Cloud Security AUDITOR-Zertifizierung (6)

Cloud Security AUDITOR-Zertifizierung (6)

08/2019

 

Nr. 2 – Gewährleistung der Datensicherheit

Kapitel II: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 2 – Gewährleistung der Datensicherheit durch geeignete TOM nach dem Stand der Technik

Nr. 2.1 – Datensicherheitskonzept (Art. 24, 25, 28, 32, 35 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

Kriterium

  1. Der Cloud-Anbieter führt eine Risikoanalyse in Bezug auf die Datensicherheit durch und verfügt über ein Datensicherheitskonzept entsprechend seiner Schutzklasse, das den spezifischen Risiken seiner Datenverarbeitungsvorgänge angemessen ist.
  2. Im Datensicherheitskonzept stellt der Cloud-Anbieter dar, welche Datensicherheitsmaßnahmen er ergriffen hat, um die bestehenden Risiken abzustellen oder einzudämmen. Der Cloud-Anbieter schildert auch die Abwägungen, die er vorgenommen hat, um zu diesen Maßnahmen zu gelangen.
  3. Das Datensicherheitskonzept ist schriftlich zu dokumentieren.
  4. Das Datensicherheitskonzept ist in regelmäßigen Abständen auf Aktualität und Angemessenheit zu überprüfen und bei Bedarf zu aktualisieren.
  5. Das Datensicherheitskonzeptkonzept beschreibt, welche Datenverarbeitungsvorgänge in der Verantwortung des Cloud-Anbieters liegen und für welche Datenverarbeitungsvorgänge eingebundene Subauftragsverarbeiter verantwortlich sind.
  6. Das Datensicherheitskonzept beschreibt, welche Datenverarbeitungsvorgänge in der Verantwortung des Cloud-Anbieters liegen und welche der Verantwortung des Cloud-Nutzers unterliegen.
  7. Soweit das Datensicherheitskonzept Sicherheitsmaßnahmen des Cloud-Nutzers verlangt, sind diese dem Cloud-Nutzer in Schriftform oder in einem elektronischen Format mitzuteilen.

 

Erläuterung
Der Cloud-Anbieter hat risikoangemessene TOM festzulegen, um Risiken einer Verletzung der Rechte und Freiheiten von natürlichen Personen zu verhindern. Insbesondere hat er Risiken gegen unbeabsichtigte und unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu personenbezogenen Daten auszuschließen oder zu minimieren. Bei der Festlegung der konkreten Maßnahmen berücksichtigt er nicht nur die Modalitäten der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere des Schadens, sondern auch den Stand der Technik sowie die Implementierungskosten der Maßnahmen. Die dabei getroffenen Abwägungen müssen aus dem Datensicherheitskonzept ersichtlich sein. Der Cloud-Anbieter legt für seinen angebotenen Dienst die Schutzanforderungsklasse fest. Der Cloud-Nutzer wählt einen Cloud-Dienst aus, der eine zu seiner Schutzbedarfsklasse passende Schutzanforderungsklasse bietet.

 

Umsetzungshinweis
Das Datensicherheitskonzept soll die sich aus den spezifischen Umständen des Cloud-Dienstes, seiner Datenverarbeitungsvorgänge und Räumlichkeiten ergebenden Risiken abdecken und zu jedem Risiko eine oder gegebenenfalls mehrere Schutzmaßnahmen beinhalten sowie Ressourcen, Verantwortlichkeiten und Priorisierungen für den Umgang mit Informationssicherheitsrisiken spezifizieren. Alle identifizierten Restrisiken des Cloud-Dienstes, die nicht vollständig behandelt werden können, sollten von der Geschäftsleitung des Cloud-Anbieters zur Kenntnis genommen werden. Der Risikobewertungsansatz und die Risikobewertungsmethodik des Cloud-Anbieters sollten dokumentiert werden.

 

Bei der Analyse von Risiken können folgende Merkmale analysiert und evaluiert werden:

  1. Evaluierung der Auswirkungen auf die Organisation, Technik oder Dienstbereitstellung aufgrund eines Sicherheitsausfalls und Berücksichtigung der Konsequenzen des Verlusts von Vertraulichkeit, Integrität oder Verfügbarkeit;
  2. Evaluierung der realistischen Wahrscheinlichkeit eines solchen Sicherheitsausfalls unter Berücksichtigung aller denkbaren Bedrohungen und Sicherheitslücken;
  3. Abschätzung des möglichen Schadensausmaßes für die Grundrechte und Freiheiten der betroffenen Personen;
  4. Prüfung, ob alle möglichen Optionen für die Behandlung der Risiken identifiziert und evaluiert sind;
  5. Bewertung, ob das verbleibende Risiko akzeptierbar oder eine Gegenmaßnahme erforderlich ist.

 

Das Datensicherheitskonzept sollte unter Berücksichtigung neu auftretender Sicherheitsherausforderungen kontinuierlich aktualisiert und verbessert werden. Dabei sollten Risikobewertungen, das mögliche Schadensausmaß und die identifizierten akzeptablen Risiken regelmäßig unter Berücksichtigung des Wandels der Organisation, Technologie, Geschäftsziele und -prozesse, erkannten Bedrohungen, der Auswirkung der implementierten Kontrollen und externen Ereignisse überprüft werden.

 

Nachweis
Das Datensicherheitskonzept und seine Angemessenheit kann der Cloud-Anbieter dadurch nachweisen, dass er dieses vorlegt.


Nr. 2.2 – Sicherheitsbereich und Zutrittskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter stellt durch risikoangemessene TOM sicher, dass Räume und Anlagen gegen Schädigung durch Naturereignisse gesichert werden und Unbefugten der Zutritt zu Räumen und Datenverarbeitungsanlagen verwehrt wird, um unbefugte Kenntnisnahmen personenbezogener Daten und Einwirkungsmöglichkeiten auf die Datenverarbeitungsanlagen auszuschließen.
  2. Die Maßnahmen sind geeignet, um im Regelfall den Zutritt Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Die Maßnahmen sind geeignet, Schädigungen durch fahrlässige Handlungen Befugter im Regelfall auszuschließen. Weiterhin ist sichergestellt, dass unbefugter Zutritt durch fahrlässige und vorsätzliche Handlungen hinreichend sicher ausgeschlossen ist. Dies schließt Schutz gegen Zutrittsversuche durch Täuschung oder Gewalt ein. Es besteht ein hinreichender Schutz gegen bekannte Angriffsszenarien.
  3. Jeder unbefugte Zutritt und Zutrittsversuch ist nachträglich feststellbar.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Jeder autorisierte Zutritt wird protokolliert.

 

Erläuterung
Dieses Kriterium konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und 5 Abs. 1 lit. f DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer zu gewährleisten. Soweit der Cloud-Anbieter für den Sicherheitsbereich und die Zutrittskontrolle zu Räumen und Datenverarbeitungsanlagen verantwortlich ist, benötigt er ein Berechtigungskonzept für den Zutritt zu Datenverarbeitungsanlagen. Die Zutrittskontrolle gewährleistet den Zutrittsschutz nicht nur im Normalbetrieb, sondern auch im Zusammenhang mit Naturereignissen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27001 Ziff. A11 und ISO/IEC 27018 Ziff. 11 sind anwendbar.

Um sicherzustellen, dass Unbefugte keinen Zutritt zu Räumen und Datenverarbeitungsanlagen erhalten, sollte der Zutritt ins Rechenzentrum über Videoüberwachungssysteme, Bewegungssensoren, Alarmsysteme und von geschultem Sicherheitspersonal permanent überwacht werden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Zutrittskontrolle darlegt.


Nr. 2.3 – Zugangskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter stellt sicher, dass Unbefugte keinen Zugang zu Datenverarbeitungssystemen erhalten und auf diese einwirken können. Dies gilt auch für Sicherungskopien, soweit diese personenbezogene Daten enthalten.
  2. Der Cloud-Anbieter überprüft die Erforderlichkeit der Berechtigungen für den Zugang zu Datenverarbeitungssystemen in regelmäßigen Abständen auf Aktualität und Angemessenheit und aktualisiert sie bei Bedarf.
  3. Der Cloud-Anbieter überprüft den Zugang von Befugten über das Internet durch eine starke Authentifizierung, die mindestens zwei Elemente der Kategorie Wissen, Besitz oder Inhärenz verwendet. Die Elemente sind voneinander unabhängig, sodass die Überwindung eines Elements die Zuverlässigkeit des anderen nicht beeinflusst. Sie sind so konzipiert, dass die Vertraulichkeit der Authentifizierungsdaten gewährleistet ist. Der Zugang über das Internet erfolgt über einen verschlüsselten Kommunikationskanal.
  4. Die Maßnahmen zur Zugangskontrolle sind geeignet, um im Regelfall den Zugang zu Datenverarbeitungssystemen durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Gegen zu erwartenden vorsätzlichen unbefugten Zugang besteht ein Schutz, der zu erwartende Zugangsversuche hinreichend sicher ausschließt. Dazu gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, die einen unbefugten Zugang im Regelfall nachträglich feststellbar machen.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Der Cloud-Anbieter schließt den unbefugten Zugang zu Datenverarbeitungssystemen hinreichend sicher aus. Dies schließt regelmäßig Maßnahmen zur aktiven Erkennung von Angriffen ein. Jeder unbefugte Zugang und entsprechende Versuche sind nachträglich feststellbar.

 

Erläuterungen
Das Kriterium der Zugangskontrolle konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele der Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen. Soweit der Cloud-Anbieter für den Zugang zu Datenverarbeitungssystemen verantwortlich ist, benötigt er ein Berechtigungskonzept für den Zugang zu Datenverarbeitungssystemen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27001 Ziff. A12.1.4, A12.4.2 und ISO/IEC 27018 Ziff. 9 sind anwendbar.

Die Aufgaben und Rollen zur Wahrung der Informationssicherheit für Datenverarbeitungsvorgänge des Cloud-Anbieters sollten klar definiert und verständlich dokumentiert sein. Alle Anlagen des Cloud-Anbieters sollten korrekt gewartet werden, damit ihre fortgesetzte Verfügbarkeit und Integrität gewährleistet werden können.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Zugangskontrolle darlegt.


Nr. 2.4 – Zugriffskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter stellt durch TOM sicher, dass Berechtigte nur im Rahmen ihrer Berechtigungen Zugriff auf personenbezogene Daten nehmen können und unbefugte Einwirkungen auf personenbezogene Daten ausgeschlossen werden. Dies gilt auch für Datensicherungen, soweit sie personenbezogene Daten enthalten.
  2. Der Cloud-Anbieter kontrolliert alle Zugriffe auf personenbezogene Daten.
  3. Die Maßnahmen sind geeignet, um im Regelfall den Zugriff auf personenbezogene Daten durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.
  4. Für Zugriffe von Befugten auf personenbezogene Daten über das Internet ist eine starke Authentifizierung erforderlich, die mindestens zwei Elemente der Kategorie Wissen, Besitz oder Inhärenz verwendet, die insofern voneinander unabhängig sind, als die Überwindung eines Elements die Zuverlässigkeit des anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten gewährleistet ist.
  5. Der Cloud-Anbieter schützt administrative Zugriffe und Tätigkeiten auf kritischen Systemen durch einen starken Authentisierungsmechanismus und protokolliert diese. Die Fernadministration des Cloud-Dienstes durch Mitarbeiter des Cloud-Anbieters erfolgt über einen verschlüsselten Kommunikationskanal.
  6. Ist ein privilegierter Zugriff der Mitarbeiter des Cloud-Anbieters auf personenbezogene Daten auf Weisung im Cloud-Dienst vorgesehen, ist dieser eindeutig geregelt und dokumentiert. Die privilegierten Zugriffe weisen eine andere Nutzeridentität auf als die Zugriffe für die tägliche Arbeit.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Zu erwartende vorsätzliche unbefugte Zugriffe sind hinreichend sicher ausgeschlossen. Dazu gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die ein unberechtigter Zugriff im Regelfall nachträglich festgestellt werden kann.
  3. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer verschiedene zweckbezogene Nutzerrollen für seine Mitarbeiter festlegt, um nicht zweckgemäße Zugriffe auf personenbezogene Daten logisch auszuschließen.
  4. Ist ein privilegierter Zugriff der Mitarbeiter des Cloud-Anbieters auf personenbezogene Daten auf Weisung vorgesehen, ist dieser eindeutig zu regeln und zu dokumentieren. Der privilegierte Zugriff darf nur in Rollen erfolgen, die von der Administration und vom Rechenzentrumsbetrieb unabhängig sind. Der Zugriff ist mit Zwei-Faktor-Authentifizierung abzusichern und die Anzahl der Mitarbeiter mit privilegiertem Zugriff ist so gering wie möglich zu halten.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Unbefugte Zugriffe auf Daten sind hinreichend sicher ausgeschlossen. Dies schließt regelmäßig Maßnahmen zur aktiven Erkennung von Angriffen ein. Jeder unbefugte Zugriff und entsprechende Versuche ist nachträglich feststellbar.

 

Erläuterungen
Das Kriterium der Zugriffskontrolle konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen. Dies setzt ein Berechtigungskonzept für den Zugriff auf personenbezogenen Daten voraus.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27002 Ziff. 13.2 und ISO/IEC 27018 Ziff. 9.2, 9.2.1, 9.4.2 sind anwendbar.

Berechtigungskonzepte müssen sowohl für die Nutzer des Dienstes als auch für die Mitarbeiter des Cloud-Anbieters bestehen.

Ein geeigneter Managementprozess für die Zugriffskontrolle sollte etabliert werden, der die Erforderlichkeit der Berechtigungen in regelmäßigen Abständen auf Angemessenheit überprüft, die Vergabe, Aktualisierung, Kontrolle und den Entzug von Berechtigungen regelt, Zugriffspolitiken überwacht und aktualisiert sowie Passwortrichtlinien überprüft und die Einhaltung sicherstellt.

Es sollten angemessene Sicherheitsmaßnamen gegen sowohl interne auch gegen externe Angriffe implementiert werden, um einen unbefugten Zugriff zu verhindern. Hierzu zählen beispielsweise sämtliche Standardmaßnahmen für den Schutz des Cloud-Hosts, d. h. Host Firewalls, Network-Intrusion-Prevention-Systeme, Applikationsschutz, Antivirus, regelmäßige Integritätsüberprüfungen wichtiger Systemdateien und Host-based Intrusion-Detection-Systeme. Der Cloud-Dienst sollte ununterbrochen auf Angriffe und Sicherheitsvorfälle überwacht werden, um verdächtige Aktivitäten (z.B. Extraktion großer Datenmengen mehrerer Mandanten), Angriffe und Sicherheitsvorfälle rechtzeitig erkennen und angemessene und zeitnahe Reaktionen einleiten zu können.

Um vorsätzliche Eingriffe auf Datenverarbeitungsvorgänge durch Mitarbeiter zu erschweren, ist der Kreis der Berechtigten klein zu halten und sind Zugriffsberechtigungen restriktiv zu vergeben. Mitarbeiter sollten nur Zugriff auf die Daten und Datenverarbeitungsvorgänge haben, die sie für ihre Aufgabenerledigung benötigen. Eine weitere Maßnahme, um vorsätzliche Eingriffe durch Mitarbeiter zu erschweren, kann die Implementierung eines Vier-Augen-Prinzips sein, das bestimmte Aktionen an Datenverarbeitungsvorgängen nur zulässt, wenn mindestens ein weiterer Mitarbeiter der Aktion zugestimmt hat. Um Zugriffe durch befugte Mitarbeiter nachträglich nachverfolgen zu können, sind die Zugriffe zu protokollieren.

