1 Einleitung
Die ISO/IEC 27017 [1], „Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services”, stellt Richtlinien im Hinblick auf Cloud-Services bereit. Sie nennt zum einen Implementierungsanleitungen zu Cloud-relevanten Sicherheitsmaßnahmen der ISO/IEC 27002. Zum anderen stellt sie zusätzliche Sicherheitsmaßnahmen für Cloud-Services samt Implementierungsanleitung zur Verfügung. Der Standard richtet sich an Anbieter und Kunden von Cloud-Services. Mit der ISO/IEC 27017 identisch ist die ITU-T X.1631 [2] der International Telecommunication Union, die auch den gleichen Titel trägt. Die Empfehlungen X.1600–X.1699 behandeln Cloud computing security.
Die Anfangskapitel der ISO/IEC 27017 gehen ein auf den Anwendungsbereich, normative Verweisungen sowie auf Begriffe und deren Definitionen. Dazu gehören u. a. die Begriffe Leistungsfähigkeit (capability) und virtuelle Maschine (virtual machine). Eine virtuelle Maschine stellt die komplette Umgebung zur Ausführung von Gast-Software dar. Als Abkürzungen genannt sind u. a. IaaS (Infrastructure as a Service), PII (Personally Identifiable Information) und VM (Virtual Machine).
Kapitelüberblick
Diesen Anfangskapiteln schließen sich die folgenden Kapitel an:
Diesen Anfangskapiteln schließen sich die folgenden Kapitel an:
| • | Spezifische Konzepte für den Cloud-Sektor |
| • | Informationssicherheitsrichtlinien |
| • | Organisation der Informationssicherheit |
| • | Personalsicherheit |
| • | Management von organisationseigenen Werten |
| • | Zugangssteuerung |
| • | Kryptografie |
| • | Physische und umgebungsbezogene Sicherheit |
| • | Sicherheit im Betrieb |
| • | Kommunikationssicherheit |
| • | Anschaffung, Entwicklung und Instandhaltung von Systemen |
| • | Lieferantenbeziehungen |
| • | Handhabung von Informationssicherheitsvorfällen |
| • | Informationssicherheitsaspekte des Betriebskontinuitätsmanagements |
| • | Richtlinienkonformität (Compliance) |
| • | Anhang A: Erweiterter Satz an Sicherheitsmaßnahmen für Cloud-Services |
| • | Anhang B: Referenzierung auf Informationssicherheitsrisiken im Hinblick auf Cloud-Computing |
2 Spezifische Konzepte für den Cloud-Sektor
Lieferantenbeziehungen
Bereitstellung und Nutzung von Cloud-Services stellen eine Form einer Lieferantenbeziehung dar. Die ISO/IEC 27002 beschäftigt sich in Kapitel 15 mit der diesbezüglichen Informationssicherheit. Detaillierte Anleitungen liefert der mehrteilige Standard ISO/IEC 27036, „Informationssicherheit für Lieferantenbeziehungen”.
Bereitstellung und Nutzung von Cloud-Services stellen eine Form einer Lieferantenbeziehung dar. Die ISO/IEC 27002 beschäftigt sich in Kapitel 15 mit der diesbezüglichen Informationssicherheit. Detaillierte Anleitungen liefert der mehrteilige Standard ISO/IEC 27036, „Informationssicherheit für Lieferantenbeziehungen”.
Kunden-Lieferantenbeziehungen
Vor der Auswahl eines Cloud-Service-Providers muss der Kunde seine Anforderungen an die Informationssicherheit mit der Informationssicherheit des angebotenen Service abgleichen. Nach der Auswahl des Cloud-Service sollte der Kunde dessen Nutzung so steuern, dass seine Anforderungen an die Informationssicherheit erfüllt werden. Wenn die Informationssicherheit des Providers geringer ist als die vom Kunden geforderte und sich nicht erhöhen lässt, muss der Kunde gegebenenfalls bei sich selbst zusätzliche Sicherheitsmaßnahmen implementieren.
Vor der Auswahl eines Cloud-Service-Providers muss der Kunde seine Anforderungen an die Informationssicherheit mit der Informationssicherheit des angebotenen Service abgleichen. Nach der Auswahl des Cloud-Service sollte der Kunde dessen Nutzung so steuern, dass seine Anforderungen an die Informationssicherheit erfüllt werden. Wenn die Informationssicherheit des Providers geringer ist als die vom Kunden geforderte und sich nicht erhöhen lässt, muss der Kunde gegebenenfalls bei sich selbst zusätzliche Sicherheitsmaßnahmen implementieren.
Sowohl der Kunde als auch der Lieferant sollten Risikomanagementprozesse im Hinblick auf Informationssicherheit etabliert haben.
Struktur des Standards
Der Standard gibt in jedem der Kapitel 5 bis 18 an, ob die dortigen Anforderungen unverändert angewendet werden können. Wenn zusätzliche Implementierungsanleitungen im Hinblick auf Cloud-Services erforderlich sind, sind diese in Tabellenform angegeben. Bei Bedarf ist die Tabelle zweispaltig und unterscheidet zwischen Kunde und Provider. Anhang A enthält zusätzliche Sicherheitsmaßnahmen für Cloud-Services.
Der Standard gibt in jedem der Kapitel 5 bis 18 an, ob die dortigen Anforderungen unverändert angewendet werden können. Wenn zusätzliche Implementierungsanleitungen im Hinblick auf Cloud-Services erforderlich sind, sind diese in Tabellenform angegeben. Bei Bedarf ist die Tabelle zweispaltig und unterscheidet zwischen Kunde und Provider. Anhang A enthält zusätzliche Sicherheitsmaßnahmen für Cloud-Services.
3 Präzisierung der ISO/IEC 27002 im Hinblick auf Cloud-Services
Im Folgenden sind auszugsweise einzelne Aspekte der Implementierungsanleitungen angegeben. Keine ergänzenden Informationen nennt der Standard bei den Informationssicherheitsaspekten des Betriebskontinuitätsmanagements.
Informationssicherheitsrichtlinien
Die ISO/IEC 27017 weist darauf hin, dass
Die ISO/IEC 27017 weist darauf hin, dass
| • | der Kunde in seiner Informationssicherheitsrichtlinie Cloud-Computing u. a. berücksichtigen sollte, wer die Nutzer sind und in welchem Kontext sie die Cloud-Services nutzen sowie dass der Provider auf die gespeicherten Informationen zugreifen kann und an welchen geografischen Orten er sie speichern kann; |
| • | der Cloud-Service-Provider in seiner Informationssicherheitspolitik u. a. auf die Risiken durch autorisierte Insider, die Mehrmandantenfähigkeit und die Virtualisierungssicherheit eingehen sollte. |
Organisation
Zwischen Kunde und Provider sollten Rollen und Verantwortlichkeiten zur Informationssicherheit vereinbart sein.
Zwischen Kunde und Provider sollten Rollen und Verantwortlichkeiten zur Informationssicherheit vereinbart sein.
Personalsicherheit
Für Angestellte und Auftragnehmer, die relevant für Cloud-Services sind, sollte ein Schulungsprogramm aufgestellt sein, das u. a. Regelungen enthält und Risiken sowie gesetzliche und regulatorische Aspekte behandelt.
Für Angestellte und Auftragnehmer, die relevant für Cloud-Services sind, sollte ein Schulungsprogramm aufgestellt sein, das u. a. Regelungen enthält und Risiken sowie gesetzliche und regulatorische Aspekte behandelt.
Organisationseigene Werte
Das Verzeichnis organisationseigener Werte sollte Assets berücksichtigen, die in der Cloud-Computing-Umgebung gespeichert sind.
Das Verzeichnis organisationseigener Werte sollte Assets berücksichtigen, die in der Cloud-Computing-Umgebung gespeichert sind.
Zugangssteuerung
Die Zugangssteuerungsrichtlinie des Kunden sollte für jeden Cloud-Service Anforderungen für den Nutzerzugang angeben. Der Provider sollte u. a. Funktionen zur Registrierung und Deregistrierung von Nutzern sowie zum Management der Zugangsrechte bereitstellen.
Die Zugangssteuerungsrichtlinie des Kunden sollte für jeden Cloud-Service Anforderungen für den Nutzerzugang angeben. Der Provider sollte u. a. Funktionen zur Registrierung und Deregistrierung von Nutzern sowie zum Management der Zugangsrechte bereitstellen.
Kryptografie
Der Cloud-Service-Kunde sollte kryptografische Maßnahmen implementieren, sofern dies aufgrund der Risikoanalyse erforderlich ist, sowie Verfahren für das Schlüsselmanagement.
Der Cloud-Service-Kunde sollte kryptografische Maßnahmen implementieren, sofern dies aufgrund der Risikoanalyse erforderlich ist, sowie Verfahren für das Schlüsselmanagement.
Physische Sicherheit
Der Cloud-Service-Provider sollte Regelungen für die termingerechte und sichere Entsorgung oder Wiederverwendung von Ressourcen, z. B. Datenspeichern, haben.
Der Cloud-Service-Provider sollte Regelungen für die termingerechte und sichere Entsorgung oder Wiederverwendung von Ressourcen, z. B. Datenspeichern, haben.
Sicherheit im Betrieb
Der Cloud-Service-Provider sollte dem Kunden Informationen über Änderungen zur Verfügung stellen, die den Cloud-Service beeinträchtigen können. Dies umfasst den geplanten Termin sowie Start und Ende der Änderung.
Der Cloud-Service-Provider sollte dem Kunden Informationen über Änderungen zur Verfügung stellen, die den Cloud-Service beeinträchtigen können. Dies umfasst den geplanten Termin sowie Start und Ende der Änderung.
Sowohl der Kunde als auch der Provider sollten die Service- bzw. Ressourcennutzung überwachen.
Kommunikationssicherheit
Der Cloud-Service-Provider sollte die Trennung des Netzwerkzugangs u. a. bei Mehrmandantenumgebungen durchsetzen.
Der Cloud-Service-Provider sollte die Trennung des Netzwerkzugangs u. a. bei Mehrmandantenumgebungen durchsetzen.
Entwicklung von Systemen
Der Cloud-Service-Provider sollte dem Kunden Informationen zur Verfügung stellen, z. B. im Hinblick auf sichere Entwicklungsprozeduren.
Der Cloud-Service-Provider sollte dem Kunden Informationen zur Verfügung stellen, z. B. im Hinblick auf sichere Entwicklungsprozeduren.
Lieferantenbeziehungen
Der Cloud-Service-Provider sollte mit dem Kunden vereinbaren, welche Sicherheitsmaßnahmen er implementieren wird. Zu den vom Kunden geforderten Prozessen können beispielsweise der Schutz vor Schadsoftware, das Schwachstellenmanagement, das Identity and Access Management sowie die Zugangssteuerung gehören.
Der Cloud-Service-Provider sollte mit dem Kunden vereinbaren, welche Sicherheitsmaßnahmen er implementieren wird. Zu den vom Kunden geforderten Prozessen können beispielsweise der Schutz vor Schadsoftware, das Schwachstellenmanagement, das Identity and Access Management sowie die Zugangssteuerung gehören.
Informationssicherheitsvorfälle
Zwischen Kunde und Provider sollten Vorgehensweisen und Verantwortlichkeiten zur Handhabung von Informationssicherheitsvorfällen festgelegt sein.
Zwischen Kunde und Provider sollten Vorgehensweisen und Verantwortlichkeiten zur Handhabung von Informationssicherheitsvorfällen festgelegt sein.
Kunde und Provider sollten in einer Vereinbarung festlegen, wie mit Anfragen nach digitalen Beweismitteln aus der Cloud-Computing-Umgebung umzugehen ist.
Compliance
Der Cloud-Service-Kunde sollte seine Compliance-Anforderungen ermitteln und den Nachweis der Einhaltung durch den Provider anfordern. Der Cloud-Service-Provider sollte dem Kunden Compliance-Nachweise bereitstellen.
Der Cloud-Service-Kunde sollte seine Compliance-Anforderungen ermitteln und den Nachweis der Einhaltung durch den Provider anfordern. Der Cloud-Service-Provider sollte dem Kunden Compliance-Nachweise bereitstellen.
Bei der Installation von Software in einem Cloud-Service sollte der Cloud-Service-Kunde die Einhaltung von Lizenzbestimmungen sicherstellen.
4 Anhänge A und B
Anhang A enthält zusätzliche Sicherheitsmaßnahmen und dazugehörige Implementierungsanleitungen für Cloud-Services. Dazu gehören u. a. die Entfernung und Rückgabe kundeneigener Werte bei Beendigung des Vertragsverhältnisses und die Härtung virtueller Maschinen. Die Härtung dient dazu, die Sicherheit zu erhöhen, indem z. B. nur solche Protokolle und Dienste aktiviert werden, die benötigt werden. Kunden, die Sicherheitsmaßnahmen des Anhangs A in ihrem ISMS konform zur ISO/IEC 27001 implementieren wollen, müssen das Statement of Applicability (SoA) dementsprechend erweitern.
Anhang B verweist darauf, dass der Fokus dieses Standards nicht auf der Informationssicherheitsrisikobewertung und -behandlung liegt. Daher nennt er Referenzen, die sowohl Risikoquellen als auch Risiken bei der Bereitstellung und Nutzung von Cloud-Services nennen.
Das Literaturverzeichnis bildet den Abschluss des Standards.
Quellen
1
ISO/IEC 27017, Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services, 2015
2
ITU-T X.1631, Series X: Data networks, open system communications and security; Cloud computing security – Cloud computing security design; Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services, 2015