5 Fakten zur Zertifizierung von Cloud-Sicherheit durch das BSI

Höchstmögliche Datensicherheit ist beim Cloud-Computing einer der wichtigsten Aspekte überhaupt. Auf dem Markt finden sich diverse Sicherheitszertifizierungen, von denen vor allem eine überzeugt. Denn es sprechen gleich mehrere Fakten dafür, dass eine Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz den Goldstandard darstellt.

1. Fakt: BSI-Grundschutz bedeutet mehr als die ISO 27001

Eine Sicherheitszertifizierung nach ISO 27001 ist die weltweit verbreitetste im IT-Bereich. Die ISO 27001 spezifiziert ein Informationssicherheits-Managementsystem (ISMS). Vereinfacht ausgedrückt, definiert das ISMS den Prozess dauerhafter Verbesserung der IT-Sicherheit. Eine Zertifizierung nach ISO 27001 besagt also erst einmal nur, dass ein ISMS vorliegt. Welcher Grad an IT-Sicherheit bereits erreicht sein muss und wie die konkrete technische Umsetzung zu erfolgen hat, wird von der ISO 27001 nicht festgelegt.

Demgegenüber steht die Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz durch einen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditierten Auditor. Umgangssprachlich wird diese Sicherheitszertifizierung deshalb einfach BSI-Grundschutz genannt. Der IT-Grundschutzkatalog des BSI definiert auf ca. 4.400 Seiten ausführlich, wie auf welche Bedrohungslage zu reagieren ist. Der Auditor prüft bei der Zertifizierung für jedes zutreffende bzw. angenommene Risiko, ob die Vorgaben des BSI auch tatsächlich erfüllt wurden.

Eine BSI-Grundschutz-Zertifizierung zu erlangen, ist also mit erheblich mehr Aufwand verbunden, als eine Zertifizierung nach ISO 27001 (nativ). Für Kunden hat ein BSI-Grundschutz-Zertifikat jedoch den großen Vorteil, dass es nicht nur etwas darüber aussagt, ob Sicherheit planmäßig umgesetzt und verbessert wird, sondern welches Sicherheitsniveau konkret vorliegt.

2. Fakt: BSI-Grundschutz kann sich auf verschiedene Bereiche beziehen

Der IT-Grundschutzkatalog des BSI umfasst viele Bausteine. Anbieter können entscheiden, nach welchen Bausteinen sie sich zertifizieren lassen wollen. Global Access ist beispielsweise nach 74 Bausteinen des BSI zertifiziert, drei davon beziehen sich direkt auf die Cloud:

  • B 1.17 Cloud-Nutzung
  • B 3.303 Speicherlösungen / Cloud Storage
  • B 5.23 Cloud Management

Soweit wir wissen, sind wir der einzige Cloud-Anbieter in Deutschland, der nach diesen drei Bausteinen im Rahmen der ISO 27001 auf Basis IT-Grundschutz zertifiziert ist. Andere Cloud-Anbieter haben oft ihr Management oder ihre Rechenzentren nach BSI-Grundschutz zertifiziert – aber nicht ihre Cloud!

Geht es um die Sicherheit der vom BSI zertifizierten Cloud, sollten Sie also genau nachfragen, welche Bausteine umgesetzt wurden. Möglicherweise hat das BSI-Zertifikat nämlich überhaupt nichts mit den von Ihnen gewünschten Produkten zu tun!

3. Fakt: Der C5-Anforderungskatalog des BSI ist bei weitem kein IT-Grundschutz-Zertifikat

Immer mehr Cloud-Anbieter werben damit, dem Anforderungskatalog Cloud Computing (C5 – englischer Titel: Cloud Computing Compliance Controls Catalogue) des BSI zu entsprechen. Dabei handelt es sich keinesfalls um eine Zertifizierung nach BSI-Grundschutz.

Für ein C5-Testat erstellt ein Cloud-Provider selbst ein Dokument, in dem organisatorische und technische Sicherheitsvorkehrungen beschrieben werden. Dieses Dokument wird dann durch einen Dritten beurteilt. Dabei handelt es sich oft um normale Unternehmensberatungen, die keinesfalls auf IT-Sicherheit spezialisiert sein müssen – geschweige denn ein akkreditierter Auditor des BSI. Das Bundesamt für Sicherheit in der Informationstechnik überprüft die Sicherheitsvorkehrungen selbst nicht (!), sondern vertraut auf die Einschätzung durch Dritte.

4. Fakt: Nicht jedes BSI ist das deutsche Bundesamt

Die Abkürzung BSI steht nicht nur für das Bundesamt für Sicherheit in der Informationstechnik, sondern auch für die British Standards Institution. Dieses in Großbritannien agierende Unternehmen bietet tatsächlich Zertifizierungen nach ISO 27001 an, aber nicht nach BSI-Grundschutz. Bei einem Siegel oder Zertifikat mit dem Namen BSI sollte also genau auf den Aussteller geachtet werden.

5. Fakt: Bundesministerium des Inneren macht BSI-Grundschutz zum Goldstandard für Behörden

Im „Umsetzungsplan Bund 2017“, der zentralen Leitlinie für Informationssicherheit in der Bundesverwaltung, definiert das Bundesministerium des Inneren (BMI) alle Mindestanforderungen an IT-Sicherheit auf Basis des IT-Grundschutz-Kataloges – und macht letzteren so gewissermaßen zum Goldstandard. Bei Ausschreibungen durch Behörden oder Ministerien sei die BSI-Zertifizierung von Dienstleistungsunternehmen als Kriterium angemessen zu berücksichtigen, so die Vorgabe.

Sollen wesentliche oder sicherheitsrelevante IT-Dienstleistungen extern vergeben werden (insbesondere Cloud-, Netz- und Infrastrukturdienste), müssen IT-Dienstleister grundsätzlich über ein angemessenes und wirksames ISMS auf der Basis von IT-Grundschutz des BSI verfügen. Außerdem muss gewährleistet werden, dass der Geltungsbereich des Sicherheitszertifikats die zu erbringende Dienstleistung vollumfänglich abdeckt!

Fazit: Genaues Hinsehen bei der Cloud-Sicherheit bleibt notwendig

Es gibt wohl kaum eine IT-Sicherheitszertifizierung, die sich mit den Standards des BSI-Grundschutz wirklich messen kann. Vor allem Unternehmen mit hohen Sicherheitsansprüchen (z. B.: Banken, Versicherungen, Pharmabranche etc.) und Behörden kommen beim Cloud-Computing kaum an einem solchen Zertifikat vorbei.

Bei der Auswahl eines Cloud-Anbieters mit BSI-Siegel sollte jedoch nicht nur darauf geachtet werden, dass es sich auch wirklich um eine Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz handelt. Es geht auch darum zu prüfen, ob alle für das Outsourcing relevanten Unternehmensbereiche zertifiziert wurden.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.