Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit „Criteria enabling Cloud Computing Autonomy“ (C3A) ein neues Framework veröffentlicht. Ziel ist, erstmals objektive und überprüfbare Kriterien für eine selbstbestimmte Nutzung von Cloud-Diensten bereitzustellen. Damit ergänzt der Kriterienkatalog den bestehenden C5-Ansatz und setzt einen neuen Maßstab für Cloud-Governance, die technische, organisatorische und vertragliche Aspekte der Cloud-Nutzung stärker überprüfbar macht.
Der Hintergrund ist eine verschärfte Bedrohungslage im Cyberraum. Neben klassischem, finanziell motiviertem Cyber Crime und staatlich gelenkten Angriffen rückt eine dritte Dimension in den Fokus: Cyber Dominance. Gemeint ist das Risiko, dass Technologieanbieter aufgrund ihrer Markt- und Systemposition dauerhaft Zugriff auf Kundensysteme und -daten behalten können. Für Organisationen in Deutschland und Europa, die Cloud-Dienste intensiv einsetzen, bedeutet das eine besondere Abhängigkeit von Herstellern und deren Zugriffsmöglichkeiten.
Mit C3A will das BSI daher Mechanismen und Anforderungen so operationalisieren, dass Cloud-Nutzung nicht nur als „vertrauensbasiert“, sondern anhand klarer Kriterien bewertbar und auditierbar wird. Für IT-Sicherheitsexpertinnen und -experten ist das besonders relevant, weil es die Diskussion um Souveränität und Kontrolle über Daten sowie Systeme messbar und nachvollziehbar weiterentwickelt.
Quelle: security-insider.de