a young woman sits at a desk in front of a screen with a reference to cloud storage

Cloud-Sicherheit mit ISO 27001:2022

André Säckel

DQS-Normexperte Informationssicherheit
Dez. 29 , 2023
# Informations­sicherheit und Risikomanagement

Einer Studie von Statista zufolge nutzten 2022 bereits 84 Prozent aller deutschen Unternehmen Cloud-Dienste. Weitere 13 Prozent planen oder diskutieren deren Einsatz. Der Gesamtanteil Cloud-nutzender Unternehmen wird demnach weiter zunehmen. Mit der Nutzung oder dem Betrieb dieser Services gehen jedoch vielfältige Risiken einher.

Ohne angemessene Maßnahmen zur Steigerung der Sicherheit in der Cloud sind Unternehmen bei der Verwaltung ihrer Kundendaten erheblichen Sicherheitsrisiken ausgesetzt, unabhängig vom Speicherort. Mögliche Sicherheitsmaßnahmen beschreibt die neue Control 5.23 „Informationssicherheit für die Nutzung von Cloud-Diensten“ in der aktualisierten Norm ISO/IEC 27001:2022. Wir zeigen in folgendem Blogbeitrag auf, was die neue Sicherheitsmaßnahme umfasst und welche Aspekte für die erfolgreiche (Re-)Zertifizierung beachtet werden müssen.

INHALT

Warum ist Cloud-Sicherheit wichtig?

Von Private bis Public Cloud, ob IaaS, PaaS oder SaaS: Cloud-Strukturen und Cloud-Dienste bestimmen weite Teile der heutigen IKT-Landschaften von Unternehmen, Organisationen oder Behörden. Cloud Computing ist längst Realität geworden und es verändert grundlegend die Art und Weise, wie IT-Dienste erbracht und genutzt werden.

Die Sicherheitsrisiken, die mit der zunehmenden Nutzung einhergehen, sind jedoch vielschichtig und begrenzen sich nicht nur auf die organisierte Kriminalität. Auch unzureichendes Identity & Access Management sowie Fehlkonfigurationen oder die versehentliche Offenlegung von Cloud-Daten durch eigene Mitarbeiter gehören zu den größten Bedrohungen.

Dies bestätigt der Jahresbericht 2022 der Cloud Security Alliance (CSA). Zudem kann ein Mangel an Sicherheit die Verfügbarkeit von Diensten beeinträchtigen und die Compliance mit verschiedenen Vorschriften und Standards gefährden, die den Schutz von Kunden- und personenbezogenen Daten vorschreiben.

All diese Bedrohungen veranlasste die ISO (Internationale Organisation für Normung) und die IEC (Internationale Elektrotechnische Kommission) dazu, die Informationssicherheit für die Nutzung von Cloud-Diensten in der neuen ISO/IEC 27001:2022 als separaten Punkt aufzulisten.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 Fragen und Antworten

Zusammenstellung wissenswerter Details zur revidierten Norm:

  • Was hat es mit den neuen Controls auf sich?
  • Wann sollen wir auf die neue Norm umsteigen?
  • Wann kommt die deutsche Ausgabe?

und vieles andere mehr.

Jetzt kostenfrei downloaden

Verbesserte Informationssicherheit und Compliance

Die neue präventive Maßnahme dient der Informationssicherheit bei der Nutzung von Cloud-Diensten. Sie unterstützt – in Übereinstimmung mit den jeweiligen Sicherheitsanforderungen einer Organisation – bei der systematischen Festlegung der Prozesse für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg.

Angesichts der Vielfalt der angebotenen Services verlangt die neue Control 5.23 im Anhang A die Einhaltung eines „themenspezifischen Ansatzes“.

Dies soll Unternehmen ermutigen, auf einzelne Geschäftsfunktionen zugeschnittene Cloud-Service-Richtlinien zu erstellen. Im Vergleich zu einer pauschalen Richtlinie, die auf breiter Front für die sichere Nutzung von Cloud-Diensten gilt, können Compliance-Anforderungen so wesentlich feingranularer adressiert werden.

Cloud-Sicherheit durch neue Control 5.23

Die Informationssicherheit für die Nutzung von Cloud-Diensten ist in dieser Cloud-spezifischen Form eine neu eingeführte Maßnahme im Anhang A der neuen ISO 27001:2022. In der vorherigen Version waren Cloud-Dienste allgemein im Bereich der Lieferantenbeziehungen angesiedelt.

Durch die steigende Verwendung und die enormen Weiterentwicklungen im Cloud-Bereich ist es sinnvoll, Cloud Services mit einer eigenständigen Informationssicherheitsmaßnahme systematisch abzusichern. Dennoch sollte die Control A.5.23 eng mit den Maßnahmen A.5.21 und A.5.22 abgestimmt werden, die sich mit der Informationssicherheit in der IKT-Lieferkette und dem Management von Lieferantendienstleistungen befassen.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

IKT – Informations- und Kommunikationstechnologien

Vom Wissen unserer Experten profitieren

Für den Erhalt der Geschäftsabläufe ist eine fehlerfrei arbeitende IKT in der digitalen Wirtschaft unverzichtbar. Die neuesten Updates der ISO-Normen 27001 und 27002 zielen darauf ab, entsprechende Sicherheitsrisiken zu minimieren. Control 5.30 „IKT-Bereitschaft für Business Continuity“ im Anhang A verpflichtet Unternehmen, auch bei Störungen eine fortlaufende IKT-Verfügbarkeit zu gewährleisten. Lesen Sie in unserem Blogbeitrag, was das für Ihr Informationssicherheits-Managementsystem bedeutet.

