a young woman sits at a desk in front of a screen with a reference to cloud storage

Cloud-Si­cher­heit mit ISO 27001:2022

André Säckel

DQS-Norm­ex­per­te In­for­ma­ti­ons­si­cher­heit
Dez. 29 , 2023
# Informationssicherheit und Risikomanagement

Einer Studie von Statista zufolge nutzten 2022 bereits 84 Prozent aller deut­schen Un­ter­neh­men Cloud-Diens­te. Weitere 13 Prozent planen oder dis­ku­tie­ren deren Einsatz. Der Ge­samt­an­teil Cloud-nut­zen­der Un­ter­neh­men wird demnach weiter zu­neh­men. Mit der Nutzung oder dem Betrieb dieser Services gehen jedoch vielfältige Risiken ein­her.

Oh­ne an­ge­mes­se­ne Maßnahmen zur Stei­ge­rung der Si­cher­heit in der Cloud sind Un­ter­neh­men bei der Ver­wal­tung ihrer Kundendaten er­heb­li­chen Si­cher­heits­ri­si­ken aus­ge­setzt, unabhängig vom Spei­cher­ort. Mögliche Sicherheitsmaßnahmen be­schreibt das neue Control 5.23 „Informationssicherheit für die Nutzung von Cloud-Diensten“ in der ak­tua­li­sier­ten Norm ISO/IEC 27001:2022. Wir zeigen in fol­gen­dem Blog­bei­trag auf, was die neue Sicherheitsmaßnahme umfasst und welche Aspekte für die er­folg­rei­che (Re-)Zer­ti­fi­zie­rung beachtet werden müssen.

INHALT

Warum ist Cloud-Sicherheit wichtig?

Von Private bis Public Cloud, ob IaaS, PaaS oder SaaS: Cloud-Strukturen und Cloud-Dienste bestimmen weite Teile der heutigen IKT-Landschaften von Unternehmen, Organisationen oder Behörden. Cloud Computing ist längst Realität geworden und es verändert grundlegend die Art und Weise, wie IT-Dienste erbracht und genutzt werden.

Die Sicherheitsrisiken, die mit der zunehmenden Nutzung einhergehen, sind jedoch vielschichtig und begrenzen sich nicht nur auf die organisierte Kriminalität. Auch unzureichendes Identity & Access Management sowie Fehlkonfigurationen oder die versehentliche Offenlegung von Cloud-Daten durch eigene Mitarbeiter gehören zu den größten Bedrohungen.

Dies bestätigt der Jahresbericht 2022 der Cloud Security Alliance (CSA). Zudem kann ein Mangel an Sicherheit die Verfügbarkeit von Diensten beeinträchtigen und die Compliance mit verschiedenen Vorschriften und Standards gefährden, die den Schutz von Kunden- und personenbezogenen Daten vorschreiben.

All diese Bedrohungen veranlasste die ISO (Internationale Organisation für Normung) und die IEC (Internationale Elektrotechnische Kommission) dazu, die Informationssicherheit für die Nutzung von Cloud-Diensten in der neuen ISO/IEC 27001:2022 als separaten Punkt aufzulisten.

Cover sheet for white paper Process orientation in ISO 27001 with PDF
Kostenfreies Whitepaper

Pro­zess­ori­en­tie­rung in ISO 27001

Für eine pro­zess­ori­en­tier­te Au­di­tie­rung Ihres ISMS haben wir die Nor­m­an­for­de­run­gen und die 93 Informationssicherheitsmaßnahmen im Anhang A in einer grafischen Prozesslandkarte mit 18 ISMS-Pro­zes­sen (4 Ma­nage­ment­pro­zes­se, 14 Be­triebs­pro­zes­se) zu­sam­men­ge­fasst.

Pro­fi­tie­ren Sie jetzt vom Know-how unserer Norm­ex­per­ten.

Jetzt kos­ten­frei down­loa­den

Verbesserte Informationssicherheit und Compliance

Die neue präventive Maßnahme dient der Informationssicherheit bei der Nutzung von Cloud-Diensten. Sie unterstützt – in Übereinstimmung mit den jeweiligen Sicherheitsanforderungen einer Organisation – bei der systematischen Festlegung der Prozesse für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg.

Angesichts der Vielfalt der angebotenen Services verlangt das neue Control 5.23 im Anhang A die Einhaltung eines „themenspezifischen Ansatzes“.

Dies soll Unternehmen ermutigen, auf einzelne Geschäftsfunktionen zugeschnittene Cloud-Service-Richtlinien zu erstellen. Im Vergleich zu einer pauschalen Richtlinie, die auf breiter Front für die sichere Nutzung von Cloud-Diensten gilt, können Compliance-Anforderungen so wesentlich feingranularer adressiert werden.

