Mindeststandard für externe Cloud-Dienste

➧ Das hat sich ereignet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 15.12.2022 eine Neufassung des „Mindeststandard des BSI zur Nutzung externer Cloud-Dienste“ veröffentlicht. Für Bundesbehörden handelt es sich dabei um Vorgaben, die sie verbindlich zu beachten haben. Das ergibt sich aus § 8 Absatz 1 Satz 1 BSI- Gesetz.

➧ Deshalb ist es für alle DSB wichtig

Cloud-Dienste nutzen inzwischen fast alle Unternehmen. Datenschutzbeauftragte (DSB) sollten deshalb die Anforderungen des Mindeststandards thematisieren. Denn der Sache nach sind die Vorgaben des BSI auch in der Privatwirtschaft zwingend.

Private Unternehmen, die Bundesbehörden Cloud-Dienste anbieten wollen, müssen dies auf der Basis des BSI-Mindeststandards tun. Andere Unternehmen der Privatwirtschaft können nur theoretisch geringere Anforderungen zugrunde legen, wenn sie Cloud-Dienste in Anspruch nehmen. Vor allem im Schadensfall wird dies nämlich zu Nachfragen von Aufsichtsgremienführen, beispielsweise von Aufsichtsräten.

➧ Das versteht das BSI-Papier unter „Cloud Computing“

Das Papier definiert den Begriff so: „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen („Cloud-Dienste“) erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der in diesem Rahmen angebotenen Cloud-Dienste umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Anwendungen.“ (Seite 5 des Papiers).

Unter externen Cloud-Diensten versteht das Papier „Cloud-Dienste, die von Anbietern der Wirtschaft außerhalb der öffentlichen Verwaltung des Bundes erbracht werden.“ (Seite 5 des Papiers).

➧ So unterscheidet das Papier bei den Sicherheitsanforderungen

Bei den Sicherheitsanforderungen differenziert das Papier zwischen Planungsphase, Beschaffungsphase, Einsatzphase und Beendigungsphase des Cloud-Dienstes (Seite 8 des Papiers). Jede dieser Phasen ist mit spezifischen Anforderungen verbunden. Beispiele hierfür:

• Schon in der Planungsphase müssen die erfassten Daten in vier Kategorien einsortiert werden (Seite 8 des Papiers). Kategorie 1 besteht aus strafrechtlich geschützten Daten (etwa medizinische Daten gemäß § 203 Strafgesetzbuch). Kategorie 2 erfasst die personenbezogenen Daten gemäß DSGVO. In Kategorie 3 fallen „Verschlusssachen“. Kategorie 4 deckt alle Daten ab, die in keiner der anderen drei Kategorien fallen.
• In der Beschaffungsphase ist dafür zu sorgen, dass der Cloud-Diensteanbieter alle Unterauftragnehmer vollständig benennt (Seite 11 des Papiers).
• In der Einsatzphase ist dafür zu sorgen, dass der Cloud-Diensteanbieter stets allen vertraglichen Informationspflichten nachkommt. Als Beispiel nennt das Papier die Information über den Austausch von Unterauftragnehmern (Seite 13 des Papiers).
• In der Beendigungsphase ist der Nachweis entscheidend, dass der Cloud-Diensteanbieter vorhandene Daten gelöscht hat (Seite 14 des Papiers).

➧ Das Dokument ist hier abrufbar

Das Dokument in der Version 2.1 vom 15.12.2022 hat einen Umfang von 18 Seiten und ist hier abrufbar: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Externe_Cloud-Dienste/Externe_Cloud-Dienste_node.html.

Auf dieser Seite finden sich auch weitere nützliche Hinweise, insbesondere ein Papier mit dem Titel „Umsetzungshinweise zum Mindeststandard des BSI zur Nutzung externer Cloud-Dienste 2.1“ in der Version 2.1 vom 15.12.2022. Sein Umfang beträgt 30 Seiten.

Dr. Eugen Ehmann