Bundesamt für Sicherheit in der Informationstechnik

BSI veröffentlicht Mindeststandard zur Mitnutzung externer Cloud-Dienste

Datum 05.07.2018

Der Einsatz von Cloud-Diensten ist wegen der Vielfalt an Anwendungsmöglichkeiten auch in der Bundesverwaltung längst Alltag. So greifen in Projekten oder Arbeitsgruppen IT-Anwender auf externe Clouds zu, die etwa von Partnerorganisationen betrieben oder eingekauft werden. Für die Behörde besteht dann im Gegensatz zur direkten Nutzung externer Cloud-Dienste kein Vertragsverhältnis zum Diensteanbieter, die Cloud wird mitgenutzt. Für Daten mit entsprechendem Schutzbedarf muss aber beim Einsatz einer Cloud-Lösung die Informationssicherheit eine zentrale Rolle spielen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher nun einen Mindeststandard zur Mitnutzung externer Cloud-Dienste veröffentlicht.

"Die Einforderung und Umsetzung von Sicherheitsanforderungen ist ein wichtiger Aspekt bei der Inanspruchnahme von Cloud-Diensten. Die Mitnutzung von Cloud-Angeboten, die durch Drittparteien zur Verfügung gestellt werden, war bislang nicht ausreichend geregelt. Mit dem nun vorgestellten Mindeststandard schließen wir diese Lücke und tragen damit ein gutes Stück zur Erhöhung des IT-Sicherheitsniveaus in der Bundesverwaltung bei", so BSI-Präsident Arne Schönbohm.

Der nun durch das BSI auf der gesetzlichen Grundlage von § 8 Abs. 1 BSIG veröffentlichte Mindeststandard zur Mitnutzung externer Cloud-Dienste sorgt dafür, dass Entscheidungen im Vorfeld einer Mitnutzung externer Cloud-Dienste einen transparenten Ablauf haben und dadurch ein definiertes Mindestsicherheitsniveau erreicht wird. Gleichzeitig veröffentlicht das BSI umfangreiche Umsetzungshinweise, durch die IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Betriebspersonal konkrete Informationen zur korrekten Interpretation und Umsetzung erhalten. Mit der Veröffentlichung setzt das BSI ein weiteres Signal zum Thema Sicherheitsanforderungen auf dem Cloud-Markt. Die im Mindeststandard enthaltenen Anforderungen können auch Behörden der Länder und Kommunen sowie Unternehmen als Leitfaden für die eigene Inanspruchnahme von Cloud-Angeboten dienen.

Beide Mindeststandards zu externen Cloud-Diensten, die Umsetzungshinweise und eine Erhebung zur Nutzung externer Cloud-Dienste in Bundesbehörden haben wir hier gebündelt zusammengestellt.

BSI Pressemitteilung vom 05.07.2018