Antworten auf häufig gestellte Fragen zum Mindeststandard zur Nutzung externer Cloud-Dienste
Das BSI verfügt über keine zentrale Liste der nach C5 testierten Cloud-Dienstanbieter, da die Testierungen unabhängig von externen Stellen (z.B. von Wirtschaftsprüferinnen und -prüfern) beauftragt und durchgeführt werden. Es handelt sich dabei nicht um eine Zertifizierung des BSI. Fragen Sie den bzw. die Anbieter einfach nach einer etwaigen C5-Testierung. Beachten Sie dabei, dass ein solches Testat nicht hinreichend ist für die Erfüllung des Mindeststandards. Umgekehrt kann ein fehlendes Testat auch im Zuge der Beschaffung und sogar von der jeweiligen Behörde selbst in Auftrag gegeben werden.
Bei der "Öffentlichkeit" und "Dienstlichkeit" von Daten handelt es sich um voneinander unabhängige Eigenschaften von Daten. Vier verschiedene Kombinationen sind hier möglich:
dienstlich/öffentlich
dienstlich/nicht-öffentlich
nicht-dienstlich/öffentlich
nicht-dienstlich/nicht-öffentlich
Wenn dienstliche Daten in einem externen Cloud-Dienst verarbeitet werden, ist der Mindeststandard immer anzuwenden, unabhängig davon, ob die Daten öffentlich sind oder nicht. Auch bei öffentlichen Daten bestehen in der Regel Anforderungen an ihre Integrität und Verfügbarkeit. Ggf. können die individuellen Schutzmaßnahmen geringer ausfallen als bei nicht-öffentlichen Daten, dies muss jedoch im Rahmen des Mindeststandardprozesses entschieden und begründet werden.
Die folgende Tabelle gibt einen Überlick, welche Auswirkungen die verschiedenen Kombinationen jeweils auf die Gültigkeit des Mindeststandards haben:
dienstliche Daten
keine dienstliche Daten
öffentlich
Mindeststandard ist anzuwenden
i.d.R. Datenkategorie 4 (sonstige Daten)
ggf. kann begründet werden, dass Risiken durch die Cloud-Nutzung minimal sind
Mindeststandard optional
nicht öffentlich
Mindeststandard ist anzuwenden
alle Datenkategorien möglich
Anforderungen müssen bedarfsgerecht festgelegt werden
Mindeststandard optional
Im Zusammenhang mit Cloud-Nutzung sind verschiedene Outsourcing-Szenarien denkbar:
Das Unternehmen, das den Cloud-Dienst anbietet, nutzt für die Erbringung des Cloud-Dienstes Subdienstleistungsunternehmen. Dieses Szenario ist im Mindeststandard unter NCD.2.2.02 geregelt.
Eine Behörde lagert eine Dienstleistung (keinen Cloud-Dienst) an ein Unternehmen aus, das seinerseits einen externen Cloud-Dienst für die Erbringung dieser Dienstleistung gegenüber der Behörde einsetzt. In diesem Fall gelten zunächst die üblichen Vorgaben beim Outsourcing. Dazu gehört gemäß Umsetzungsplan Bund 2017 insbesondere, dass auch Dienstleistungsunternehmen auf die Einhaltung einschlägiger Mindeststandards verpflichtet werden müssen. Das bedeutet, dass der Mindeststandard zur Nutzung externer Cloud-Dienste auch hier anzuwenden ist. In diesem Fall muss das Dienstleistungsunternehmen der Behörde zusichern, dass es die entsprechenden festgelegten Betriebsanforderungen des Mindeststandards bei seiner Cloud-Nutzung umsetzt.
Zusätzlich zum Mindeststandard zur Nutzung externer Cloud-Dienste bieten wir Umsetzungshinweise sowie eine Referenztabelle an, in der auf korresporendierende Anforderungen im IT-Grundschutz verwiesen wird. Beide Dokumente stehen auf der Webseite zum Download zur Verfügung.