(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Cloud-Dienste ermöglichen flexible, skalierbare und effiziente IT-Lösungen, bringen jedoch auch besondere Herausforderungen für die Informationssicherheit mit sich. Informationen und Systeme werden außerhalb der direkten Kontrolle der Organisation betrieben, häufig in gemeinsam genutzten Umgebungen. Dieses Control stellt sicher, dass Informationssicherheitsrisiken bei der Nutzung von Cloud-Diensten systematisch berücksichtigt, gesteuert und überwacht werden.

Zweck des Controls

A 5.23 soll gewährleisten, dass Informationssicherheit bei der Auswahl, Nutzung und Steuerung von Cloud-Diensten angemessen berücksichtigt wird. Ziel ist es, sicherzustellen, dass Cloud-Dienste den Sicherheitsanforderungen der Organisation entsprechen, Risiken transparent bewertet werden und Verantwortlichkeiten zwischen Cloud-Anbieter und Organisation klar geregelt sind. Das Control unterstützt die sichere und compliant Nutzung von Cloud-Diensten.

Anforderungen und Maßnahmen

1. Definition einer Cloud-Strategie und -Governance

Organisationen müssen klare Vorgaben für die Nutzung von Cloud-Diensten festlegen, insbesondere:

• Definition zulässiger Cloud-Modelle (z. B. IaaS, PaaS, SaaS)
• Festlegung von Verantwortlichkeiten und Entscheidungswegen
• Integration von Cloud-Nutzung in das ISMS
• Berücksichtigung rechtlicher, regulatorischer und geschäftlicher Anforderungen

Diese Vorgaben müssen dokumentiert und organisationsweit bekannt sein.

2. Risikobewertung vor Nutzung von Cloud-Diensten

Vor der Nutzung eines Cloud-Dienstes müssen Informationssicherheitsrisiken bewertet werden:

• Art und Schutzbedarf der verarbeiteten Informationen
• Abhängigkeiten vom Cloud-Anbieter
• Risiken durch Mehrmandantenumgebungen
• geografische Standorte der Datenverarbeitung
• Auswirkungen bei Ausfällen oder Sicherheitsvorfällen

Die Bewertung muss dokumentiert und regelmäßig überprüft werden.

3. Festlegung von Sicherheitsanforderungen für Cloud-Dienste

Organisationen müssen angemessene Sicherheitsanforderungen definieren, z. B.:

• Anforderungen an Zugriffskontrollen und Authentifizierung
• Vorgaben zu Verschlüsselung, Schlüsselmanagement und Datenisolierung
• Anforderungen an Logging, Monitoring und Incident Management
• Anforderungen an Backup, Wiederherstellung und Verfügbarkeit
• Regelungen zur Nutzung von Unterauftragnehmern

Diese Anforderungen müssen risikoorientiert festgelegt werden.

4. Klärung von Verantwortlichkeiten (Shared Responsibility Model)

Die Verantwortlichkeiten zwischen Organisation und Cloud-Anbieter müssen klar geregelt sein:

• Abgrenzung der Zuständigkeiten für Sicherheit und Betrieb
• Verständnis des Shared Responsibility Models
• Dokumentation der jeweiligen Verantwortungsbereiche
• Berücksichtigung der Verantwortlichkeiten in internen Prozessen

Dies verhindert Sicherheitslücken durch unklare Zuständigkeiten.

5. Vertragsgestaltung und rechtliche Aspekte

Cloud-Verträge müssen Informationssicherheitsanforderungen berücksichtigen:

• vertragliche Regelung von Sicherheitsmaßnahmen
• Anforderungen an Datenschutz und Compliance
• Regelungen zu Audits, Nachweisen und Kontrollen
• Vorgaben zu Meldepflichten bei Sicherheitsvorfällen
• Regelungen zur Beendigung und Datenrückgabe

So werden rechtliche und regulatorische Risiken reduziert.

6. Sichere Konfiguration und Nutzung von Cloud-Diensten

Die Organisation muss sicherstellen, dass Cloud-Dienste sicher genutzt werden:

• sichere Konfiguration von Cloud-Ressourcen
• Einschränkung von Zugriffsrechten
• Nutzung sicherer Authentifizierungsmechanismen
• Überwachung sicherheitsrelevanter Einstellungen

Fehlkonfigurationen sind eine häufige Ursache von Sicherheitsvorfällen.

7. Überwachung und Bewertung der Cloud-Nutzung

Die Nutzung von Cloud-Diensten muss kontinuierlich überwacht werden:

• Überwachung von Zugriffen und Aktivitäten
• Auswertung von Logs und Sicherheitsmeldungen
• Bewertung von Vorfällen oder Auffälligkeiten
• Überprüfung der Einhaltung definierter Anforderungen

So können Risiken frühzeitig erkannt und behandelt werden.

8. Umgang mit Änderungen und Beendigung von Cloud-Diensten

Änderungen und die Beendigung von Cloud-Diensten müssen geregelt sein:

• Bewertung sicherheitsrelevanter Änderungen
• Anpassung von Risikobewertungen und Maßnahmen
• Sicherstellung der Datenrückgabe oder -löschung
• Schutz der Informationen bei Anbieterwechsel oder Vertragsende

Dies gewährleistet Sicherheit über den gesamten Lebenszyklus.

Zusammenfassung

A 5.23 fordert, dass Informationssicherheit bei der Nutzung von Cloud-Diensten systematisch berücksichtigt wird. Durch klare Governance, risikoorientierte Bewertungen, definierte Sicherheitsanforderungen, klare Verantwortlichkeiten sowie kontinuierliche Überwachung wird sichergestellt, dass Cloud-Dienste sicher, compliant und im Einklang mit dem ISMS genutzt werden. Das Control trägt wesentlich dazu bei, Chancen der Cloud zu nutzen, ohne die Informationssicherheit zu gefährden.