Pünktlich zur  CeBIT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seinen Webseiten einen Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht. Danach werden basierend auf den Erkenntnissen des BSI sowie anerkannten Standards zur IT-Sicherheit die Anforderungen in Basis-Anforderungen und höherwertige Anforderungen unterteilt, um unterschiedlichen Sicherheitsbedürfnissen gerecht zu werden. Besonderes Augenmerk soll dabei auf die Transparenz der Cloud-Diensterringung gelegt worden sein.

Gefordert werden demnach zur effektiven Überprüfung der Sicherheit einer Cloud-Lösung neben der Umsetzung von Sicherheitsanforderungen auch die Offenlegung von Umfeldparametern: In diesen werden Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen nachgewiesen und für den Nutzer verständlich dargestellt.

Dies soll zum einen den Cloud-Kunden in seiner Entscheidungsfindung für oder gegen den Einsatz eines Cloud-Dienstes unterstützen. Zum anderen soll der Anforderungskatalog wohl aber Cloud-Anbietern die Möglichkeit bieten, sich im Rahmen einer Compliance- oder Wirtschaftsprüfung „schnell und mit geringem Mehraufwand die Erfüllung der Anforderungen testieren zu lassen“. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird sodann durch einen SOC2-Bericht erbracht, der auf dem international anerkannten Testierungsregime der ISAE 3000 basiert, das von Wirtschaftsprüfern verwendet wird.

Quelle: Pressemitteilung des BSI vom 16.03.2016