Cloud-Compliance
Cloud-Compliance: Status Quo und Anforderungen nach BSI C5
Von Dr. Muhammad Ihsan H Sukmana, COO für Mitigant bei der Resility GmbH
Innerhalb einer Cloud-Infrastruktur für die erforderliche Security zu sorgen ist eine komplexe Aufgabe. Die Zahl der Cloud-Angriffsvektoren steigt. Cloud-Konfigurationsfehler sorgen für wachsende Probleme. Und Sicherheitsbestimmungen und Verordnungen, die auch und gerade die Cloud betreffen, wie die DSGVO, müssen zwingend eingehalten werden.
Um deutschen Unternehmen einen technisch wie rechtlich sicheren Betrieb ihrer Cloud-Infrastrukturen zu ermöglichen, wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) der Cloud Computing Compliance Criteria Catalogue (C5) entwickelt. Der Compliance-Standard hilft Cloud-Anbietern, -Prüfern und -Kunden, Cloud Computing sicher zu gestalten. Die Einführung und Einhaltung des Standards ist optional, wird deutschen Unternehmen jedoch empfohlen, um die Sicherheit ihrer Cloud-Infrastruktur zu erhöhen und sich so einen Wettbewerbsvorteil gegenüber ihrer Konkurrenz zu verschaffen. Die Anforderungen des C5-Katalogs sind dabei für Unternehmen aller Größen und Branchen gleichermaßen relevant. Unterteilt ist der Katalog in 17 Bereiche, zu denen Basis- und Zusatzkriterien, sowie korrespondierende Kundenkriterien, dezidiert dargelegt werden.
Zahlreiche Problemstellungen können mit BSI C5 effektiv angegangen werden – von Cloud-Anbietern, wie Cloud-Kunden. Vielen Unternehmen ist nicht bekannt, dass ihre Cloud-Anbieter in Punkto Sicherheit mittlerweile auf das Modell der ‚geteilten Verantwortung‘ setzen. Dieses Modell sieht vor, dass auch Cloud-Kunden sich aktiv an der Sicherheit ihrer Cloud-Infrastruktur beteiligen – durch ein auf Sicherheit bedachtes Management. Doch bauen hier bislang nur die wenigsten Unternehmen – meist aus Unwissen – effektiv vor. Viele haben Probleme mit der Verwaltung ihrer Identitäten und Berechtigungen und der Sicherheit ihrer Cloud-Kommunikation. Oftmals werden Ressourcen falsch konfiguriert. Cyberkriminelle nutzen diese Fehleinstellungen dann schonungslos aus – um sich unerlaubt Zugang zu und Zugriff auf die Cloud-Ressourcen ihrer Opfer zu verschaffen. BSI C5 leistet Unternehmen hier eine effektive Hilfestellung, mit der sich die Risikolage einer Cloud-Infrastruktur drastisch reduzieren lässt.
Um jedoch aus einer BSI C5-Prüfung die richtigen Schlüsse zu ziehen, ist ein umfassender Prüfungsbericht mit detaillierten Informationen über etwaige Verstöße gegen die Sicherheitsvorschriften, inklusive Schweregrad, betroffenen Cloud-Ressourcen und Verweisen, unerlässlich. Wie solch ein Bericht auszusehen hat, darüber gibt der BSI C5-Auswertungsleitfaden Auskunft. Doch brauchen Unternehmen noch mehr: nämlich konkrete Hinweise, wie Unternehmen die festgestellten Mängel, zum Beispiel über die AWS-Webkonsole oder die Befehlszeilenschnittstelle (Command Line Interface, CLI), abstellen können.
Mitigant analysiert den C5-Kriterienkatalog des BSI und korreliert ihn mit mehr als 200 Regeln von 40 Amazon Web Services (AWS). Dabei wird überprüft, ob die Cloud-Ressourcen gemäß den verfügbaren Best Practices und Standards für Cloud-Sicherheit korrekt und sicher – einschließlich BSI C5 – konfiguriert sind. Auf Grundlage des Bewertungsergebnisses können Unternehmen dann ihre aktuelle Cloud-Sicherheitslage einsehen und im Hinblick auf deren Konformität mit Best Practices und Standards für Cloud-Sicherheit überprüfen.
Erfahren Sie mehr über Mitigant auf der it-sa in Halle 7 am Stand 242: https://www.itsa365.de/de-de/companies/m/mitigant-by-resility
