BSI-Mindestanforderungen für externen Cloud-Einsatz 

In diesem Artikel lesen Sie,

• was die Mindestanforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bedeuten,
• welche Themenkomplexe öffentliche Auftraggeber bei der Nutzung externer Cloud-Dienste beachten 
  müssen
• und wie die Open Telekom Cloud die Mindestanforderungen erfüllt.

Mit den Mindestanforderungen für den externen Cloud-Einsatz hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) verbindliche Grundlagen für die Nutzung von Cloud-Lösungen in der öffentlichen Verwaltung geschaffen. Cloud-Provider wie die Open Telekom Cloud müssen sich an den Anforderungen messen lassen.

IT-Sicherheit ist seit jeher eines der herausragenden Themen für die Nutzer von IT-Diensten. Mit dem zunehmenden Einsatz der Cloud hat das Thema IT-Sicherheit abermals an Bedeutung gewonnen. Dabei darf aber nicht vergessen werden, dass Sicherheit immer auf zwei Schultern ruht: Sowohl der Anbieter als auch der Nutzer von Cloud-Diensten müssen eigene Beiträge für die IT-Sicherheit erbringen. Der Nutzer muss beispielsweise den Anbieter in puncto Sicherheit regelmäßig überprüfen und seiner Aufsichtspflicht nachkommen. Der Anbieter muss den Nutzer regelmäßig über relevante Änderungen informieren – es ist ein gegenseitiges Geben und Nehmen.

Für Institutionen der öffentlichen Verwaltung macht das Bundesamt für Sicherheit in der Informationstechnik (BSI) immer wieder konkrete Vorgaben darüber, wie diese Aufsichtspflichten gegenüber IT-Providern wahrgenommen werden sollen. Zuletzt veröffentlichte das BSI im Dezember 2022 die Version 2.1 des Mindeststandards für die Nutzung externer Cloud-Dienste. Hier enthalten sind verbindliche Vorgaben für öffentliche Institutionen, die Cloud-Provider nutzen. 

Diese Mindeststandards orientieren sich am IT-Grundschutz, erwarten aber nicht eine komplette Zertifizierung des Cloud-Anbieters nach IT-Grundschutz.

Im Einzelnen deckt eine Referenztabelle mit ca. 90 Kriterien die Mindestanforderungen ab, für deren Einhaltung die öffentlichen Auftraggeber geradestehen müssen.

Ganz konkret werden dabei die folgenden 19 Themenkomplexe abgedeckt:

• Strategie für die Cloud-Nutzung
• Sicherheitsrichtlinien für die externe Cloud-Nutzung
• Sicherheitskonzept für den (spezifischen) externen Cloud-Dienst
• Notfall- und Kontinuitätsmanagement
• Umsetzung der Sicherheitsanforderungen
• Umgang mit Unterauftragnehmern und anderen externen Dritten
• Gerichtsbarkeit
• Lokation der Datenverarbeitung
• Meldepflicht sicherheitsrelevanter Vorfälle
• Beendigung des Vertragsverhältnisses
• Regelung der Datenrückgabe und Datenlöschung
• Einbindung in das ISMS
• Auswertung von Sicherheitsnachweisen
• Prüfung der Leistungsfähigkeit
• Informationspflichten
• Multi-Faktor-Authentisierung
• Datenrückgabe bei Beendigung
• Datenlöschung bei Beendigung
• Mitnutzung externer Cloud-Dienste

Die Open Telekom Cloud verfügt über eine Fülle verschiedener Zertifizierungen, die belegen, dass sie die Anforderungen des BSI an öffentliche Auftraggeber erfüllt. Maßgeblich ist dabei die C5-Zertifizierung Typ 2 des BSI. Darüber hinaus bietet die Open Telekom Cloud weitere Zertifikate und Testate wie die DIN ISO 27001, 27017, 27018 sowie die Listung unter trusted-cloud.de mit allen aktuellen und geprüften Zertifikaten zum deutschen Recht. Eine komplette Liste der vorhandenen Zertifikate gibt es hier. Mit den Verpflichtungen auf StGB §203 und SGB §35  ist die Open Telekom Cloud sogar für die Verarbeitung von Sozialdaten und für den Einsatz von Berufsgeheimnisträgern geeignet. Einige der Anforderungen des BSI bildet die Open Telekom Cloud u.a. auch in den Verträgen ab, so beispielsweise die Rückgabe und Löschung von kundeneigenen Daten bei der Auflösung des Vertragsverhältnisses.

Die Open Telekom Cloud kann die Mindestanforderungen des BSI lückenlos erfüllen. Sie ist damit eine passende Cloud für alle Anwendungen der öffentlichen Hand, Daten der Kategorien 1, 2 und 4 können per se mit ihr verarbeitet werden. Das deckt Privat-, Dienst-, Betriebs- und Geschäftsgeheimnisse gemäß Strafgesetzbuch (StGB) §§ 203 und 353b ab, personenbezogene Daten gemäß Datenschutz-Grundverordnung (DSGVO) Art. 4 Nr. 1 und sonstige Daten. Allein für Daten der Kategorie 3 (Verschlusssachen gemäß Verschlusssachenanweisung – VSA) werden spezifische Konzepte über die Standards der Open Telekom Cloud hinaus benötigt.