Zum Inhalt springen

TISAX® Dokumentation (Handbuch) für KMUs und NIS2 Anforderungen | Blog

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Informationsmanagementsysteme » Informationssicherheit bei der Nutzung von Cloud-Diensten

Informationssicherheit bei der Nutzung von Cloud-Diensten

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Nutzung von Cloud-Diensten

Die Cloud-Technologie hat die Art und Weise, wie Unternehmen Daten speichern und darauf zugreifen, revolutioniert. Mit dieser Veränderung geht jedoch auch eine neue Reihe von Sicherheitsbedenken einher. Es ist daher unerlässlich, dass Unternehmen Verfahren für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten in Übereinstimmung mit ihren Informationssicherheitsanforderungen festlegen.

Nutzung von Cloud-Diensten

Bis zur jüngsten Ausgabe der ISO 27002:2013 wurde das Thema Cloud in der Norm noch nicht ausreichend berücksichtigt. In Anbetracht der Tatsache, dass neun Jahre später die Cloud-Technologie fast überall eingesetzt wird, hat die ISO 27002:2022 die Norm aktualisiert, um diesem veränderten Umfeld Rechnung zu tragen.

Die Norm betont die entscheidende Bedeutung der klaren Definition und Umsetzung von Verantwortlichkeiten für sowohl den Cloud-Dienstleister als auch für die Organisation, die die Dienste nutzt. Dazu gehören die Definition von Anforderungen an die Nutzung, Auswahlkriterien, Rollen und Verantwortlichkeiten, und welche Maßnahmen von der Organisation selbst und welche vom Anbieter umgesetzt werden müssen.

Auch die Steuerung von Schnittstellen und Änderungen, die Vorbereitungsverfahren bei Informationssicherheitsvorfällen, die Kriterien zur Überwachung, Überprüfung und Bewertung der Cloud-Dienstleistung sowie das Vorgehen bei Änderung oder Ausstieg der Cloud-Nutzung sind zu berücksichtigen.

Dies mag auf den ersten Blick einfach klingen, kann jedoch in der Praxis komplex sein. Viele Cloud-Dienste sind vordefiniert und ihre Bedingungen sind oft nicht verhandelbar. Trotzdem sollten Unternehmen bestrebt sein, die Anforderungen der ISO 27002:2022 so gut wie möglich umzusetzen. Ein Gespräch mit dem Cloud-Anbieter kann dabei von großem Nutzen sein, um die spezifischen Bedürfnisse und Risiken des Unternehmens zu klären.

Zusätzlich zur Definition der Rollen und Verantwortlichkeiten sollten auch bestimmte Aspekte in den Verträgen mit Cloud-Anbietern berücksichtigt werden. Diese beinhalten:

  • Einhaltung etablierter Standards: Es ist wichtig, dass Cloud-Dienstleister bewährte Standards und Praktiken in ihrer Arbeit einhalten. Dies gewährleistet ein hohes Maß an Sicherheit und Vertrauenswürdigkeit.
  • Sicherheitsanforderungen für den Zugang: Der Schutz sensibler Daten erfordert starke Kontrollmechanismen. Dazu gehört beispielsweise die Implementierung von Zwei-Faktor-Authentifizierung (2FA) zur Stärkung der Zugangssicherheit.
  • Malware-Überwachung und -Schutz: Cloud-Dienste sollten robuste Mechanismen zur Erkennung und Abwehr von schädlicher Software (Malware) implementieren, um Daten und Systeme zu schützen.
  • Geografische Einschränkungen: Die Möglichkeit, bestimmte Länder oder Regionen für die Nutzung des Dienstes zu beschränken, kann ein weiterer wichtiger Aspekt der Sicherheit sein.
  • Unterstützung bei Sicherheitsvorfällen: Im Falle eines Sicherheitsvorfalls sollte der Cloud-Anbieter umgehend Unterstützung leisten, um den Vorfall zu bewältigen und mögliche Schäden zu minimieren.
  • Richtlinien für Subunternehmer: Es sollte klare Regeln geben, wenn der Cloud-Dienstleister Dienste an andere Anbieter auslagert, um die Sicherheit und Vertraulichkeit der Daten zu gewährleisten.
  • Unterstützung bei der forensischen Untersuchung: Der Cloud-Anbieter sollte bei der Sammlung forensischer Daten helfen, um bei Bedarf eine detaillierte Analyse von Sicherheitsvorfällen zu ermöglichen.
  • Support, auch nach Beendigung der Dienstnutzung: Auch nach dem Verlassen des Cloud-Dienstes sollte der Anbieter Unterstützung bieten, beispielsweise bei der sicheren Datenübertragung.
  • Erstellung von Sicherheitskopien: Es sollte die Möglichkeit bestehen, regelmäßige Backups von Daten und Konfigurationen zu erstellen, um Datenverlusten vorzubeugen.
  • Rückgabe von Firmeneigentum: Im Falle der Beendigung des Vertragsverhältnisses sollte der Cloud-Dienstleister sämtliche Daten und Quellcodes, die Eigentum des Unternehmens sind, zurückgeben.
  • Informationspflicht bei Infrastrukturänderungen: Der Anbieter sollte Verpflichtungen eingehen, das Unternehmen über wesentliche Änderungen an seiner technischen Infrastruktur zu informieren, die die Sicherheit beeinträchtigen könnten.

Die Einhaltung der ISO 27002:2022 stellt sicher, dass Ihr Unternehmen die Cloud effektiv und sicher nutzen kann. Durch eine klare Definition von Rollen, Verantwortlichkeiten und Prozessen sowie durch die Berücksichtigung aller wichtigen Sicherheitsaspekte kann Ihr Unternehmen das volle Potenzial der Cloud-Technologie ausschöpfen, ohne Kompromisse bei der Informationssicherheit einzugehen.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner