Der Kriterienkatalog #C5 spezifiziert Mindestanforderungen an sicheres #Cloud Computing - die dazugehörige Kreuzreferenztabelle soll helfen, in einer ersten Annäherung zu verstehen, inwiefern sich die C5-Kriterien mit den in anderen Standards definierten Kriterien überschneiden. Wir haben eine neue Version der Kreuzreferenztabelle veröffentlicht, welche den C5:2020 auf die ISO-Norm 27001:2022 referenziert.

https://www.bsi.bund.de/dok/13368652

#VirtualisierungUndCloudSicherheit #DeutschlandDigitalSicherBSI

#Kubernetes ist eine weit verbreitete Plattform für die Orchestrierung von Container-basierten Diensten. Für den sicheren Einsatz ist es wichtig, durch geeignetes Logging & Monitoring Angriffe zu erkennen. Wir veröffentlichen hierfür als Mitglied der Allianz für Cyber-Sicherheit eine Konzeptarbeit zum Aufbau einer Logging-Infrastruktur zur Detektion von Angriffen angelehnt an das MITRE ATT&CK Framework.

👉 https://www.bsi.bund.de/dok/1090494

#VirtualisierungUndCloudSicherheit #DeutschlandDigitalSicherBSI

Im Cloud Computing spielt die genaue Lokation, also aus welchen Ländern und Regionen Dienste erbracht, Daten gespeichert und verarbeitet, oder Support-Anfragen bearbeitet werden, eine große Rolle für Aspekte wie Compliance-Vorgaben oder Georedundanz.

Bereits bei der Auswahl eines Cloud-Anbieters sollen die möglichen Lokationen berücksichtigt werden. Angaben aus #C5-Berichten können hier unterstützen: https://bsi.bund.de/C5

#VirtualisierungUndCloudSicherheit #BSI #DeutschlandDigitalSicherBSI

Zu einer erfolgreichen und sicheren Cloud-Nutzung gehört die Berücksichtigung ihres gesamten Lebensszyklus.

Über Planungs-, Beschaffungs-, Einsatz- und Beendigungsphasen sollte sich bereits initial detailliert Gedanken gemacht und eine klare Cloud-Strategie erstellt werden. Denn auch Aspekte wie Datenlöschung oder Portabilität (zum Beispiel durch offene Formate) gehören zu den Auswahlkriterien für Cloud-Anbieter.

#VirtualisierungUndCloudSicherheit #BSI #DeutschlandDigitalSicherBSI

Die Cloud Security Alliance veröffentlichte am 7. Juni 2022 ihren »Top Threats to Cloud Computing Report«, der die elf größten Sicherheitsprobleme im Cloud Computing für 2022 darstellt: https://cloudsecurityalliance.org/press-releases/2022/06/07/cloud-security-alliance-s-top-threats-to-cloud-computing-pandemic-11-report-finds-traditional-cloud-security-issues-becoming-less-concerning/

Bei fast allen Punkten liegt die Verantwortung für die IT-Sicherheit teilweise bis vollständig im Einflussbereich der Cloud-Kunden. Hier zeigt sich, wie wichtig ein gutes Cloud-Verständnis für eine sichere Cloud-Nutzung ist.

#VirtualisierungUndCloudSicherheit #DeutschlandDigitalSicherBSI

Ein im April 2022 beobachteter DDoS-Angriff mit mehr als 15 Millionen HTTPS-Anfragen pro Sekunde zeigte, dass ein großer Teil dieser Anfragen aus Netzen von Cloud-Anbietern stammte: Auch Cloud-Technik wird auch immer häufiger selbst für IT-Angriffe missbraucht.

Cloud-Anbieter stehen in der Pflicht, das missbräuchliche Anlegen von Nutzerkonten über geeignete Prozesse zu unterbinden, um nicht Teil solcher Angriffe zu werden.

#VirtualisierungUndCloudSicherheit #BSI #DeutschlandDigitalSicherBSI

Wie bei jedem IT-Vorhaben ist es auch bei der Nutzung von Cloud-Diensten wichtig eine Strategie zu definieren. Neben den funktionalen Anforderungen sollten dabei auch ein IT-Sicherheitskonzept und für Firmen und Behörden Compliance-Vorgaben berücksichtigt werden.
Unbedingt sollte schon am Anfang das Ende der Nutzung geplant werden. Hierbei muss klar sein, wie Daten zurück oder in andere Cloud-Dienste migriert werden können.

#VirtualisierungUndCloudSicherheit #BSI #DeutschlandDigitalSicherBSI

Schwachstellen in #Cloud-Diensten

In letzter Zeit sind vermehrt Schwachstellen in Cloud-Diensten bekannt geworden. Das #BSI empfiehlt, regelmäßig auf entsprechende Hinweise zu achten. Wenn ein genutzter Dienst betroffen ist, müssen unmittelbar die Empfehlungen und Vorgaben des Anbieters umgesetzt werden.
Hier elf Tipps des BSI, die für eine sichere Nutzung von Cloud-Diensten beachtet werden sollten: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Brosch_A6_Cloud_Computing.pdf

#VirtualisierungUndCloudSicherheit #DeutschlandDigitalSicherBSI

#BSI aktualisiert Mindeststandard zur Nutzung externer Cloud-Dienste

Die nun veröffentlichte Version 2.0 wurde an den aktuellen Kriterienkatalog Cloud Computing (#C5 :2020) und das #ITGrundschutz Kompendium (Edition 2021) angepasst. Darüber hinaus wurden unter anderem die Rahmenbedingungen für die Cloud-Diensterbringung konkretisiert.

👉 https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Externe_Cloud-Dienste/Externe_Cloud-Dienste_node.html

#VirtualisierungUndCloudSicherheit #DeutschlandDigitalSicherBSI

Brauchen sich IT-Nutzende nicht mehr selbst um ihre Sicherheit zu kümmern, wenn sie Cloud-Dienste verwenden?

Natürlich sind Cloud-Nutzende auch weiterhin für die Absicherung verantwortlich.
Doch diese Verantwortung können sie sich mit den Anbietenden ihrer Dienste teilen!

Cloud-Nutzende können ihre Rechte und Pflichten aus dem Grundschutzbaustein »OPS.2.2 Cloud-Nutzung« des #BSI sowie dem BSI-Kritierienkatalog #C5 ableiten.

#VirtualisierungUndCloudSicherheit #DeutschlandDigitalSicherBSI

Cubbit basiert auf einer guten Idee. Das #BSI begrüßt solche Ansätze.
Für den Einsatz im Business-Umfeld ist allerdings erforderlich, dass bestimmte Compliance-Anforderungen erfüllt sind. Hier müsste untersucht werden, wie Cubbit diese Anforderungen erfüllt, bevor eine Aussage dazu getroffen werden kann.

#VirtualisierungUndCloudSicherheit #DeutschlandDigitalSicherBSI

Web-Seite zum Herunterladen des Kriterienkatalogs C5 zur Bewertung der IT-Sicherheit von Cloud-Diensten: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020.pdf

#VirtualisierungUndCloudSicherheit #C5 #BSI #DeutschlandDigitalSicherBSI

Sind Cloud-Dienste sicher?

Der Kriterienkatalog C5 des BSI definiert Sicherheitsziele, die Cloud-Anbieter mindestens erfüllen sollten, um ihre angebotenen Dienste grundlegend abzusichern.
Über ein Testat nach ISAE 3000 kann nachgewiesen werden, dass die im C5 festgelegten Kriterien ausreichend erfüllt sind.
Kunden können hiermit der Sicherheitsstand eines Cloud-Dienstes sowie eigene Mitwirkungspflichten aufgezeigt werden.

#VirtualisierungUndCloudSicherheit #C5 #BSI #DeutschlandDigitalSicherBSI