Sämtliche relevanten Sicherheitsereignisse einschließlich aller Sicherheitslücken oder -vorfälle sollten erfasst, protokolliert, revisionssicher archiviert und ausgewertet werden. Ein handlungsfähiges Team für Security-Incident-Handling und Trouble-Shooting sollte ununterbrochen erreichbar sein, damit Sicherheitsvorfälle gemeldet und zeitnah bearbeitet werden können.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Zugriffskontrolle darlegt.


Nr. 2.5 – Übertragung von Daten und Transportverschlüsselung (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter setzt bei Datenübertragungsvorgängen eine Transportverschlüsselung nach dem Stand der Technik oder gleichermaßen angemessene Maßnahmen ein oder fordert dies durch entsprechende Konfiguration von Schnittstellen. Die eingesetzte Transportverschlüsselung muss gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  2. Die Maßnahmen sind geeignet, im Regelfall Angriffe Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Die Maßnahmen sind ferner geeignet, die fahrlässige Weitergabe von Daten an Unbefugte durch den Cloud-Anbieter und seine Mitarbeiter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert. Bei verschlüsselter Übertragung sind die Schlüssel sicher aufzubewahren.
  3. Der Cloud-Anbieter protokolliert automatisiert die Metadaten aller Datenübertragungsvorgänge, einschließlich der Empfänger, auch solche vom und an den Cloud-Nutzer oder an Subauftragsverarbeiter.
  4. Die Anforderungen dieses Kriteriums gelten auch für die Übertragung von Daten im eigenen Netzwerk des Cloud-Anbieters und seiner Subauftragsverarbeiter und zwischen diesen.
  5. Der Cloud-Anbieter schützt den Transport von Datenträgern mit TOM, sodass personenbezogene Daten beim Transport der Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Cloud-Anbieter dokumentiert die Transporte.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter schützt die Daten gegen vorsätzliches unbefugtes Lesen, Kopieren, Verändern oder Entfernen und schließt zu erwartende Versuche hinreichend sicher aus. Zu den Schutzmaßnahmen gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen im Regelfall (nachträglich) festgestellt werden kann.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Cloud-Anbieter schließt unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten hinreichend sicher aus. Er ergreift regelmäßig Maßnahmen zur aktiven Erkennung und Abwehr von Angriffen und stellt jedes unbefugte Lesen, Kopieren, Verändern oder Entfernen von Daten und auch jeden entsprechenden Versuch nachträglich fest. Bei verschlüsselter Übertragung stellt er durch TOM sicher, dass weder er noch seine Mitarbeiter Zugriff auf die Schlüssel haben.

 

Erläuterungen
Das Kriterium der Übertragungs- und Transportkontrolle konkretisiert die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen und personenbezogene Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugten Zugang oder unbefugte Offenlegung während der elektronischen Übertragung, des Transports oder der Speicherung auf Datenträgern zu schützen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 10.1.1, A.10.6, A.10.9, ISO/IEC 27002 Ziff. 12.4, ISO/IEC 27040:2017-03 Ziff. 6.7.1 und ISO/IEC 27040:2017-03 Ziff. 7.7.1 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept die TOM zur Übertragungskontrolle darlegt.


Nr. 2.6 – Nachvollziehbarkeit der Datenverarbeitung (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. c, e, f und Abs. 2 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter protokolliert Eingaben, Veränderungen und Löschungen personenbezogener Daten, die bei der bestimmungsgemäßen Nutzung des Cloud-Dienstes durch den Cloud-Nutzer oder bei administrativen Maßnahmen des Cloud-Anbieters erfolgen, um eine nachträgliche Prüfbarkeit und Nachvollziehbarkeit der Datenverarbeitung sicherzustellen. Er beachtet bei Protokollierungen die Grundsätze der Erforderlichkeit, Zweckbindung und Datenminimierung. Er bewahrt die Protokolldaten sicher auf.
  2. Der Cloud-Anbieter gestaltet die Protokollierung so, dass die Nachvollziehbarkeit von Eingaben, Veränderungen und Löschungen im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässige Handlungen des Cloud-Nutzers oder Dritter gewahrt bleibt. Er sieht einen Mindestschutz gegen vorsätzliche Manipulationen an den Maßnahmen zur Nachvollziehbarkeit vor, der solche Manipulationen erschwert.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter sieht gegen zu erwartende vorsätzliche Manipulationen der Protokollierungsinstanzen und gegen vorsätzliche Zugriffe auf oder Manipulationen von Protokollierungs-dateien (Logs) durch Unbefugte einen Schutz vor, der zu erwartende Manipulationsversuche hinreichend und sicher ausschließt. Zu diesen Schutzmaßnahmen gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die eine Manipulation im Regelfall (nachträglich) festgestellt werden kann.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Der Cloud-Anbieter schließt Manipulationen von Protokollierungsinstanzen und -dateien (Logs) hinreichend sicher aus. Er ergreift regelmäßig Maßnahmen zur aktiven Erkennung von Manipulationen und stellt jede Manipulation und möglichst auch jeden entsprechenden Versuch nachträglich fest.

 

Erläuterung
Das Kriterium der Nachvollziehbarkeit konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten und Diensten auf Dauer sicherzustellen und personenbezogene Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugten Zugang oder unbefugte Offenlegung zu schützen. Hierzu muss nachträglich überprüft und festgestellt werden können, ob, wann und von wem und mit welchen inhaltlichen Auswirkungen personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, um gegebenenfalls Zugriffsrechte für die Zukunft anders zu gestalten. Zur sicheren Aufbewahrung der Protokolldaten gehört auch, dass die Auswertbarkeit der Protokolldaten sichergestellt ist.



Da im Rahmen von Protokollierungen regelmäßig personenbezogene Daten anfallen, unterliegt der Umgang mit Protokollierungsdaten ebenfalls datenschutzrechtlichen Anforderungen. Auf die Datenschutzgrundsätze aus Art. 5 DSGVO wird Bezug genommen. Auf das Gewährleistungsziel der Datenminimierung und der Zweckbindung aus Art. 5 Abs. 1 lit. c und b DSGVO ist besonderes Augenmerk zu legen.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 12.4.1, 12.4.2 und ISO/IEC 27002 Ziff. 12.4 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, wie er durch Festlegung von Gegenstand und Umfang der Protokollierung, Aufbewahrung und Verwendung der Protokolldaten, Integritätsschutz und Löschung von Protokollen, die Datenschutzziele sicherstellt.


Nr. 2.7 – Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter ermöglicht es dem Cloud-Nutzer, Daten zu verarbeiten, die der Cloud-Nutzer pseudonymisiert überträgt.

 

Schutzklasse 2 und 3

  1. Der Cloud-Anbieter stellt sicher, dass die Daten pseudonymisiert verarbeitet werden. Entsprechend der rechtsverbindlichen Vereinbarung (Nr. 1.7) pseudonymisiert der Cloud-Nutzer die personenbezogenen Daten selbst oder der Cloud-Anbieter führt die Pseudonymisierung auf Weisung des Cloud-Nutzers durch.
  2. Wird die Pseudonymisierung vom Cloud-Anbieter durchgeführt, so stellt dieser sicher, dass die zusätzlichen Informationen zur Identifizierung der betroffenen Person gesondert aufbewahrt werden. Der Datensatz mit der Zuordnung des Kennzeichens zu einer Person muss so geschützt werden, dass zu erwartende Manipulationsversuche hinreichend und sicher ausgeschlossen werden.
  3. Erfordert die Art des Auftrags mit dem Cloud-Nutzer die De-Pseudonymisierung der Daten, stellt der Cloud-Anbieter sicher, dass die De-Pseudonymisierung nur auf dokumentierte Weisung des Cloud-Nutzers erfolgt.
  4. Der Cloud-Anbieter gewährleistet, dass er die technische Entwicklung im Bereich der Pseudonymisierungsverfahren laufend verfolgt und seine Verfahren den aktuellen technischen Empfehlungen (best practice) entsprechen.

 

Erläuterung
In Schutzklasse 1 muss der Cloud-Anbieter, sofern er personenbezogene Daten des Cloud-Nutzers verarbeitet, selbst keinen Pseudonymisierungsdienst anbieten, wohl aber pseudonyme Daten unter Wahrung der Pseudonymität verarbeiten.

 

Die Pseudonymisierung wird neben der Verschlüsselung in Art. 32 Abs. 1 lit. a DSGVO explizit als einzusetzende Sicherheitsmaßnahme benannt. Sie trägt dazu bei, das Gewährleistungsziel der Nichtverkettung zu fördern. Da durch Pseudonymisierung Dritte selbst bei einem unbefugten Zugriff auf den Cloud-Dienst keine Kenntnis von den personenbezogenen Daten erlangen können oder der Personenbezug zumindest erheblich erschwert wird, mindert die Pseudonymisierung die Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen.

 

Umsetzungshinweis
Der Cloud-Nutzer hat zu prüfen, ob es bereichsspezifische oder generische technische Standards für die Pseudonymisierung gibt, die als verpflichtend vorgeschrieben sind oder empfohlen werden. Der Cloud-Anbieter sollte öffentlich bekannt geben, welche dieser technischen Standards sein Pseudonymisierungsverfahren erfüllt. Beispielsweise kann zur Pseudonymisierung in der medizinischen Informatik DIN EN ISO 25237 herangezogen werden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, wie er selbst Pseudonymisierungen durchführt, Identifizierungsdaten sicher aufbewahrt und pseudonymisierte Daten verarbeitet.


Nr. 2.8 – Anonymisierung (Art. 5 Abs. 1 lit. c DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter ermöglicht es dem Cloud-Nutzer, anonyme Daten zu verarbeiten.

 

Schutzklasse 2 und 3

  1. Soweit mit dem Cloud-Nutzer vereinbart (Nr. 1.7), stellt der Cloud-Anbieter sicher, dass die Daten anonymisiert verarbeitet werden. Entsprechend der rechtsverbindlichen Vereinbarung anonymisiert der Cloud-Nutzer die personenbezogenen Daten selbst oder der Cloud-Anbieter auf Weisung.
  2. Wird die Anonymisierung vom Cloud-Anbieter durchgeführt, so gewährleistet er, dass er die technische Entwicklung im Bereich der Anonymisierungsverfahren laufend verfolgt und seine Verfahren den aktuellen technischen Empfehlungen (best practice) entsprechen. Die Anonymisierung muss nach dem Stand der Technik eine Re-Identifizierung der betroffenen Person ausschließen.

 

Erläuterung
In Schutzklasse 1 muss der Cloud-Anbieter, sofern er personenbezogene Daten des Cloud-Nutzers verarbeitet, selbst keinen Anonymisierungsdienst anbieten, wohl aber anonyme Daten unter Wahrung der Anonymität verarbeiten.

 

Die Anonymisierung ist neben dem Verzicht der Datenerhebung die wirksamste Maßnahme zur Daten-vermeidung und Datenminimierung. Sie trägt dazu bei, das Gewährleistungsziel der Datenminimierung zu fördern.

 

Umsetzungshinweis
Der Cloud-Nutzer sollte prüfen, ob es bereichsspezifische technische Standards für die Anonymisierung gibt, die als verpflichtend vorgeschrieben sind oder empfohlen werden. Der Cloud-Anbieter sollte öffentlich bekannt geben, welche dieser technischen Standards sein Anonymisierungsverfahren erfüllt.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, wie er selbst Anonymisierungen durchführt und anonymisierte Daten verarbeitet.


Nr. 2.9 – Verschlüsselung gespeicherter Daten (Art. 32 Abs. 1 lit. a DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter ermöglicht dem Cloud-Nutzer die Speicherung von verschlüsselten Daten.

 

Schutzklasse 2

  1. Sofern der Cloud-Anbieter personenbezogene Daten des Cloud-Nutzers speichert, bietet er Verschlüsselungsverfahren an, um dem Cloud-Nutzer die Speicherung von verschlüsselten Daten zu ermöglichen oder auf dessen Weisung hin, die Daten selbst zu verschlüsseln.
  2. Der Cloud-Anbieter verfolgt laufend die technische Entwicklung im Bereich der Verschlüsselung. Die von ihm getroffenen Maßnahmen entsprechen den aktuellen technischen Empfehlungen (best practice).
  3. Der Cloud-Anbieter prüft fortdauernd die Eignung seiner Verschlüsselungsverfahren und aktualisiert diese bei Bedarf.
  4. Der Cloud-Anbieter überprüft die angemessene Implementierung seiner Verschlüsselungsverfahren durch geeignete Tests und dokumentiert diese.

 

Schutzklasse 3

  1. Auf Weisung des Cloud-Nutzers unterstützt der Cloud-Anbieter diesen bei der Verschlüsslung und Entschlüsselung der Daten. Die Unterstützung erfolgt in Form von Dokumentationen und Hilfsmaßnahmen zur Durchführung von Verschlüsselung, ohne dass der Cloud-Anbieter den Schlüssel kennen kann.
  2. Der Cloud-Anbieter verfolgt die technische Entwicklung im Bereich der Verschlüsselung und hält seine unterstützenden Maßnahmen in Form von Dokumentationen und Hilfsmaßnahmen zur Durchführung von Verschlüsselung auf dem Stand der aktuellen technischen Empfehlungen (best practice).

 

Erläuterung
In Schutzklasse 1 muss der Cloud-Anbieter, sofern er personenbezogene Daten des Cloud-Nutzers speichert, kein Verfahren zur Verschlüsselung anbieten, wohl aber verschlüsselte Daten unter Wahrung der Verschlüsselung speichern.

 

In Schutzklasse 3 verschlüsselt der Cloud-Nutzer die Daten selbst. Daher liegt es auch in seiner Verantwortung, die Schlüssel sicher aufzubewahren.

 

Die Verschlüsselung wird neben der Pseudonymisierung in Art. 32 Abs. 1 lit. a DSGVO explizit als eine einzusetzende Sicherheitsmaßnahme benannt. Zweck der Verschlüsselung ist es, die Gewährleistungsziele der Vertraulichkeit und Integrität sicherzustellen. Die Schwelle, ab der zu verschlüsseln ist, ist niedrig, sodass personenbezogene Daten bereits bei niedrigem Risiko verschlüsselt werden sollten, soweit dies möglich ist.

 

Umsetzungshinweis
Der Stand der Technik ergibt sich aus aktuellen technischen Normen für kryptographische Verfahren und deren Anwendung. Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 10 und ISO/IEC 27002, Z. 10 sind anwendbar.

