BSI: Richtlinien für sicheres Cloud-Computing

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte noch bis zum Ende des Jahres 2013 Richtlinien für vier Aspekte des Cloud-Computing erarbeiten und seinen IT-Grundschutz-Katalogen hinzufügen. Die vier "Bausteine" sollen später auch für die Zertifizierung von sicheren Cloud-Lösungen nach ISO 27001 genutzt werden können. Das BSI hat hierfür die Sicherheitsfragen zu Cloud-Computing in die Bereiche "Cloud-Management", "Cloud-Nutzung", "Webservices" und "Cloud-Storage" unterteilt. Die Bausteine sollen in Zusammenarbeit mit der Wirtschaft erarbeitet werden.

Laut Michael Hange, Präsident des BSI, ermögliche die Nutzung von Cloud-Services "Unternehmen und Behörden eine höhere Flexibilität bei der Buchung, Nutzung und Freigabe von IT-Ressourcen". Besonders die "Zentralisierung von Sicherheitsfunktionalitäten in einer Cloud" würden das Sicherheitsniveau in kleinen und mittleren Unternehmen und Behörden erheblich verbessern. Sichere Cloud-Lösungen seien demnach ein wichtiger Wirtschaftsfaktor und würden zu mehr Wettbewerbsfähigkeit führen. Diese Vorteile würde aber nur dann zur Geltung kommen, wenn sich die Anwender sicher sein können, dass ihre Daten auch bei den Cloud-Diensten sicher hinterlegt sind.

Ein erstes Eckpunktepapier zur Sicherheit von Cloud-Angeboten hatte das BSI bereits im Mai 2011 veröffentlicht. Mit den IT-Grundschutz-Katalogen will das BSI Unternehmen und Anwender über angemessene Sicherheitsmaßnahmen in der IT informieren und weitestgehend unabhängige, transparente und international anerkannte Standards für die IT-Sicherheit erarbeiten. Um die mehrere Tausend Seiten umfassenden Grundschutz-Kataloge tatsächlich umsetzen zu können, hat das BSI das Tool GSTOOL 5.0 im Jahr 2008 in Auftrag gegeben. Nach Abnahme des Tools im März diesen Jahres stellte das BSI allerdings fest, dass GSTOOL bisher nicht "den Erwartungen des BSI entspricht". Das Tool befindet sich nun in der Revision. (kbe)