Beitrag entdecken

Umsetzung der Control 5.23

Mit Blick auf die Informationssicherheit müssen Unternehmen für die Umsetzung der Control 5.23 eine Reihe von Aspekten definieren. Dazu gehören alle relevanten Anforderungen, die Auswahlkriterien und Anwendungsbereiche, die mit der Nutzung eines Cloud-Dienstes verbunden sind. Eine detaillierte Beschreibung der Rollen und relevanten Verantwortlichkeiten bestimmt, wie diese Dienste innerhalb einer Organisation genutzt und verwaltet werden.

Auf externer Seite ist dies mit dem Service-Provider abzustimmen: 

  • Welche Informationssicherheitsmaßnahmen verwaltet der Dienstleister?
  • Welche fallen in den Zuständigkeitsbereich des eigenen Unternehmens?

Auch gilt es zu klären, wie die vom Anbieter bereitgestellten Security-Maßnahmen zur Verfügung gestellt, ideal genutzt und vertrauenswürdig überprüft werden können. Insbesondere bei der Nutzung mehrerer Cloud-Dienste unterschiedlicher Anbieter unterstützen fest definierte Prozesse bei der Handhabung von Steuerungen, Schnittstellen und Änderungen der Dienste.

Aufgrund der multiplen Sicherheitsrisiken, denen Unternehmen heutzutage ausgesetzt sind, können Sicherheitsvorfälle jedoch nie gänzlich ausgeschlossen werden. In solchen Fällen helfen Service-spezifische Incident-Management-Verfahren, um bestmöglich mit der Herausforderung umzugehen.

Zur Verwaltung derartiger Risiken müssen Cloud-Dienste gemäß der revidierten ISO 27001 per systematisch festgelegtem Ansatz überwacht, überprüft und bewertet werden. Darüber hinaus enthält die Norm die Anforderung, dass Prozesse für die Änderung oder Einstellung der Nutzung eines Dienstes festgelegt werden müssen. Diese müssen auch explizite Ausstiegsstrategien für Cloud Services enthalten.

Zertifizierte Informationssicherheit nach ISO 27001

Schützen Sie Ihre Informationen mit einem Managementsystem nach internationalem Standard ★ wirksame Umsetzung eines Risikomanagementprozesses ★ Informieren Sie sich. Unverbindlich und kostenfrei.

Wissenswertes zum ISO 27001-Zertifikat

Bedeutung vertraglicher Sicherheitsaspekte

Die vertragliche Ausgestaltung von Cloud-Diensten sind für das Kundenunternehmen essenziell, um wichtige Rahmenparameter festzuhalten und rechtlich abzusichern. Cloud-Service-Vereinbarungen sind jedoch oft vordefiniert und nicht verhandelbar. Vor diesem Hintergrund sollten Unternehmen diesen Vereinbarungen besondere Beachtung schenken und sie genau unter die Lupe nehmen. So stellen sie sicher, dass die wesentlichen betrieblichen Anforderungen an die Schutzziele der Informationssicherheit "Vertraulichkeit, Integrität, Verfügbarkeit" und die Informationsverarbeitung erfüllt werden.

Um dies zu gewähren, sollte ein Cloud-Dienst Lösungen bereitstellen, die auf branchenweit anerkannten Normen für Architektur und Infrastruktur basieren. Er sollte über Zugangssteuerungen verfügen, die den Sicherheitsanforderungen entsprechen und Lösungen zur Überwachung und zum Schutz vor Schadsoftware enthalten. Es gilt vertraglich festzuhalten, dass Verarbeitung und Speicherung sensibler Informationen nur an zugelassenen Orten beziehungsweise innerhalb einer bestimmten Gerichtsbarkeit erlaubt ist. Dies ist zum Beispiel bei kritischen Infrastrukturen wichtig.

Der Dienstleister muss gezielte Unterstützung im Falle eines Sicherheitsvorfalls in der Cloud-Dienstumgebung leisten und generelle Unterstützung bei der Sammlung digitaler Beweise bieten. Auch bei der Weitergabe eines Dienstes an externe Dienstleister müssen die Sicherheitsanforderungen erfüllt werden.

workshop-dqs-shutterstock-1020878011

ISO 27001 – Einführung

Seminar zum Informationssicherheitsmanagement

In unserer Schulung machen Sie sich mit den Grundlagen der neuen ISO 27001:2022 vertraut. Sie verstehen, wie diese mit Ihrem Managementsystem korrespondieren und welche Schritte für eine erfolgreiche Einführung erforderlich sind. Stellen Sie Ihre Fragen und treten Sie mit unseren Experten in den Dialog. 