Soweit der Cloud-Anbieter Daten verschlüsselt, sollte die Schlüsselerzeugung in einer sicheren Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Kryptografische Schlüssel sollten möglichst nur einem Einsatzzweck dienen und generell nie in klarer Form, sondern grundsätzlich verschlüsselt im System gespeichert werden. Die Speicherung muss stets redundant gesichert und wiederherstellbar sein, um einen Verlust eines Schlüssels auszuschließen. Schlüsselwechsel müssen regelmäßig durchgeführt werden. Der Zugang zum Schlüsselverwaltungssystem sollte eine separate Authentisierung erfordern. Cloud-Administratoren dürfen keinen Zugriff auf Nutzerschlüssel haben.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, dass die angebotenen und angewandten Verschlüsselungsverfahren den aktuellen technischen Anforderungen entsprechen. Er legt Prozessdokumentationen vor, wie er die technische Entwicklung im Bereich der Verschlüsselung verfolgt und die Geeignetheit des Verfahrens fortdauernd prüft und es gegebenenfalls aktualisiert. Er weist in seinem Datensicherheitskonzept nach, dass er bei Diensten der Schutzklasse 2 die Verschlüsselungstechniken durch geeignete technische Tests geprüft hat.


Nr. 2.10 – Getrennte Verarbeitung (Art. 5 Abs. 1 lit. b i.V.m. Art. 24, 25, 32 Abs. 1 lit. b und Abs. 2 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter verarbeitet die Daten des Cloud-Nutzers logisch oder physisch getrennt von den Datenbeständen anderer Cloud-Nutzer und von anderen Datenbeständen des Cloud-Anbieters und ermöglicht dem Cloud-Nutzer, die Datenverarbeitung nach verschiedenen Verarbeitungszwecken zu trennen (sichere Mandantentrennung).
  2. Die Datentrennung muss im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter gewahrt sein. Der Cloud-Anbieter realisiert einen Mindestschutz, der vorsätzliche Verstöße gegen das Trennungsgebot verhindert.

 

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter bietet gegen zu erwartende vorsätzliche Verstöße einen Schutz, der diese hinreichend sicher ausschließt. Dazu gehören im Rahmen der Datenspeicherung die Verschlüsselung mit individuellen Schlüsseln und die Verwendung getrennter Betriebsumgebungen für verschiedene Verarbeitungen oder der Einsatz gleichwertiger Verfahren. Der Cloud-Anbieter kann vorsätzliche Verstöße gegen das Trennungsgebot im Regelfall (nachträglich) feststellen, z.B. durch Protokollierung der Zugriffe.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Der Cloud-Anbieter schließt eine Verletzung der Datentrennung hinreichend sicher aus. Dazu gehören im Rahmen der Datenspeicherung die Verschlüsselung mit getrennten Schlüsseln und die Verwendung getrennter Betriebsumgebungen für verschiedene Verarbeitungen oder der Einsatz gleichwertiger Verfahren. Er betreibt ein Verfahren zur Erkennung von vorsätzlichen Verstößen gegen die getrennte Verarbeitung.

 

Erläuterung
Das Kriterium fördert das Gewährleistungsziel der Verfügbarkeit, Integrität, Vertraulichkeit und Nichtverkettung und zielt damit auch auf die Sicherstellung des Zweckbindungsgrundsatzes aus Art. 5 Abs. 1 lit. b DSGVO. Eine sichere Mandantentrennung schützt die Daten vor unbefugtem Zugang, Veränderungen und Vernichtung und verhindert eine unerwünschte Verkettung der Daten.

 

Hinsichtlich der Trennung der Datenverarbeitung nach verschiedenen Verarbeitungszwecken ist zu beachten, dass der Cloud-Anbieter lediglich die technische Möglichkeit der getrennten Verarbeitung bieten muss, während die Umsetzung der getrennten Datenverarbeitung nach Verarbeitungszwecken dem Cloud-Nutzer obliegt.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27002 Ziff. 12.1.4, 13.1.3 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, welche TOM er ergriffen hat, um die Daten unterschiedlicher Nutzer voneinander zu trennen und die Daten eines Nutzers nach den Verarbeitungszwecken trennen zu können.


Nr. 2.11– Wiederherstellbarkeit nach physischem oder technischem Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch risikoangemessene TOM sicher, dass nach einem physischen oder technischen Zwischenfall der Cloud-Dienst und die Daten so rasch wiederhergestellt werden und verfügbar sind, wie es in der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung vereinbart ist. Hierbei wird zwischen den Wiederherstellbarkeitsklassen 1, 2 und 3 unterschieden:

    Wiederherstellbarkeitsklasse 1
    Der Cloud-Anbieter sichert seinen Dienst gegen zu erwartende, naheliegende Ereignisse so zuverlässig ab, dass diese Risiken bei normalem Verlauf nicht zu einem Ausfall des Cloud-Dienstes oder einem endgültigen Datenverlust führen. Ereignisse sind zu erwartend und naheliegend, wenn sie nicht vorkommen sollen, nach der Lebenserfahrung aber trotz hinreichender Vorsicht nicht ausgeschlossen werden können, wie etwa Unfälle im Straßenverkehr oder der technische Defekt von Hardware.

    Wiederherstellbarkeitsklasse 2
    Der Cloud-Anbieter sichert seinen Dienst gegen seltene Ereignisse so zuverlässig ab, dass diese Risiken bei normalem Verlauf der Datenverarbeitung nicht zu einem Ausfall des Cloud-Dienstes oder einem endgültigen Datenverlust führen. Ereignisse sind selten, wenn sie nicht vorkommen sollen und nach der Lebenserfahrung bei hinreichender Vorsicht wenig wahrscheinlich, aber gleichwohl in einigen Fällen zu beobachten sind, wie etwa „Jahrhunderthochwasser“ oder gezielte, umfangreiche Angriffe auf den Cloud-Dienst oder ein plötzlich erhöhtes Zugriffsvolumen.

