Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters1. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken.
Abbildung 1: Einflussbereiche nach Cloud-Modell
Quelle: Eigene Darstellung in Anlehnung Loczewski, Thomas, General, Jan, Schwald, Daniel, IT-Governance 16, 2013, S.5.
Empfehlungen und prozessunabhängige Kontrollen für Cloud-Risiken
Im folgenden Abschnitt wird auf die zuvor identifizierten Risiken eingegangen. Es werden Handlungsempfehlungen gegeben, die in Form von Maßnahmen die jeweiligen Risiken mindern sollen. Um in Zuge eines Internen Kontrollsystems die Einhaltung dieser Maßnahmen zu überprüfen, werden darüber hinaus Kontrollen definiert.
Bei diesen Kontrollen handelt es sich um Beispiele und Anregungen in Bezug auf die zuvor identifizierten prozessunabhängigen Risiken. Die aufgeführten Maßnahmen und Kontrollen stellen kein vollständiges IKS dar.
Die Darstellung erfolgt in tabellarischer Form. Der Typ der Kontrolle wird unterschieden nach präventiven (p), also vorbeugenden, und detektiven (d), aufdeckenden, sowie manuellen (m) und automatischen (a) Kontrollen. Im unteren Abschnitt der Tabelle wird dargestellt, in wessen Zuständigkeit die Umsetzung der Maßnahme fällt. Diese kann entweder den Anbieter oder den Anwender betreffen. In manchen Fällen sind von einer Maßnahme gegebenenfalls sowohl der Anbieter als auch der Anwender direkt betroffen.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
Nr. |
Ziel der Kontrolle |
Maßnahmenempfehlung |
Aktivität zur Überprüfung der Einhaltung der Maßnahme |
p, d, m, a |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
x |
||||
Tabelle 1: Darstellungsform Kontrollen
Quelle: Eigene Darstellung
Nutzt ein Unternehmen eine IT-gestützte Rechnungslegung innerhalb einer Cloud, so sind in diesem Zusammenhang auch die Sicherheits- und Ordnungsmäßigkeitsanforderungen des IDW RS FAIT 1 zu beachten. Die Sicherheitsanforderungen umfassen: Vertraulichkeit, Integrität, Verfügbarkeit, Autorisierung, Authentizität und Verbindlichkeit2.
Darüber hinaus müssen die Grundsätze ordnungsgemäßer Buchführung bei IT-gestützter Rechnungslegung erfüllt werden, indem die Einhaltung der folgenden Ordnungsmäßigkeitskriterien bei der Erfassung, Verarbeitung, Ausgabe und Aufbewahrung der rechnungslegungsrelevanten Daten sichergestellt wird3:
- Vollständigkeit nach § 239 Abs. 2 HGB
- Richtigkeit nach § 239 Abs. 2 HGB
- Zeitgerechtheit § 239 Abs. 2 HGB
- Ordnung § 239 Abs. 2 HGB
- Nachvollziehbarkeit nach § 238 Abs. 1 Satz 2 HGB
- Unveränderbarkeit nach § 239 Abs. 3 HGB
Erstellung einer Cloud-Nutzungs-Strategie und Sicherheitsrichtlinie
Die Nutzung von Cloud-Dienstleistungen bringt immer eine strategische Komponente mit sich. Aus diesem Grund ist eine ausführliche Betrachtung der wirtschaftlichen, technischen und organisatorischen Rahmenbedingungen sowie der sicherheitsrelevanten Aspekte zwingend vonnöten4.
Die Maßnahme muss dann umgesetzt werden, wenn sich ein Unternehmen für die Nutzung von Cloud-Dienstleistungen entschieden hat und konkrete Vorstellungen hat, welche Dienste genutzt werden sollen5.
Das BSI empfiehlt, die folgenden Gesichtspunkte bei der Erstellung einer Cloud-Nutzungs-Strategie zu beachten und zu dokumentieren:
- Einbindung in die Unternehmensstrategie
- Machbarkeitsstudie unter Berücksichtigung aller Rahmenbedingungen
- erste Kosten-Nutzen-Abschätzung
- Auswahl der Services und des Bereitstellungsmodells
- Berücksichtigung von Sicherheitsaspekten
- Erstellen einer Sicherheitsanalyse
- Erstellung einer Roadmap6
Daraus ergibt sich der erste Kontrollaspekt, der in einer Cloud-Umgebung beachtet werden sollte:
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
1 |
Es existiert eine angemessene und aktuelle Cloud-Nutzungs-Strategie. |
Erstellung einer Cloud-Nutzungs-Strategie |
Überprüfung, ob eine Cloud-Nutzungs-Strategie vorliegt und vollständig sowie aktuell ist |
m, p |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
|
x |
||||
Tabelle 2: Kontrolle 1 Cloud-Nutzungs-Strategie
Quelle: Eigene Darstellung
Neben der Cloud-Nutzungs-Strategie, in der sich gegebenenfalls bereits Sicherheitsvorgaben für die Nutzung von Cloud-Diensten befinden, müssen diese in einer zusätzlichen Sicherheitsrichtlinie konkretisiert werden7. Gemäß BSI sollte diese insbesondere die folgenden Aspekte behandeln:
- Sicherheitsanforderungen an den Cloud-Diensteanbieter und die eigene Institution
- Sicherheitsanforderungen in Abhängigkeit vom Bereitstellungsmodell
- Sicherheitsanforderungen aus relevanten Gesetzen und Vorschriften8
|
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
|||
|
2 |
Es existiert eine angemessene und aktuelle Sicherheitsrichtlinie für die Cloud-Nutzung. |
Erstellung einer Sicherheitsrichtlinie |
Überprüfung, ob eine Sicherheitsrichtlinie vorliegt und vollständig sowie aktuell ist |
m, p |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
|
x |
||||
Tabelle 3: Kontrolle 2 Sicherheitsrichtlinie
Quelle: Eigene Darstellung
Allgemeine Risiken
Versehentlich oder vorsätzlich falsches Handeln
Versehentlichem oder vorsätzlichem falschen Handeln kann niemals vollständig entgegengewirkt werden. Es gibt jedoch Möglichkeiten, dieses Risiko zu minimieren. Falsches Handeln kann z.B. dadurch vorkommen, dass Personen Zugriff auf Daten und Funktionen in einem IT-System haben, zu deren Einsicht, Bearbeitung oder Nutzung sie nicht berechtigt und nicht qualifiziert sind. Aus diesem Grund sollten die Zugriffe auf die Funktion der Mitarbeiter abgestimmt sein. Grundlage dafür ist ein funktionierendes Zugriffsmanagement, auch Access Management genannt, sowohl innerhalb des auslagernden Unternehmens als auch auf Seiten des Cloud-Anbieters. Die eingesetzten Berechtigungen sollten dabei in einem Berechtigungskonzept dokumentiert werden. Darüber hinaus ist die Durchführung regelmäßiger Benutzerreviews sinnvoll. In diesen werden alle Benutzer im Hinblick auf die vergebenen Benutzerberechtigungen überprüft.
|
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
|||
|
3 |
Es haben nur Personen Zugriff auf Daten, die diesen auch benötigen und dazu berechtigt sind. |
Einrichtung eines Zugriffsmanagements mit dokumentiertem Berechtigungskonzept |
1. Überprüfung, ob ein aktuelles Berechtigungskonzept existiert 2. Durchführung eines regelmäßigen Benutzerreviews zur Überprüfung der Notwendigkeit und Richtigkeit aller vergebenen Benutzerberechtigungen |
m, p
m, d |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
x |
||||
Tabelle 4: Kontrolle 3 Zugriffsmanagement
Quelle: Eigene Darstellung
Darüber hinaus kann eine verschlüsselte Speicherung der ausgelagerten Daten den Zugriff von Administratoren und weiteren Mitarbeitern des Cloud-Anbieters verhindern9. Eine Verschlüsselung sollte vertraglich mit dem Cloud-Anbieter vereinbart werden.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
4 |
Die ausgelagerten Daten sind beim Provider vor unberechtigtem Zugriff geschützt. |
Ausschließlich verschlüsselte Speicherung von Daten |
1. Sichtung der Vertragsinhalte im Hinblick auf die Vereinbarung verschlüsselter Speicherung von Daten 2. Beurteilung der Vertragsinhalte hinsichtlich der Verwendung einer als sicher bezeichneten Verschlüsselung |
m, p
m, p |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
|
||||
Tabelle 5: Kontrolle 4 Verschlüsselte Speicherung
Quelle: Eigene Darstellung
Besonders bei sicherheitskritischen Bereichen und privilegierten Benutzern ist es sinnvoll, auf eine Multifaktor-Authentisierung zurückzugreifen. Generell sollte jedoch jeder Zugriff auf das IT-System durch eine Authentisierung geschützt sein. Für eine erfolgreiche Authentisierung sind im Fall einer Multifaktor-Authentisierung mindestens zwei Faktoren vonnöten. Häufig findet eine Kombination aus Wissen (z.B. Passwort) und Besitz (z.B. Chipkarte, USB-Stick) Anwendung10. Der Einsatz ist sowohl bei Anmeldung an die genutzten Cloud-Dienste denkbar, als auch bereits auf Seiten des auslagernden Unternehmens.
|
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
|||
|
5 |
Es existiert eine Multifaktor- Authentisierung für den Cloud-Benutzerzugriff. |
Einrichtung einer Benutzeranmeldungen mittels Multifaktor- Authentisierung
|
Überprüfung, ob eine Multifaktor-Authenti-sierung in einer Richtlinie vorgesehen und technisch eingerichtet ist (z.B. Überprüfung der Systemeinstellungen und Screenshots) |
m, p |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
x |
||||
Tabelle 6: Kontrolle 5 Multifaktor-Authentisierung
Quelle: Eigene Darstellung
Damit Cloud-Anwender nicht unberechtigt Informationen anderer Kunden des Cloud-Anbieters einsehen können, muss eine Mandantentrennung eingerichtet werden. Dies geschieht auf Seiten des Anbieters bei verschiedenen Komponenten der Infrastruktur11.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
6 |
Die eigenen Unternehmensdaten sind nicht für andere Kunden des Cloud Anbieters einsehbar. |
Einrichtung einer durchgängigen Mandantentrennung |
Sichtung der Vertragsinhalte im Hinblick auf die Einrichtung einer durchgängigen Mandantentrennung auf Seiten des Providers |
m, p |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
|
||||
Tabelle 7: Kontrolle 6 Mandantentrennung
Quelle: Eigene Darstellung
Eine Gefahr stellen auch die Administratorrechte dar. Ein Missbrauch von Administratorrechten kann dann vorliegen, wenn rechtmäßige oder auch unrechtmäßig erworbene Super-User-Rechte ausgenutzt werden, um einem System oder den Benutzern zu schaden. Zum Beispiel unterliegt root auf Unix-Anlagen keinerlei Beschränkungen. Ein Administrator mit root-Rechten kann dadurch unabhängig von seinen Zugriffsrechten alle Dateien lesen, ändern oder löschen12.
Ein Missbrauch von Administratorrechten kann in Cloud-Umgebungen ein Risiko des vorsätzlichen Datendiebstahls oder Datenmanipulation durch den Anbieter mit sich bringen13.
In vielen Systemen ist es möglich, die Administratorrollen aufzuteilen und somit Administrationstätigkeiten auf verschiedene Benutzer aufzuteilen. Das Risiko der zu hohen Machtbefugnis von Administratoren kann somit durch eine Aufgabenaufteilung vermindert werden. Gibt es dennoch in einem System, z.B. durch automatische Generierung, einen Administrator-Benutzer, der keinen Einschränkungen unterliegt, so muss darauf geachtet werden, dass das Passwort nur einem beschränken Personenkreis bekannt ist und sicher hinterlegt wird. Darüber hinaus kann es durch die Nutzung eines Vier-Augen-Prinzips zusätzlich geschützt werden14.
Dies muss vertraglich mit dem Cloud-Anbieter vereinbart werden. Darüber hinaus ist es, sofern die Möglichkeit vom Anbieter eingeräumt wird, sinnvoll, regelmäßige Reviews zu den vergebenen Administratorrechten durchzuführen.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
7 |
Das System ist gegen vorsätzlichen Datendiebstahl oder Datenmanipulation durch den Missbrauch von Administratorrechten geschützt.
|
Aufteilung von Administratorrechten auf Seiten des Anbieters. Liegt eine Administratorrolle ohne Beschränkungen vor, so ist das Passwort nur einem eingeschränkten Personenkreis zugänglich. |
1. Sichtung der Vertragsinhalte im Hinblick auf die Trennung von Administrationstätigkeiten auf Seiten des Providers 2. Durchführung von Reviews der vergebenen Berechtigungen |
m, p
m, d |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
|
||||
Tabelle 8: Kontrolle 7 Aufteilung Administrationstätigkeiten
Quelle: Eigene Darstellung
Um potentielle Angriffe und technische Probleme frühzeitig erkennen und darauf reagieren zu können, muss eine angemessene Protokollierung eingerichtet werden. Eine solche Protokollierung kann auch zur Nachvollziehbarkeit von kritischen Administrationstätigkeiten dienen. So kann durch den Cloud-Anbieter jederzeit eingesehen werden, wer zu welchem Zeitpunkt welche Änderung vorgenommen hat. Existiert hierzu ein angemessenes Monitoring, können falsche Handlungen frühzeitig erkannt und nachvollzogen werden15.
Der Umfang der Protokollierung und des zugehörigen Monitorings sollten vertraglich vereinbart werden. Auch geregelt werden sollte, ob und in welchem Umfang dem auslagernden Unternehmen Protokolle zur Verfügung gestellt werden.
Aus Sicht des Cloud-Managements müssen laut BSI mindestens die folgenden Aspekte protokolliert werden:
- „Netzlast und Verbindungsunterbrechungen,
- Verbindungszeiten (Cloud-Management-Prozess SLA),
- Ab- und Anmeldungen der Cloud-Benutzer, insbesondere fehlerhafte Anmeldeversuche,
- Änderungen an Rollen und Berechtigungen,
- kritische Transaktionen der Cloud-Administratoren und ggf. der privilegierten Benutzer des Cloud-Anwenders (Protokollierung privilegierter Benutzer auf Anwendungsebene obliegt bei SaaS dem Cloud-Diensteanbieter, bei IaaS- oder PaaS-Systemen den Cloud-Anwendern),
- Aufzeichnung der Konfigurationsänderungen an Cloud-Diensteprofilen, um eine Fehleranalyse zu vereinfachen,
- Auslastung der Cloud-Ressourcen (CPU, Netz, Speicher),
- Versuch von unberechtigten Zugriffen oder Manipulationsversuche.
- Eine Mandantentrennung sollte auch für den Zugriff auf die Protokolldaten durchgeführt werden, damit diese den Cloud-Anwendern zur Verfügung gestellt werden können, ohne die Vertraulichkeit der Protokolldaten der anderen Mandanten zu verletzen, und um die Benutzung in Gerichtsverfahren zu ermöglichen16.“
|
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
|||
|
8 |
Potentielle Angriffe oder technische Probleme werden frühzeitig erkannt. |
Protokollierung kritischer Aspekte in der Cloud-Umgebung und Einrichtung eines angemessenen Monitorings.
|
1. Sichtung der Vertragsinhalte im Hinblick auf die Protokollierung und das Monitoring von Ereignissen auf Seiten des Anbieters. 2. Überprüfung von Protokollen, die dem Anwender durch den Anbieter bereitgestellt werden. |
m, p
m, d |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
|
||||
Tabelle 9: Kontrolle 8 Protokollierung und Monitoring von Ereignissen
Quelle: Eigene Darstellung
Die Sicherheitsanforderungen sind generell in der Sicherheitsrichtlinie zu definieren (siehe Kontroll-ID 2).
Auch Änderungen bergen das Risiko falschen Handelns. Zum einen besteht eine Gefahr, dass Änderungen von Personen beantragt werden oder auf Seiten des Anbieters von Personen durchgeführt werden, die zu diesen Handlungen nicht berechtigt sind. Zum anderen können sich nicht durchdachte Änderungen gegebenenfalls ungewollt auf andere genutzte Dienste auswirken. Aus diesem Grund ist die Existenz eines geregelten Änderungsmanagements oder auch Change Management notwendig. Aufgabe dessen ist es, Veränderungen an Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren sowohl steuer- als auch kontrollierbar zu machen17.
Regelungen zum Änderungsmanagement und zu Testverfahren sind vertraglich zu vereinbaren.
|
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
|||
|
9 |
Es existieren einheitliche Vorgaben zu der Durchführung von Änderungen. |
Einrichtung eines Change Managements |
1. Sichtung der Vertragsinhalte bezüglich Regelungen zum Änderungsmanagement 2. Überprüfung, ob das Änderungsmanagement korrekt erfolgt oder Nachweis über eine Zertifizierung |
m, p
m/a, d
|
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
|
||||
Tabelle 10: Kontrolle 9 Change Management
Quelle: Eigene Darstellung
Nutzung von Sicherheitslücken beim Provider durch Angreifer und Missbrauch der Plattform des Providers
Der Nutzung von Sicherheitslücken oder dem Missbrauch der Plattform beim Provider durch Angreifer kann dadurch entgegen gewirkt werden, dass zunächst sichergestellt wird, dass der Ursprungszustand der Daten auch im Falle einer Manipulation oder Löschung wieder hergestellt werden kann. Zu diesem Zweck ist es notwendig, eine Datensicherung durchzuführen. Diese erfolgt in der Regel auf Seiten des Anbieters und sollte vertraglich vereinbart werden. Neben der Kontrolle der Vertragsinhalte ist es sinnvoll, in Form eigener Kontrollen zu überprüfen, ob die vereinbarten Datensicherungen auch tatsächlich regelmäßig und vollständig erfolgen. Mittels Recovery-Tests ist sicherzustellen, dass diese Daten im Notfall wiederherstellbar sind. Ein Nachweis darüber kann auch in Form einer Zertifizierung erfolgen.
Darüber hinaus kann ein Unternehmen sich vertraglich das Recht auf eine eigene Datensicherung einräumen lassen, wenn dies als notwendig erachtet wird.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
10 |
Daten sind im Falle einer Manipulation oder Löschung im ursprünglichen Zustand wiederherstellbar. |
Durchführung einer Datensicherung in einem definierten Backup- und Recovery-Prozess |
1. Sichtung der Vertragsinhalte bezüglich Regelungen zum Backup- und Recovery-Prozess 2. Überprüfung, ob die Datensicherung regelmäßig und erfolgreich erfolgt oder Nachweis über eine Zertifizierung 3. Durchführung von Recovery-Tests oder Nachweis über eine Zertifizierung |
m, p
m/a, d
a, d |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
|
||||
Tabelle 11: Kontrolle 10 Backup und Recovery
Quelle: Eigene Darstellung
Tritt der Fall einer Nutzung von Sicherheitslücken ein, so ist es wichtig, dass es ein Notfallkonzept gibt, in dem sowohl organisatorische als auch technische Aspekte thematisiert sind. Dies ist eine wichtige Maßnahme zur Notfallvorsorge18.
Organisatorisch sollten Zuständigkeiten und Ansprechpartner enthalten sein und die vorgesehenen Abläufe müssen klar definiert und dokumentiert sein. Auch detaillierte Vorgaben zur Datensicherung (siehe Kontroll-ID 9) sollten in einem Notfallkonzept enthalten sein. Ein weiterer wichtiger Bestandteil sind klare Arbeitsanweisungen für bestimmte Fehlersituationen19.
Neben diesen organisatorischen Aspekten sind auch technische Anforderungen in einem Notfallkonzept zu definieren. Regelungen zur redundanten Auslegung der Verfügbarkeit von Management-Tools sowie Schnittstellen haben eine zentrale Bedeutung. Auch eine ausfallsichere Anbindung an den Cloud-Dienstleister hat im Rahmen der Nutzung von Cloud Computing einen hohen Stellenwert20.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
11 |
Im Falle eines Notfalls gibt es klare Zuständigkeiten, Ansprechpartner und klare Handlungsanweisungen. |
Erstellung eines Notfallkonzeptes |
1. Sichtung des Notfallkonzepts im Hinblick auf Vollständigkeit und Aktualität 2. Durchführung von Notfallübungen 3. Sichtung der Vertragsinhalte im Hinblick auf Notfallvorsorge beim Anbieter |
m, p
m, p m, p |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
x |
||||
Tabelle 12: Kontrolle 11 Notfallkonzept
Quelle: Eigene Darstellung
Eine verschlüsselte Speicherung der Daten schützt diese ebenfalls vor Missbrauch (siehe Kontroll-ID 3).
Zusätzlich stellt eine Mandantentrennung einen Schutz gegen Missbrauch durch andere Kunden des Cloud-Anbieters oder aus deren Netzwerk dar. Durch diese Trennung kann auch ein unberechtigter Zugriff auf Daten anderer Kunden des Cloud-Anbieters verhindert werden (siehe Kontroll-ID 5).
Die Protokollierung und das Monitoring von Ereignissen ermöglichen es darüber hinaus, Angriffe auf das System frühzeitig zu erkennen und Maßnahmen einzuleiten (siehe Kontroll-ID 8).
Speziell im Falle von Brute-Force-Attacken auf Passwörter stellt eine Passwortrichtlinie eine grundlegende Schutzmaßnahme dar. Passwörter sollten ein Mindestmaß an Komplexität aufweisen.
Gemäß BSI sollten die folgenden Regeln zu Passwörtern beachtet werden:
- „Das Passwort darf nicht leicht zu erraten sein. Namen, Kfz-Kennzeichen, Geburtsdatum usw. dürfen deshalb nicht als Passwörter gewählt werden.
- Ein Passwort sollte aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen bestehen. Es sollten mindestens zwei dieser Anforderungen umgesetzt sein.
- Wenn für das Passwort alphanumerische Zeichen gewählt werden können, sollte es mindestens acht Zeichen lang sein.
- Wenn für das Passwort nur Ziffern zur Verfügung stehen, sollte es mindestens sechs Zeichen lang sein und das Authentisierungssystem sollte den Zugang nach wenigen Fehlversuchen sperren (für eine bestimmte Zeitspanne oder dauerhaft).
- Es muss getestet werden, wie viele Stellen des Passwortes vom Rechner wirklich überprüft werden.
- Voreingestellte Passwörter (bzw. des Herstellers bei Auslieferung von Systemen) müssen durch individuelle Passwörter ersetzt werden.
- Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.
- Passwörter müssen geheim gehalten werden und sollten nur dem Benutzer persönlich bekannt sein.
- Das Passwort sollte allenfalls für die Hinterlegung schriftlich fixiert werden, wobei es in diesem Fall in einem verschlossenen Umschlag sicher aufbewahrt werden muss. Wird es darüber hinaus aufgeschrieben, ist das Passwort zumindest so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren.
- Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage.
- Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist oder der Verdacht besteht.
- Alte Passwörter sollten nach einem Passwortwechsel nicht mehr gebraucht werden.
- Die Eingabe des Passwortes sollte unbeobachtet stattfinden21.“
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
12 |
Passwörter weisen eine angemessene Komplexität auf und sind nicht leicht zu erraten. |
Erstellung einer Passwortrichtlinie und Umsetzung im System |
1. Sichtung der Passwortrichtlinie im Hinblick auf Vollständigkeit und Aktualität 2. Überprüfung, ob die Anforderungen der Passwortrichtlinie im System angemessen umgesetzt sind, gegebenenfalls über Nachweise der Systemeinstellungen oder Zertifizierungen |
m, p
m, d |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
x |
||||
Tabelle 13: Kontrolle 12 Passwortrichtlinie
Quelle: Eigene Darstellung
Die Sicherheitsanforderungen an den Anbieter sollten darüber hinaus in einer Sicherheitsrichtlinie definiert werden (siehe Kontroll-ID 2).
Nutzung von Sicherheitslücken auf den Übertragungswegen
Auch Sicherheitslücken auf den Übertragungswegen stellen im Cloud-Umfeld ein erhebliches Risiko dar. Um das Abfangen oder Abhören der Daten zu verhindern, sollten Daten grundsätzlich nur verschlüsselt übertragen werden. Eine Bereitstellung verschlüsselter Transportwege kann vertraglich mit dem Anbieter vereinbart werden.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
13 |
Daten können aufgrund Verschlüsselung bei der Übertragung nicht abgehört werden. |
Einrichtung einer Verschlüsselung bei der Datenübertragung |
Überprüfung der Einrichtung einer verschlüsselten Datenübertragung (z.B. vertragliche Regelungen) |
m, p |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
|
||||
Tabelle 14: Kontrolle 13 Verschlüsselte Übertragung
Quelle: Eigene Darstellung
Sicherheitsmängel der technischen Infrastruktur
Die Sicherheit der technischen Infrastruktur liegt auf Seiten des Cloud-Anbieters. An dieser Stelle hat der Anwender nur wenige Möglichkeiten, diese zu kontrollieren. Daher sollten Aspekte zur Sicherheit der Infrastruktur vertraglich geregelt werden.
Gegebenenfalls kann ein Nachweis in Form einer Zertifizierung erfolgen22. Die relevanten Zertifizierungen werden im nächsten Teil dieser Reihe näher erläutert.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
14 |
Die Sicherheit der technischen Infrastruktur ist gewährleistet. |
Vertragliche Regelungen zur technischen Infrastruktur |
Sichtung der vertraglichen Regelungen zur Sicherheit der technischen Infrastruktur und Kontrolle eines Zertifizierungsnachweises |
m, p |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
x |
||||
Tabelle 15: Kontrolle 14 Sicherheit der technischen Infrastruktur
Quelle: Eigene Darstellung
Die Sicherheitsanforderungen an den Anbieter sollten darüber hinaus in einer Sicherheitsrichtlinie definiert werden (siehe Kontroll-ID 2).
Zu Teil 5b unserer Reihe: "Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil B – Cloud-spezifische Risiken"
Zurück zu Teil 4: "Welche Risiken bringt die Nutzung von Cloud Computing für Unternehmen mit sich?"
Zurück zu Teil 3: "Rechtliche Aspekte beim Cloud Computing"
Zurück zu Teil 2: "Welche Vorteile kann die Nutzung von Cloud Computing für Unternehmen mit sich bringen?"
Zurück zu Teil 1: "Cloud Computing, seine Betriebsformen und Servicemodelle – eine Einführung"
Fußnotenindex:
1 Vgl. Loczewski, Thomas, General, Jan, Schwald, Daniel, IT-Governance 16, 2013, S.5.
2 Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V., IDW RS FAIT 1, 2002, Tz. 23.
3 Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V., IDW RS FAIT 1, 2002, Tz. 25.
4 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, M 2.534.
5 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, M 2.534.
6 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, M 2.534.
7 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, M 2.535.
8 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, M 2.535.
9 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Management, 2014, M 4.440.
10 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Management, 2014, M 4.441.
11 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Management, 2014, M 4.445.
12 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, G 5.20.
13 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, G 5.20.
14 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Management, 2014, M 2.38.
15 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Management, 2014, M 4.443.
16 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Management, 2014, M 4.443.
17 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Patch- und Änderungsmanagement, 2009.
18 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, M 6.155.
19 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, M 6.155.
20 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, M 6.155.
21 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Regelung des Passwortgebrauchs, o.J., M 2.11.
22 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Cloud-Nutzung, 2014, M 2.541.
Quellen:
[1] Bundesamt für Sicherheit in der Informationstechnik, (Cloud-Management) B 5.23 Cloud-Management, 2014, online in: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/IT-GS-Bausteine/Cloud_Management/Baustein-Cloud-Management-B5_23.pdf?__blob=publicationFile&v=1
[2] Bundesamt für Sicherheit in der Informationstechnik, (Cloud-Nutzung) B 1.17 Cloud-Nutzung, 2014, online in: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/IT-GS-Bausteine/Cloud_Nutzung/Baustein-Cloud-Nutzung-B1_17.pdf?__blob=publicationFile&v=1
[3] Bundesamt für Sicherheit in der Informationstechnik, (Patch- und Änderungsmanagement) B 1.14 Patch- und Änderungsmanagement, 2009, online in: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01014.html
[4] Bundesamt für Sicherheit in der Informationstechnik, (Regelungen des Passwortgebrauchs)
M 2.11 Regelungen des Passwortgebrauchs, o.J., online in: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02011.html
[5] Institut der Wirtschaftsprüfer in Deutschland e.V., (IDW RS FAIT 1) IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung beim Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand 24.09.2002.
[6] Loczewski, Thomas, General, Jan, Schwald, Daniel, (IT-Governance 16) Systemprüfung von Cloud-Computing-Dienstleistungen, in: IT-Governance.Zeitschrift des ISACA Germany Chapter e.V., Heft 16, Heidelberg, 2013.