Cloud-Sicherheit durch neue Control 5.23

Die Informationssicherheit für die Nutzung von Cloud-Diensten ist in dieser Cloud-spezifischen Form eine neu eingeführte Maßnahme im Anhang A der neuen ISO 27001:2022. In der vorherigen Version waren Cloud-Dienste allgemein im Bereich der Lieferantenbeziehungen angesiedelt.

Durch die steigende Verwendung und die enormen Weiterentwicklungen im Cloud-Bereich ist es sinnvoll, Cloud Services mit einer eigenständigen Informationssicherheitsmaßnahme systematisch abzusichern. Dennoch sollte das Control A.5.23 eng mit den Maßnahmen A.5.21 und A.5.22 abgestimmt werden, die sich mit der Informationssicherheit in der IKT-Lieferkette und dem Management von Lieferantendienstleistungen befassen.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

IKT – In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien

Vom Wissen unserer Experten profitieren

Für den Erhalt der Geschäftsabläufe ist eine feh­ler­frei ar­bei­ten­de IKT in der di­gi­ta­len Wirt­schaft un­ver­zicht­bar. Die neuesten Updates der ISO-Nor­men 27001 und 27002 zielen darauf ab, ent­spre­chen­de Si­cher­heits­ri­si­ken zu mi­ni­mie­ren. Control 5.30 „IKT-Bereitschaft für Business Continuity“ im Anhang A ver­pflich­tet Un­ter­neh­men, auch bei Störungen eine fort­lau­fen­de IKT-Verfügbarkeit zu gewährleisten. Lesen Sie in unserem Blog­bei­trag, was das für Ihr In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem be­deu­tet.

Beitrag ent­de­cken

Umsetzung des Controls 5.23

Mit Blick auf die Informationssicherheit müssen Unternehmen für die Umsetzung des Controls 5.23 eine Reihe von Aspekten definieren. Dazu gehören alle relevanten Anforderungen, die Auswahlkriterien und Anwendungsbereiche, die mit der Nutzung eines Cloud-Dienstes verbunden sind. Eine detaillierte Beschreibung der Rollen und relevanten Verantwortlichkeiten bestimmt, wie diese Dienste innerhalb einer Organisation genutzt und verwaltet werden.

Auf externer Seite ist dies mit dem Service-Provider abzustimmen: 

  • Welche Informationssicherheitsmaßnahmen verwaltet der Dienstleister?
  • Welche fallen in den Zuständigkeitsbereich des eigenen Unternehmens?

Auch gilt es zu klären, wie die vom Anbieter bereitgestellten Security-Maßnahmen zur Verfügung gestellt, ideal genutzt und vertrauenswürdig überprüft werden können. Insbesondere bei der Nutzung mehrerer Cloud-Dienste unterschiedlicher Anbieter unterstützen fest definierte Prozesse bei der Handhabung von Steuerungen, Schnittstellen und Änderungen der Dienste.

Aufgrund der multiplen Sicherheitsrisiken, denen Unternehmen heutzutage ausgesetzt sind, können Sicherheitsvorfälle jedoch nie gänzlich ausgeschlossen werden. In solchen Fällen helfen Service-spezifische Incident-Management-Verfahren, um bestmöglich mit der Herausforderung umzugehen.

Zur Verwaltung derartiger Risiken müssen Cloud-Dienste gemäß der revidierten ISO 27001 per systematisch festgelegtem Ansatz überwacht, überprüft und bewertet werden. Darüber hinaus enthält die Norm die Anforderung, dass Prozesse für die Änderung oder Einstellung der Nutzung eines Dienstes festgelegt werden müssen. Diese müssen auch explizite Ausstiegsstrategien für Cloud Services enthalten.

Cover sheet for german whitepaper iso 27001 new controls with pdf

ISO 27001:2022 – Controls im neuen Anhang A

Kos­ten­frei­es White­pa­per

Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Con­trols) im nor­ma­ti­ven Anhang A können Sie si­cher­stel­len, dass Ihre Or­ga­ni­sa­ti­on optimal gegen moderne Be­dro­hun­gen geschützt ist.

Pro­fi­tie­ren Sie von Know-how unserer Ex­per­ten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Um­set­zung zu beachten ist.

