Neuer ENISA-Leitfaden zur Kontrolle von Cloud-Computing-Verträgen

Die Publikation stützt sich auf Vorarbeiten der ENISA aus dem Jahr 2009, als die Agentur Anweisungen und Werkzeuge für IT-Teams veröffentlichte, um die Sicherheit von Anbietern zu beurteilen, bevor die Entscheidung für eine Cloud getroffen wird. Mit dem neuen Leitfaden geht die ENISA nun einen Schritt weiter: sie erklärt, wie sich die Sicherheit von Cloud-Diensten über die komplette Dauer eines Projektes sicherstellen lässt. Das neue Handbuch konzentriert sich auf öffentliche Beschaffung, die annähernd 20% des Bruttoinlandsprodukts der EU ausmacht, etwa 2,2 Billionen Euro [Quelle: Eurostat 2009].

Professor Udo Helmbrecht, Geschäftsführender Direktor der ENISA, kommentiert: „Die Bürger Europas vertrauen darauf, dass öffentliche und private Institutionen unsere Daten sicher halten. Da immer mehr Organisationen zum Cloud Computing wechseln, gibt die ENISA nun zum richtigen Zeitpunkt die Richtung vor in einem Gebiet, das für viele Beschaffer völliges Neuland ist.“

Wie eine aktuelle Studie der ENISA zu Service-Level-Agreements (SLAs) zeigt, bekommen IT-Verantwortliche in öffentlichen Institutionen kaum Feedback zu wichtigen Sicherheitsfaktoren, wie zum Beispiel die Serviceverfügbarkeit oder Anfälligkeit der Software. Das Handbuch zur sicheren Beschaffung hilft Nutzern, die Sicherheit regelmäßig zu überprüfen. „Der Leitfaden der ENISA stellt die Nutzung von durchgehendem Sicherheitsmonitoring in den Mittelpunkt, in Ergänzung zum Zertifizierungs- und Akkreditierungsprozess,“ sagt Dr. Giles Hogben, Herausgeber des Berichts.

Zum Leitfaden der ENISA gehört auch eine Checkliste für Beschaffungsteams sowie eine detaillierte Beschreibung jedes Sicherheitsparameters, was zu messen ist und wie. Die relevanten Sicherheitsparameter sind: Serviceverfügbarkeit, Reaktionsfähigkeit auf Zwischenfälle, Serviceflexibilität und Lasttoleranz, Data Lifecycle Management, Management von Nutzungsvereinbarkeit und Verletzbarkeit, Change Management, Datenisolierung sowie Log-Management und Forensik.

Dieser Leitfaden ergänzt eine Reihe von Texten zur Cloud-Sicherheit, die die ENISA bereits veröffentlicht hat, darunter der weit verbreitete Bericht Cloud Computing: Vorteile, Risiken und Empfehlungen für die Informationssicherheit.

www.enisa.europa.eu

Neueste Artikel

Ein neuer Digitaler Ausweis-Service ermöglicht die vollautomatisierte Identifikation und Legitimierung von Sparkassen-Kunden innerhalb kürzester Zeit. Entwickelt wurde der Service von der S-Markt & Mehrwert. Die Pilotierung und Einführung wird…

Der Vorsitzende des IT-Planungsrates und der Hauptgeschäftsführer des Bankenverbandes sowie die Geschäftsführer von Bank-Verlag und Governikus vereinbaren intensiven Informationsaustausch der beiden Branchen.

Nach der Hauptversammlung vom 29. April 2019 berief der Aufsichtsrat auf seiner Sitzung am 9. Mai Massimo Sarmi zum Vizepräsidenten des Aufsichtsrats. Zugleich wurde Nicola Cordone als Vorstandsvorsitzender (CEO) des…