BSI setzt Regeln für Cloud-Kunden
Das Bundesamt für Sicherheit in der Informationstechnik hat Mindestanforderungen an den Einsatz externer Cloud-Dienste veröffentlicht. Für Bundesbehörden sind sie verpflichtend; anderen Organisationen sollen sie als Empfehlung dienen.
(Bild: dpa, obs/T-Systems)
Der Mindeststandard zur Nutzung externer Cloud-Dienste gemäß §8 BSI-Gesetz (BSIG) beleuchtet neben vorbereitenden Tätigkeiten wie der Risikoanalyse den gesamten Lebenszyklus einer Cloud-Nutzung – von der Beschaffung über den Einsatz bis zur Ausmusterung – und stellt für jede dieser Phasen Sicherheitsanforderungen auf. Die Grundlage dafür bildet der Anforderungskatalog Cloud Computing des BSI (C5). Dessen Basisanforderungen sollten nach Ansicht des BSI nicht unterschritten werden; für Einrichtungen des Bundes sind sie obligatorisch.
Laut BSI schafft der neue Mindeststandard "mehr Transparenz und ermöglicht, mit den Anbietern auf Augenhöhe über ein definiertes Mindestniveau an Informationssicherheit zu sprechen." Er könne auch Behörden der Länder und Kommunen sowie Unternehmen als Leitfaden für die eigene Cloud-Nutzung dienen. Passend dazu hatte das BSI vor Kurzem einen Mindeststandard für sichere Web-Browser veröffentlicht. (un)