Jetzt Gra­tis-Ex­em­plar down­loa­den

Bedeutung vertraglicher Sicherheitsaspekte

Die vertragliche Ausgestaltung von Cloud-Diensten sind für das Kundenunternehmen essenziell, um wichtige Rahmenparameter festzuhalten und rechtlich abzusichern. Cloud-Service-Vereinbarungen sind jedoch oft vordefiniert und nicht verhandelbar. Vor diesem Hintergrund sollten Unternehmen diesen Vereinbarungen besondere Beachtung schenken und sie genau unter die Lupe nehmen. So stellen sie sicher, dass die wesentlichen betrieblichen Anforderungen an die Schutzziele der Informationssicherheit "Vertraulichkeit, Integrität, Verfügbarkeit" und die Informationsverarbeitung erfüllt werden.

Um dies zu gewähren, sollte ein Cloud-Dienst Lösungen bereitstellen, die auf branchenweit anerkannten Normen für Architektur und Infrastruktur basieren. Er sollte über Zugangssteuerungen verfügen, die den Sicherheitsanforderungen entsprechen und Lösungen zur Überwachung und zum Schutz vor Schadsoftware enthalten. Es gilt vertraglich festzuhalten, dass Verarbeitung und Speicherung sensibler Informationen nur an zugelassenen Orten beziehungsweise innerhalb einer bestimmten Gerichtsbarkeit erlaubt ist. Dies ist zum Beispiel bei kritischen Infrastrukturen wichtig.

Der Dienstleister muss gezielte Unterstützung im Falle eines Sicherheitsvorfalls in der Cloud-Dienstumgebung leisten und generelle Unterstützung bei der Sammlung digitaler Beweise bieten. Auch bei der Weitergabe eines Dienstes an externe Dienstleister müssen die Sicherheitsanforderungen erfüllt werden.

workshop-dqs-shutterstock-1020878011

ISO 27001 – Ein­füh­rung

Seminar zum In­for­ma­ti­ons­si­cher­heits­ma­nage­ment

In unserer Schulung machen Sie sich mit den Grund­la­gen der neuen ISO 27001:2022 ver­traut. Sie ver­ste­hen, wie diese mit Ihrem Ma­nage­ment­sys­tem kor­re­spon­die­ren und welche Schritte für eine er­folg­rei­che Einführung er­for­der­lich sind. Stellen Sie Ihre Fragen und treten Sie mit unseren Experten in den Dialog. 

In­for­mie­ren und anmelden

Möchte ein Unternehmen einen Dienst verlassen, sollte sich der Provider für einen angemessenen Zeitraum weiterhin zu Support und Service-Verfügbarkeit bekennen. Daher muss er auch Sicherungskopien von Daten und Konfigurationsinformationen bereitstellen und diese gegebenenfalls sicher verwalten. Informationen wie Konfigurationsdateien, Quellcode und sensible Daten, die Eigentum der Organisation sind, müssen bei Anforderung bereitgestellt oder bei Dienstbeendigung zurückgegeben werden.

Ein Cloud-Dienstleistungskunde sollte im Einklang mit seinen eigenen Sicherheitsanforderungen berücksichtigen, ob die Vereinbarung eine Informationspflicht beinhalten sollte, sofern ein Cloud-Anbieter wesentliche Änderungen vornimmt. Dazu gehören:

  • Änderungen an der technischen Infrastruktur, die sich auf das Dienstleistungsangebot auswirken
  • Verarbeitung oder Speicherung von Informationen in einem neuen, geografischen oder rechtlichen Zuständigkeitsbereich

Nutzung oder Wechsel von Peer-Cloud-Dienstleistern oder anderen Unterauftragnehmern

Cloud-Sicherheit durch das neue Control 5.23 – Fazit

Laut einer Studie von Statista aus dem Jahr 2022 setzen 84 Prozent aller deutschen Unternehmen Cloud-Services ein. Zusätzlich befinden sich 13 Prozent in der Entscheidungsfindung oder Planungsphase für deren Einsatz. Damit gewinnt der Schutz persönlicher Informationen und vertraulicher Daten stark an Bedeutung.

Mit der neuen Sicherheitsmaßnahme schließen ISO und IEC eine wichtige Lücke im Schutz moderner ITK-Architekturen und sensiblen Daten von Unternehmen, Organisationen und Behörden. Mit ihr trägt die Informationssicherheitsnorm ISO 27001 als weltweit gesetzter Standard nun auch zur konsistenten, systematischen Cloud-Sicherheit bei.