    Wiederherstellbarkeitsklasse 3
    Der Cloud-Anbieter gewährleistet für seinen Dienst einen hohen Schutz zu, der außergewöhnliche, aber nicht als theoretisch auszuschließende Ereignisse so zuverlässig absichert, dass diese Risiken bei normalem Verlauf der Datenverarbeitung nicht zu einem Ausfall des Cloud-Dienstes oder einem endgültigen Datenverlust führen. Ereignisse sind außergewöhnlich, aber nicht als theoretisch auszuschließen, wenn sie nicht vorkommen sollen und nach der Lebenserfahrung nicht auftreten, aber gleichwohl in extrem seltenen Einzelfällen zu beobachten sind, wie etwa „Black Swan“-Ereignisse oder ein unkontrollierbarer Blitzeinschlag ins Rechenzentrum.

  2. Der Cloud-Anbieter stellt dem Cloud-Nutzer sein Konzept der geeigneten TOM auf Anfrage zur Verfügung.

 

Erläuterung
Das Kriterium fördert das Gewährleistungsziel der Verfügbarkeit. Gemäß Art. 32 Abs. 1 lit. c DSGVO muss die Wiederherstellung „rasch“ erfolgen. Was als „rasch“ gilt, hängt auch von der Schwere des Zwischenfalls und der Bedeutung der Systeme und Daten ab. Der Cloud-Nutzer muss wählen können, welcher Wiederherstellungszeitraum ihm ausreicht. Z.B. sind an die Wiederherstellbarkeit des Dienstes und der Daten im Krankenhaus strengere Anforderungen zu stellen als an die im Datenarchiv.

 

Da die Verfügbarkeit von Diensten und personenbezogenen Daten nicht notwendigerweise mit ihrer Schutzbedürftigkeit nach dem Schutzklassenkonzept zusammenfallen muss, sondern auf der Seite des Cloud-Nutzers auch das Erfordernis bestehen kann, dass personenbezogene Daten der Schutzklasse 1 nach einem physischen oder technischen Zwischenfall sehr schnell wiederhergestellt sein müssen, wird bei diesem Kriterium nicht nach den Schutzklassen unterschieden. Stattdessen wird die Möglichkeit der Wiederherstellung in den Wiederherstellbarkeitsklassen 1, 2 und 3 ausgedrückt. Für eine Differenzierung spricht auch, dass es bei der Wiederherstellung nach einem physischen oder technischen Zwischenfall nicht wie bei den anderen Kriterien der Nummer 2 um den Normalbetrieb geht, sondern um physische oder technische Störfälle.

 

Als Ereignisse gelten Naturereignisse, Störungen der Infrastruktur sowie Betriebsstörungen, Bedienungsfehler oder vorsätzliche Eingriffe.

 

Umsetzungshinweis
Zur Wiederherstellung von Daten und Systemen sollte ein Cloud-Anbieter ein wirksames Datensicherungskonzept erstellen, in dem er Systeme zu Datensicherungen, ein Notfallmanagement, Pläne zur Wiederherstellung und zur Schadensbegrenzung sowie einen Plan zur regelmäßigen Überprüfung und Aktualisierung der vorgesehenen Maßnahmen vorsieht.

Es sollten regelmäßig Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen, Transaktionshistorien u. ä. gemäß einem Datensicherungskonzept angefertigt werden. Hierin sollten auch Aufbewahrungs- und Schutzanforderungen festgelegt werden. Für die Aufstellung eines Datensicherungskonzepts sind die Umsetzungshinweise aus ISO/IEC 27018 Ziff. 12.3.1, A.10.3 anwendbar.

Die Datensicherungsstrategien und -maßnahmen des Datensicherungskonzepts sollten für Cloud-Nutzer transparent definiert werden, sodass alle Informationen nachvollziehbar sind, einschließlich Umfang, Speicherintervallen, Speicherzeitpunkten und Speicherdauern.

Neben der Erstellung von Sicherheitskopien sollte der Cloud-Anbieter ein Notfallmanagement mit entsprechenden Notfallplänen etablieren. Dabei gilt es unter anderem, mögliche Unterbrechungen zu identifizieren und zu bewerten, sodass Pläne zur Wiederherstellung und Schadensbegrenzung entwickelt und im Notfall eingesetzt werden können. Die entwickelten Notfallpläne sind fortlaufend zu aktualisieren und auf ihre Wirksamkeit zu testen, um bei einem Eintritt einer Unterbrechung eine möglichst schnelle Reaktion sicherzustellen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, welche Wiederherstellbarkeitszeiten sein Dienst bietet, mit welchen Ereignissen er sich auseinandergesetzt hat, die zu einem physischen, organisatorischen oder technischen Zwischenfall führen können, und welche konkreten Maßnahmen zur Wiederherstellbarkeit der Daten nach einem Zwischenfall er ergriffen hat.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr