Sicherheitsempfehlung für Cloud Computing Anbieter
Sicherheitsempfehlung für Cloud Computing Anbieter
Sicherheitsempfehlung für Cloud Computing Anbieter
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
1.5<br />
CLOUD COMPUTING | EINLEITUNG<br />
Jeder CSP muss daher in einer Risikoanalyse ermitteln, welche Gefährdungen<br />
<strong>für</strong> die von ihm betriebenen Dienste aktuell und relevant sind,<br />
welche Auswirkungen diese haben können und wie die erkannten Risiken<br />
behandeltwerdensollen,beispielsweisedurchspezifscheSicherheitsmaßnahmen.<br />
In abgespeckter Form müssen auch <strong>Cloud</strong>-Nutzer die Risiken<br />
bewerten, die <strong>für</strong> sie durch eine Verlagerung von Daten oder Anwendungen<br />
in die <strong>Cloud</strong> entstehen können. Die in diesem Eckpunktepapier vorgelegten<br />
<strong>Sicherheitsempfehlung</strong>en bilden ein Rahmenwerk, um die aus Sicht des BSI<br />
kritischen Bereiche beim <strong>Cloud</strong> <strong>Computing</strong> zu adressieren.<br />
Bei der Risikobetrachtung steht ein CSP vor der Herausforderung, dass er den<br />
Wert bzw. den Schutzbedarf der Kundendaten meist im Vorfeld nicht kennt.<br />
Ein Ausweg wäre, <strong>für</strong> alle Kunden und ihre Daten ein hohes oder sehr hohes<br />
Schutzniveau anzubieten. Dies ist aber erfahrungsgemäß <strong>für</strong> Daten mit einem<br />
normalen Schutzbedarf zu teuer. CSPs sollten das Thema Informationssicherheit<br />
frühzeitig gegenüber ihren Kunden ansprechen. Informationssicherheit<br />
gehört mit zu den wesentlichen Entscheidungsgründen von Kunden, wenn es<br />
um die Auswahl von <strong>Cloud</strong> Service <strong>Anbieter</strong>n und konkreter <strong>Cloud</strong>-Dienstleistungen<br />
geht. Daher sollten CSPs ihren Kunden darlegen, wie gut sie in puncto<br />
Informationssicherheit aufgestellt sind. Dazu gehört, dass sie den Kunden<br />
aufzeigen, welche Sicherheitsmaßnahmen bei ihren Angeboten zum Standardumfang<br />
gehören und welche optional erhältlich sind, aber sie sollten die<br />
Kunden auch darauf hinweisen, welche Sicherheitsmaßnahmen diese selber<br />
ergreifen müssen.<br />
Thematische Abgrenzung der BSI-<strong>Sicherheitsempfehlung</strong>en<br />
In diesem Dokument liegt der Schwerpunkt auf Sicherheitsbetrachtungen<br />
der <strong>Cloud</strong>-basierten Verarbeitung von Informationen, die einen normalen<br />
bishohenSchutzbedarfhaben,wiez. B.frmenvertraulicheInformationen,schützenswerte<br />
personenbezogene Daten. Die Festlegung des Schutzbedarfs<br />
von Informationen, Anwendungen und IT-Systemen orientiert sich an den<br />
Schutzbedarfskategorien nach IT-Grundschutz (siehe BSI-Standard 100-2<br />
[1]). Der Schutz von Informationen, die als staatliche Verschlusssache eingestuft<br />
wurden, wird in diesem Dokument nicht explizit betrachtet.<br />
11