienstumgebung leisten und generelle Unterst\u00fctzung bei der Sammlung digitaler Beweise bieten. Und, besonders wichtig: Die Sicherheitsanforderungen m\u00fcssen auch im Falle der Weitergabe eines Dienstes an externe Dienstleister erf\u00fcllt werden. Entscheidet sich ein Unternehmen, einen Cloud-Dienst zu verlassen, sollte sich der Provider f\u00fcr einen angemessenen Zeitraum weiterhin zu Support und Service-Verf\u00fcgbarkeit bekennen. Dazu geh\u00f6rt es etwa, Sicherungskopien von Daten und Konfigurationsinformationen bereitzustellen und diese gegebenenfalls sicher zu verwalten. Informationen wie Konfigurationsdateien, Quellcode und Daten, die Eigentum der Organisation sind, m\u00fcssen auf Anfrage bereitgestellt oder bei Dienstbeendigung zur\u00fcckgegeben werden.<\/p>\n\n\n\n

Unternehmen, die Cloud-Dienstleistungen beziehen, sollten abgestimmt auf ihre konkreten Sicherheitsanforderungen festlegen, ob die Vereinbarung eine Informationspflicht enthalten sollte, falls ein Cloud-Dienstleister wesentliche \u00c4nderungen vornimmt. Dazu geh\u00f6ren:<\/p>\n\n\n\n

    \n
  • \u00c4nderungen an der technischen Infrastruktur, die sich auf das Dienstleistungsangebot auswirken<\/li>\n\n\n\n
  • Verarbeitung oder Speicherung von Informationen in einem neuen geographischen oder rechtlichen Zust\u00e4ndigkeitsbereich<\/li>\n\n\n\n
  • Die Nutzung oder der Wechsel von Peer-Cloud-Dienstleistern oder anderen Unterauftragnehmern<\/li>\n<\/ul>\n\n\n\n

    Bewertung der Ma\u00dfnahme 5.23<\/strong><\/p>\n\n\n\n

    Mit der neuen Control in der aktualisierten ISO\/IEC 27001:2022 schlie\u00dfen ISO und IEC eine wichtige L\u00fccke beim Schutz moderner ITK-Architekturen und der Daten von Unternehmen, Organisationen und Beh\u00f6rden. Mit ihr tr\u00e4gt ISO\/IEC 27001 als weltweit gesetzter Standard nun auch dem konsistenten, systematischen Schutz von Cloud-Services Rechnung, deren Relevanz und Nutzung in Zeiten von Fachkr\u00e4ftemangel und dezentralen Unternehmensnetzwerken in den kommenden Jahren zweifellos kontinuierlich zunehmen wird. Mit der Ma\u00dfnahme 5.23 bekommen Nutzer von Cloud-Diensten einen Regelungsrahmen in die Hand, mit dem sie ihre bisherigen Informationssicherheitsanforderungen systematisch auf den Pr\u00fcfstand stellen und im Bedarfsfall nachjustieren k\u00f6nnen. Neben einer Vielzahl grundlegender organisatorischer Anforderungen, unterstreicht das Control auch die Bedeutung der engen Zusammenarbeit mit dem Cloud Service Provider, um den gegenseitigen Informationsaustausch stets aufrecht zu erhalten. Dies f\u00f6rdert wechselseitige Mechanismen, um festgelegte Dienstmerkmale zu \u00fcberwachen und Verst\u00f6\u00dfe gegen die vereinbarten Pflichten zu erkennen und melden zu k\u00f6nnen.<\/p>\n\n\n\n

    Was bedeutet dies f\u00fcr k\u00fcnftige (Re-)Zertifizierungen?<\/strong><\/p>\n\n\n\n

    ISO\/IEC 27001:2022 wurde am 25. Oktober 2022 ver\u00f6ffentlicht. Die \u00dcbergangsfrist von der alten auf die neue, dritte Version von ISO\/IEC 27001 betr\u00e4gt drei Jahre ab dem letzten Tag des Ver\u00f6ffentlichungsmonats. Die derzeitigen Zertifikate nach ISO\/IEC 27001:2013 beziehungsweise DIN EN ISO\/IEC 27001:2017 verlieren also am 31. Oktober 2025 ihre G\u00fcltigkeit.<\/p>\n\n\n\n

    Trotz der dreij\u00e4hrigen \u00dcbergangsfrist sind Unternehmen gut beraten, sich fr\u00fchzeitig mit den neuen Normanforderungen auseinanderzusetzen. Denn die Umsetzung der neuen Controls beziehungsweise Sicherheitsma\u00dfnahmen erfordert Know-how, wird Ressourcen binden und eventuell Investitionen in Technik notwendig machen. Unternehmen sollten mit der Umstellung rechtzeitig mit einem geplanten \u00c4nderungsprozess beginnen und diesen zielgerichtet auf die Umsetzung der neuen und ge\u00e4nderten Sicherheitsma\u00dfnahmen hinsteuern. In den meisten F\u00e4llen lohnt es sich, erfahrene Auditoren und Zertifizierer fr\u00fchzeitig einzubeziehen. Rechtzeitige Informationen \u00fcber Pr\u00fcfkriterien und Auditpraxis bereits zu Beginn dieses \u00c4nderungsprozesses geben Sicherheit beim Einstieg in das \u00dcbergangsaudit auf ISO\/IEC 27001:2022.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Ob Private oder Public, ob IaaS, PaaS oder SaaS: Cloud-Strukturen und -Dienste bestimmen weite Teile der heutigen IKT-Landschaften von Unternehmen, Organisationen oder Beh\u00f6rden. Einer Statista-Studie zufolge nutzten 2022 bereits 84 Prozent aller deutschen Unternehmen Cloud-Dienste. Weitere 13 Prozent planen oder diskutieren deren Einsatz. Cloud Computing ist l\u00e4ngst Realit\u00e4t \u2013 und ver\u00e4ndert grundlegend die Art und Weise, wie IT-Dienste erbracht und genutzt werden. Die Risiken, die mit der zunehmenden Nutzung einhergehen, sind jedoch vielf\u00e4ltig. Laut des Jahresberichts 2022 der Cloud Security Alliance (CSA) geh\u00f6ren unter anderem ein unzureichendes Identity & Access Management sowie Fehlkonfigurationen oder die versehentliche Offenlegung von Cloud-Daten durch eigene Mitarbeiter zu den gr\u00f6\u00dften Bedrohungen. Das Control 5.23 \u201eInformationssicherheit f\u00fcr die Nutzung von Cloud-Diensten\u201c aus dem neuen Anhang A der aktualisierten ISO\/IEC 27001:2022 thematisiert generische Anforderungen zur Minimierung dieser Risiken. Doch was umfasst diese neue Informationssicherheitsma\u00dfnahme im Detail und welche Aspekte m\u00fcssen f\u00fcr die erfolgreiche Einbindung in ein ISMS (Informationssicherheitsmanagementsystem) beachtet werden?<\/p>\n","protected":false},"author":81,"featured_media":23301,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,22],"tags":[17224,17221,7100,17223,4252,3351],"class_list":["post-23297","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-cloud","tag-control-5-23","tag-dqs","tag-isms","tag-iso-iec-270012022","tag-risiko","tag-zertifikat"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=23297"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23297\/revisions"}],"predecessor-version":[{"id":23302,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23297\/revisions\/23302"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/23301"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=23297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=23297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=23297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}