Informieren und anmelden

Möchte ein Unternehmen einen Dienst verlassen, sollte sich der Provider für einen angemessenen Zeitraum weiterhin zu Support und Service-Verfügbarkeit bekennen. Daher muss er auch Sicherungskopien von Daten und Konfigurationsinformationen bereitstellen und diese gegebenenfalls sicher verwalten. Informationen wie Konfigurationsdateien, Quellcode und sensible Daten, die Eigentum der Organisation sind, müssen bei Anforderung bereitgestellt oder bei Dienstbeendigung zurückgegeben werden.

Ein Cloud-Dienstleistungskunde sollte im Einklang mit seinen eigenen Sicherheitsanforderungen berücksichtigen, ob die Vereinbarung eine Informationspflicht beinhalten sollte, sofern ein Cloud-Anbieter wesentliche Änderungen vornimmt. Dazu gehören:

  • Änderungen an der technischen Infrastruktur, die sich auf das Dienstleistungsangebot auswirken
  • Verarbeitung oder Speicherung von Informationen in einem neuen, geografischen oder rechtlichen Zuständigkeitsbereich

Nutzung oder Wechsel von Peer-Cloud-Dienstleistern oder anderen Unterauftragnehmern

Cloud-Sicherheit durch das neue Control 5.23 – Fazit

Laut einer Studie von Statista aus dem Jahr 2022 setzen 84 Prozent aller deutschen Unternehmen Cloud-Services ein. Zusätzlich befinden sich 13 Prozent in der Entscheidungsfindung oder Planungsphase für deren Einsatz. Damit gewinnt der Schutz persönlicher Informationen und vertraulicher Daten stark an Bedeutung.

Mit der neuen Sicherheitsmaßnahme schließen ISO und IEC eine wichtige Lücke im Schutz moderner ITK-Architekturen und sensiblen Daten von Unternehmen, Organisationen und Behörden. Mit ihr trägt die Informationssicherheitsnorm ISO 27001 als weltweit gesetzter Standard nun auch zur konsistenten, systematischen Cloud-Sicherheit bei.

Unabhängig davon, ob Ihr Unternehmen in einer öffentlichen Cloud, privaten Cloud oder hybriden Cloud-Umgebung agiert, sind Lösungen und bewährte Methoden hinsichtlich der Informationssicherheit unerlässlich. Nur so lässt sich die Geschäftskontinuität und Compliance gewährleisten. Gerade in Zeiten von Fachkräftemangel und dezentralen Unternehmensnetzwerken wird die Datensicherheit in der Cloud in den kommenden Jahren weiter an Bedeutung zunehmen.

Mit dem neuen Control 5.23 aus dem Anhang A bekommen Anwender von Cloud-Diensten ein Rahmenwerk an die Hand. Sie können damit ihre bisherigen Informationssicherheitsmaßnahmen auf den Prüfstand stellen und im Bedarfsfall nachjustieren.

Neben einer Vielzahl grundlegender organisatorischer Anforderungen, unterstreicht das neue Control auch die Bedeutung einer engen Zusammenarbeit mit dem Cloud Service Provider, um den gegenseitigen Informationsaustausch stets aufrecht zu erhalten. Dies fördert wechselseitige Mechanismen, um festgelegte Dienstmerkmale zu überwachen und Verstöße gegen die vereinbarten Pflichten zu erkennen und melden zu können.

Was bedeutet das Update für Ihre Zertifizierung?

Die neue ISO/IEC 27001:2022 wurde am 25. Oktober 2022 in inglischer Sprache veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

Umstellung aller bestehenden Zertifikate auf die neue Version:

  • Es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022.
  • Ausgestellte Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 sind nur bis zum 31. Oktober 2025. Danach gelten die alten Normen als zurückgezogen.

Letzter Termin für Erst- und Rezertifizierungen nach der „alten“ ISO 27001:

  • 30. April 2024 – ab dem1. Mai 2024 wird die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen 2022-Version durchführen.

Die deutsche DIN-Norm ist mit Ausgabedatum Januar 2024 beim Beuth Verlag erschienen:

DIN EN ISO/IEC 27001:2024-01 – Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

Geballtes Audit-Know-how: Ihre DQS

Wie die Fristen zeigen, haben Unternehmen nur noch begrenzt Zeit, um ihr Informationssicherheits-Managementsystem gemäß den neuen Anforderungen anzupassen und zertifizieren zu lassen. Dabei sind die Dauer und der Aufwand des gesamten Change-Prozesses nicht zu unterschätzen. 

Als Audit- und Zertifizierungsexperten mit knapp 40 Jahren Expertise unterstützen wir Sie gerne bei der Evaluierung Ihres Ist-Zustands, zum Beispiel im Rahmen eines Delta-Audits. Informieren Sie sich bei unseren erfahrenen Auditoren über die wesentlichen Änderungen und deren Relevanz für Ihre Organisation. Gemeinsam erörtern wir Ihr Verbesserungspotenzial und unterstützen Sie bis zum Erhalt des neuen Zertifikats. 

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, freuen wir uns auf Ihre Ihre Kontaktaufnahme.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

 

Autor
André Säckel

Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns