BSI: Mindeststandards für die Cloud-Nutzung
20. Dezember 2022 18:15 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Empfehlungen (für die öffentliche Verwaltung Vorgaben?) zur Nutzung von Cloud-Diensten aktualisiert. Die Version 2.1 stammt vom 15.12.2022: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Externe_Cloud-Dienste/Externe_Cloud-Dienste_node.html.
Dazu gibt es eine Liste der Änderungen zur letzten Version: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Externe_Cloud-Dienste/Aenderungsuebersicht_MST_Cloud-Dienste/Aenderungsuebersicht_MST_Cloud-Dienste_node.html
Die Sicherheitsanforderungen für diesen Mindeststandard orientieren sich dabei am § 8 Abs. 1 BSIG (https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html). Die Standards beziehen sich auf die Bundesverwaltung und deren IT. Es lohnt sich aber, generell einmal hinein zu blicken Sie können hier heruntergeladen werden:
- Mindeststandard des BSI zur Nutzung externer Cloud-Dienste nach § 8 Absatz 1 Satz 1 BSIG – Version 2.1 vom 15.12.2022 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_Nutzung_externer_Cloud-Dienste_Version_2_1.pdf?__blob=publicationFile&v=4
- IT-Grundschutz-Referenztabelle zum Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Nutzung externer Cloud-Dienste Version 2.1 in der Bundesverwaltung (IT-Grundschutz-Kompendium – Edition 2022) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Referenztabelle_Mindeststandard_externe_Cloud-Dienste_V2_1-Grundschutz2022.xlsx?__blob=publicationFile&v=3
- Umsetzungshinweise zum Mindeststandard des BSI zur Nutzung externer Cloud-Dienste nach § 8 Abs. 1 BSIG Version 2.1 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Umsetzungshinweise_Mindeststandards_Externe_Cloud-Dienste_Version_2_1.pdf?__blob=publicationFile&v=3
Die Dokumente beziehen sich auf zahlreiche weitere BSI-Dokumente wie z.B. den Grundschutz. Im Standard wird auch der Weg beschrieben, wie Cloud-Produkte ausgewählt werden sollen. Firmen- und Produktnamen werden nicht genannt (interessant wäre es gewesen, wenn etwas zum Thema Microsoft 365 dort gestanden hätte … https://www.project-consult.com/news/dsk-zu-ms-365/). Die lange Excel-Referenztabelle führt dann die einzelnen Bestimmungen nach Grundschutz & Co. aus: Sicherheitsanforderung „(MST-NCD V21) – IT-Grundschutz-Kompendium 2022 – OPS.2.x.xx …“ usw. Knapp 100 Anforderungen werden definiert. Mit den „Umsetzungshinweisen zum Mindeststandard des BSI … “ gibt es dann noch einmal knapp 30 Seiten Erläuterungen.
Da stellt sich dem „un/voreingenommenen“ Betrachter die Frage – kann man unter diesen Gesichtspunkten überhaupt nur eine einzige Standard-Cloud-Lösung einsetzen oder muss man immer wieder auf kleinere, handgestrickte „Spezial-eGov-Lösungen“ zurückgreifen?