Die Cloud-Sicherheit unterliegt je nach Standort, Branche und Art der verarbeiteten Daten einer Vielzahl regulatorischer Anforderungen, branchenspezifischer Standards und vertraglicher Verpflichtungen. Diese definieren die Mindestanforderungen an technische und organisatorische Sicherheitsmaßnahmen. Die systematische Einhaltung dieser Vorgaben wird als Compliance bezeichnet und bildet eine wesentliche Grundlage für Vertrauen, Rechtssicherheit und Geschäftsbeziehungen.
Weitere Aspekte zum Thema Compliance werden in Domain 6 behandelt.
Internationale Normen (ISO/IEC-Reihe)
Die International Organization for Standardization (ISO) und die International Electrotechnical Commission (IEC) entwickeln gemeinsam international anerkannte Normen im Bereich der Informationssicherheit. Diese werden üblicherweise als ISO/IEC-Normen bezeichnet und sind weltweit eine zentrale Grundlage für den Aufbau und die Bewertung von Informationssicherheitsmanagementsystemen (ISMS).
ISO/IEC 27001 – Informationssicherheitsmanagementsystem (ISMS)
Die ISO/IEC 27001 ist eine der bekanntesten Normen, die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) definiert. Das Ziel besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch zu schützen. Die Norm basiert auf einem risikobasierten Ansatz, bei dem die Sicherheitsmaßnahmen an identifizierten Bedrohungen und Schwachstellen ausgerichtet werden. Zentrale Bestandteile dieses Managementsystems sind dokumentierte Richtlinien, klar definierte Verantwortlichkeiten sowie regelmäßige Audits und Überwachungsprozesse.
ISO/IEC 27002 – Leitfaden für Sicherheitsmaßnahmen
Die ISO/IEC 27002 ergänzt die ISO 27001, indem sie konkrete Sicherheitskontrollen beschreibt, die im Rahmen eines Informationssicherheits-Managementsystems (ISMS) implementiert werden können. Zu den Kontrollbereichen zählen unter anderem Zugriffskontrolle, Kryptografie, Management von Sicherheitsvorfällen sowie die Steuerung von Lieferantenbeziehungen.
ISO/IEC 27017 – Sicherheitskontrollen für Cloud-Dienste
Mit ISO/IEC 27017 wird der Anwendungsbereich der Normen ISO/IEC 27001 und ISO/IEC 27002 auf Cloud-Umgebungen erweitert. Die Norm richtet sich sowohl an Cloud-Dienstleister als auch an -Kunden und beschreibt zusätzliche Kontrollen, die spezifische Cloud-Risiken berücksichtigen. Dazu zählen beispielsweise die Trennung von Mandantenumgebungen, das Management Cloud-spezifischer Identitäten sowie Anforderungen an die Überwachung und Protokollierung in virtualisierten Infrastrukturen.
ISO/IEC 27018 – Datenschutz in der Cloud
Die ISO/IEC 27018 fokussiert sich auf den Schutz personenbezogener Daten (Personally Identifiable Information, PII) in Cloud-Umgebungen. Sie definiert Datenschutzprinzipien und konkrete Privacy Controls für die Verarbeitung solcher Daten durch Cloud-Anbieter.
Payment Card Industry Data Security Standard (PCI DSS)
Der Payment Card Industry Data Security Standard (PCI DSS) gilt für alle Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen. PCI DSS ist kein Gesetz, sondern ein vertraglich bindender Branchenstandard für Unternehmen, die Kreditkartentransaktionen verarbeiten oder speichern.
Die Umsetzung basiert auf zwölf Kernanforderungen, die sich in folgende zentrale Sicherheitsprinzipien unterteilen lassen:
Datenschutz: konsequente Verschlüsselung von Kartendaten bei Speicherung und Übertragung,
Zugriffsschutz: Implementierung restriktiver Zugriffskontrollen und physische sowie logische Trennung von Systemen (Isolation und Least Privilege).
Validierung und Überwachung: fortlaufendes Monitoring, detaillierte Protokollierung (Auditierung) sowie regelmäßige Sicherheitsprüfungen durch Penetrationstests.
Weitere Standards für Cloud-Sicherheit
FedRAMP
FedRAMP (Federal Risk and Authorization Management Program) ist ein von der US-Regierung entwickeltes Rahmenwerk zur Standardisierung der Sicherheitsbewertung, Autorisierung und kontinuierlichen Überwachung von Cloud-Diensten im öffentlichen Sektor. Cloud-Anbieter müssen eine FedRAMP-Autorisierung erhalten, bevor ihre Dienste von US-Bundesbehörden genutzt werden dürfen.
Auch wenn FedRAMP aus europäischer Perspektive nur begrenzt relevant ist, spielt das Rahmenwerk insbesondere im internationalen Kontext sowie in Zertifizierungsprüfungen eine Rolle und sollte daher zumindest konzeptionell bekannt sein.
FedRAMP unterscheidet drei sogenannte Impact Levels – Low, Moderate und High, die sich nach der Sensitivität der verarbeiteten Informationen richten. Je nach Einstufung müssen Cloud-Anbieter eine definierte Anzahl von Sicherheitskontrollen implementieren, die auf dem Kontrollkatalog der NIST-Sonderveröffentlichung 800-53 basieren.
Common Criteria
Die „Common Criteria for Information Technology Security Evaluation“ (kurz: „Common Criteria“ oder „CC“) sind ein international anerkannter Bewertungsrahmen zur Prüfung und Zertifizierung von IT-Sicherheits-produkten. Das Ziel besteht darin, Sicherheitsfunktionen sowie die zugrunde liegenden Prüfverfahren nach einheitlichen Maßstäben zu bewerten und international vergleichbare Zertifikate zu ermöglichen.
Zentrale Komponente des Rahmenwerks sind die sogenannten Evaluation Assurance Levels (EAL). Diese umfassen die Stufen EAL 1 (einfache funktionale Prüfung) bis EAL 7 (formale Verifizierung und extrem strenge Prüfung). Ein höheres EAL-Level bedeutet jedoch nicht zwangsläufig „mehr Sicherheit”, sondern eine strengere und umfassendere Überprüfung.
FIPS 140-2 / 140-3
Federal Information Processing Standard 140-2 definiert Sicherheitsanforderungen für kryptographische Module. Er spezifiziert vier Security Levels:
- Level 1: Grundlegende Anforderungen, Software-Implementierung akzeptabel.
- Level 2: Physische Sicherheitsmechanismen, Tamper-Evidence.
- Level 3: Tamper-Detection und -Response.
- Level 4: Komplette physische Isolation, Schutz gegen alle bekannten Angriffe.
Der Nachfolger FIPS 140-3 berücksichtigt neue Technologien und Herausforderungen, darunter Quantencomputing, das heutige Verschlüsselungsverfahren potenziell gefährden könnte.