„5.23 Information security for use of cloud services“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe

Heutzutage setzen sich Cloud-Anwendungen bzw. Cloud-Services bei immer mehr Unternehmen durch – von kleinen Hilfsprogrammen bis hin zu mächtigen Office-Anwendungen. Da sich bei der Nutzung von solchen Cloud-Services aus Sicht der Informationssicherheit durchaus einige Besonderheiten und Abweichungen zu reinen On-Premises-Anwendungen ergeben, wurde nun im Abschnitt 5 „Organizational controls“ hierzu ein eigenes Kapitel in die ISO/IEC 27002:2022 aufgenommen, das sich mit solchen Aspekten beschäftigt. Ziel des Controls „5.23 Information security for use of cloud services“ ist es, die Informationssicherheit bei der Nutzung von Cloud-Services zu gewährleisten und die damit verbundenen Risiken zu minimieren.

Dabei ist zu unterscheiden, ob die Informationssicherheit aus Sicht des Anbieters oder aus Sicht des Nutzers solcher Cloud-Services betrachtet wird. In diesem Kapitel der Norm werden nur die Anforderungen aus Cloud-Service-Kunden-Perspektive beleuchtet.

Generelle Aspekte

Da es sich bei der Nutzung von Cloud-Services auch um eine Kunde-Lieferant-Beziehung handelt, gelten weiterhin die Anforderungen aus den Kapiteln „5.21 Managing information security in the ICT supply chain“ sowie „5.22 Monitoring, review and change management of supplier services“, hier nur ergänzt um die cloud-spezifischen Gesichtspunkte.

Bei der Nutzung von Cloud-Services werden üblicherweise Unternehmensdaten an einen Cloud-Service übertragen, dort gespeichert und verarbeitet. Damit liegt eine gemeinsame Verantwortung des Cloud-Service-Kunden und -Anbieters für die Informationssicherheit vor. Es ist maßgeblich, diese Verantwortung (wer ist wofür zuständig) im Vorfeld genau zu definieren und zu dokumentieren.

Eine der grundlegenden Anforderungen der Norm ist es, dass sich das Unternehmen schon vorab Gedanken dazu machen sollte, in welchen Unternehmensbereichen Cloud-Services genutzt werden sollen und welche Anforderungen dies an die Informationssicherheit stellt. Eine themenspezifische Richtlinie für die Nutzung von Cloud-Services ist dann ebenfalls zu erstellen.

Ausgewählte Aspekte bei der Auswahl eines Cloud-Services

Bei der Auswahl eines Cloud-Services sollten u. a. folgende Punkte und Fragen beachtet werden:

• Festlegung, nach welchen Gesichtspunkten Cloud-Services ausgewählt werden. Neben den rein funktionalen Anforderungen können hierbei eine Vielzahl von Einflussgrößen, wie z. B. der Standort der genutzten Rechenzentren (EU oder Drittland), Zertifizierungen des Cloud-Anbieters, SLAs, skalierbare und anforderungsbasierte Zuteilung der Ressourcen in einem Cloud-Service etc., in Betracht gezogen werden.
• Eine klare Zuweisung von Rollen und Verantwortlichkeiten bei der Nutzung und Verwaltung des Cloud-Services muss vorhanden sein. So ist es bspw. unabdinglich, festzulegen, wer für die Datensicherung und -wiederherstellung in der Cloud zuständig ist. Weitere Themenfelder, bei denen die Verantwortlichkeiten klar geregelt werden müssen, können z. B. sein: Dateneigentum, Zugangssteuerung oder Überwachung der Infrastruktur.
• Wer ist für die Überwachung des Cloud-Services z. B. in Bezug auf die Informationssicherheit, Kapazitätsauslastung oder Antwortzeiten zuständig? Müssen diese Kontrollen vom Cloud-Service-Kunden durchgeführt werden und welche Instrumente stellt der Cloud-Service-Anbieter hierzu zur Verfügung. Wenn dies auf der Seite des Cloud-Service-Anbieters liegt: Wie ist bei einem Informationssicherheitsvorfall der Prozessablauf? Bietet der Dienstleister entsprechende Unterstützung bei der Aufklärung des Vorfalls und Beseitigung der Schäden an?
• Bietet der Cloud-Service-Anbieter fortschrittliche Technologien in Bezug auf Malware-Schutz, Data-Loss-Prevention, Thread Protection, Identity Management oder Ähnliches an?
• Wie werden Änderungen sowohl an der technischen Infrastruktur als auch an dem Cloud-Service selbst vom Cloud-Service-Anbieter kommuniziert? Hat der Cloud-Service-Kunde z. B. die Möglichkeit, bestimmte Patches an dem Cloud-Service zu überspringen oder werden diese automatisch aktiviert?
• Gibt es Ausstiegsstrategien, wenn zu einem späteren Zeitpunkt der Cloud-Service gekündigt wird? Wie können die dort gespeicherten Daten sinnvoll übertragen werden?

Risikobetrachtung

Der Cloud-Service-Kunde sollte bei der Auswahl eines Cloud-Services prüfen, ob es Lücken zwischen den eigenen Anforderungen an die Informationssicherheit und der angebotenen Informationssicherheitsleistung des Cloud-Services-Dienstes gibt. Bestehende Restrisiken sollten identifiziert, bewertet und von dem zuständigen Risiko-Eigentümer behandelt werden.

ISO/IEC 27002 vs. ISO/IEC 27017 und ISO/IEC 27018

Sowohl die ISO/IEC 27017 „Informationssicherheitsmaßnahmen für Cloud Dienste“ als auch die ISO/IEC 27018 „Schutz personenbezogener Daten in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung“ enthalten Leitlinien/Anforderungen, die auf der ISO/IEC 27002 (Stand 2013) aufbauen und diese um die spezifischen Aspekte des Cloud-Computing ergänzen.

Im Gegensatz zu dem Kapitel 5.23 stellt die ISO/IEC 27017 die Informationssicherheitsmaßnahmen bei Cloud-Services nicht nur aus Sicht des Cloud-Service-Kunden dar, sondern beschäftigt sich auch mit den Anforderungen, die ein Cloud-Service-Anbieter ergreifen sollte. Schon allein an dieser Stelle beinhaltet die ISO/IEC 27017 Gesichtspunkte, die nicht in der Neufassung der ISO/IEC 27002 zu finden sind. Aber auch inhaltlich werden deutlich mehr Punkte angesprochen, die bei Cloud-Services beachtet werden sollten. Das Kapitel 5.23 der Neufassung der ISO/IEC 27002 bietet daher nur einen eingeschränkten Einblick auf die Anforderungen, die insgesamt von Cloud-Service-Kunden an Cloud-Services zu stellen sind.

Allerdings bauen die ISO/IEC 27017 und 27018 noch auf der Struktur der bisherigen ISO/IEC 27002:2013 auf. Wann eine Anpassung an die neue Struktur der ISO/IEC 27002:2022 erfolgt, ist zurzeit noch nicht bekannt.

Fazit

Es ist positiv zu bewerten, dass das Thema „Cloud-Computing“ nun auch in der Neufassung der ISO/IEC 27002 Eingang findet. Die dortige Darstellung betrachtet allerdings nur einige Aspekte beim Einsatz von Cloud-Services. Deshalb wird dort auch auf die weiterführenden Normen ISO/IEC 27017 und 27018 (und andere) verwiesen.

Unternehmen, welche die Informationssicherheit von Cloud-Services umfassend betrachten wollen, sollten daher auch auf die ISO/IEC 27017 und 27018 zurückgreifen.