Unabhängig davon, ob Ihr Unternehmen in einer öffentlichen Cloud, privaten Cloud oder hybriden Cloud-Umgebung agiert, sind Lösungen und bewährte Methoden hinsichtlich der Informationssicherheit unerlässlich. Nur so lässt sich die Geschäftskontinuität und Compliance gewährleisten. Gerade in Zeiten von Fachkräftemangel und dezentralen Unternehmensnetzwerken wird die Datensicherheit in der Cloud in den kommenden Jahren weiter an Bedeutung zunehmen.

Mit dem neuen Control 5.23 aus dem Anhang A bekommen Anwender von Cloud-Diensten ein Rahmenwerk an die Hand. Sie können damit ihre bisherigen Informationssicherheitsmaßnahmen auf den Prüfstand stellen und im Bedarfsfall nachjustieren.

Neben einer Vielzahl grundlegender organisatorischer Anforderungen, unterstreicht das neue Control auch die Bedeutung einer engen Zusammenarbeit mit dem Cloud Service Provider, um den gegenseitigen Informationsaustausch stets aufrecht zu erhalten. Dies fördert wechselseitige Mechanismen, um festgelegte Dienstmerkmale zu überwachen und Verstöße gegen die vereinbarten Pflichten zu erkennen und melden zu können.

Was bedeutet das Update für Ihre Zertifizierung?

Die neue ISO/IEC 27001:2022 wurde am 25. Oktober 2022 in inglischer Sprache veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

Umstellung aller bestehenden Zertifikate auf die neue Version:

  • Es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022.
  • Ausgestellte Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 sind nur bis zum 31. Oktober 2025. Danach gelten die alten Normen als zurückgezogen.

Letzter Termin für Erst- und Rezertifizierungen nach der „alten“ ISO 27001:

  • 30. April 2024 – ab dem1. Mai 2024 wird die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen 2022-Version durchführen.

Die deutsche DIN-Norm ist mit Aus­ga­be­da­tum Januar 2024 bei DIN Media erschienen:

DIN EN ISO/IEC 27001:2024-01 – In­for­ma­ti­ons­si­cher­heit, Cy­ber­si­cher­heit und Datenschutz – Informationssicherheitsmanagementsysteme – An­for­de­run­gen (ISO/IEC 27001:2022)

Geballtes Audit-Know-how: Ihre DQS

Wie die Fristen zeigen, haben Unternehmen nur noch begrenzt Zeit, um ihr Informationssicherheits-Managementsystem gemäß den neuen Anforderungen anzupassen und zertifizieren zu lassen. Dabei sind die Dauer und der Aufwand des gesamten Change-Prozesses nicht zu unterschätzen. 

Als Audit- und Zertifizierungsexperten mit knapp 40 Jahren Expertise unterstützen wir Sie gerne bei der Evaluierung Ihres Ist-Zustands, zum Beispiel im Rahmen eines Delta-Audits. Informieren Sie sich bei unseren erfahrenen Auditoren über die wesentlichen Änderungen und deren Relevanz für Ihre Organisation. Gemeinsam erörtern wir Ihr Verbesserungspotenzial und unterstützen Sie bis zum Erhalt des neuen Zertifikats. 

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, freuen wir uns auf Ihre Ihre Kontaktaufnahme.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

 

Autor
André Säckel

Pro­dukt­ma­na­ger bei der DQS für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment. Als Norm­ex­per­te für den Bereich In­for­ma­ti­ons­si­cher­heit und IT-Si­cher­heits­ka­ta­log (Kri­ti­sche In­fra­struk­tu­ren) ver­ant­wor­tet André Säckel unter anderem folgende Normen und bran­chen­spe­zi­fi­sche Stan­dards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie). Zudem ist er Mitglied in der Ar­beits­grup­pe ISO/IEC JTC 1/SC 27/WG 1 als na­tio­na­ler De­le­gier­ter des DIN.

Das könnte Sie auch in­ter­es­sie­ren. 

Weitere Fach­bei­trä­ge und Ver­an­stal­tun­gen der DQS 
Blog
Equipment in a television broadcast van with monitor wall, control desks and microphone

In­for­ma­ti­ons­si­cher­heit in der Me­di­en­bran­che: Broad­cas­ting mit ISO 27001 Zer­ti­fi­kat

Wei­ter­le­sen
Blog
robot finger types on keyboard, artificial intelligence

Ver­trau­ens­wür­di­ge KI: Was Sie über ISO/IEC 42001 wissen sollten

Wei­ter­le­sen
Blog
ISO 27001 Quality standards assurance business technology concept.; Shutterstock ID 1348453067; purc

ISMS – In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem

Wei­ter­le­sen

Sie haben Fragen?

Wir sind für Sie da.
Kon­tak­tie­ren Sie uns