Die Migration zur Cloud ist allgegenwärtig. Sie wird inzwischen in allen Branchen, auch in denen mit höchster Geheimhaltungsstufe, genutzt und die Menge an Daten und Anwendungen in der Cloud nimmt stetig zu. Aber die Cloud hat auch etwas Beunruhigendes. Der Hauptrisikofaktor ergibt sich nach Angaben von 51 % der IT-Verantwortlichen, die anlässlich der vor kurzem vorgelegten achten Ausgabe des Jahresbarometers des „Club des Experts de la Sécurité de l’Information et du Numérique“ (CESIN) befragt wurden, aus der Tatsache, dass sie keine Kontrolle über die Unterauftragnehmer des Datenhosts haben.
Geheimhaltung sensibler Daten: ein Problem der nationalen Souveränität
Vor diesem Hintergrund ist die Auflistung aller sensiblen Informationen von größter Bedeutung.
Es gibt 4 Geheimhaltungsstufen für die Einstufung von Daten:
- Keine Einstufung: Dieser Vermerk gilt nur für Informationen, die außerhalb eines bestimmten Kreises frei zirkulieren können und keine besonderen Schutzmaßnahmen erfordern.
- Nur für den Dienstgebrauch: Es handelt sich um die Standardstufe, die alle Informationen umfasst, welche innerhalb eines bestimmten Kreises frei zirkulieren können.
- Eingeschränkte Verteilung („Diffusion Restreinte – DR“): Dabei handelt es sich nicht um eine Geheimhaltungsstufe, sondern um einen Sicherheitshinweis. Ziel ist, den Nutzer auf die notwendige Diskretion bei der Verarbeitung dieser Daten hinzuweisen.
- Geheim: Diese Stufe gilt für Informationen, deren Offenlegung gegenüber unbefugten Personen die strategischen Interessen der Organisation, ihre Sicherheit oder sogar ihre Existenz bedrohen könnte.
Die Grenzen der Eingeschränkten Verteilung („DR“)
Die Interministerielle Anweisung Nr. 901/SGDSN/ANSSI (II 901) vom 28. Januar 2015 legt die Ziele und minimalen Sicherheitsvorkehrungen zum Schutz sensibler Informationen fest, insbesondere in Bezug auf die Eingeschränkte Verteilung („DR“).
Um eine Eingeschränkte Verbreitung („DR“) umzusetzen, ist eine Ad-hoc–Zulassung erforderlich, die eine Analyse der Restrisiken voraussetzt. Der Hinweis, dass Dokumente mit „Eingeschränkter Verteilung“ verwendet werden, reicht also nicht aus, damit ein Service als „DR-compliant“, das heißt mit der Eingeschränkten Verteilung konform anerkannt wird.
Ein Dienstleister, dessen Infrastruktur über eine DR-Zulassung für Eingeschränkte Verteilung verfügt, kann diese nicht an seine Kunden weitergeben. Das Unternehmen als Zulassungsstelle muss selbst den Zulassungsprozess im jeweiligen Kontext festlegen. Die Dauer dieser Zulassung wird von der Zulassungsstelle bestimmt (ein bis maximal drei Jahre, da sich der Geheimhaltungsgrad einer Information im Laufe des Zeit ändern kann).
Zur Unterstützung der betroffenen Behörden und Organisationen hat die französische Agentur für die Sicherheit von Informationssystemen ANSSI einen Leitfaden veröffentlicht, der im Einzelnen erläutert, wie Informationssysteme aufzubauen sind, die Informationen der Geheimhaltungsstufe „Eingeschränkte Verbreitung“ verarbeiten.
Die Umsetzung bleibt mit 21 Artikeln und etwas 190 Maßnahmen komplex!
Aber vor allem befasst sich die II 901 nicht mit der Problematik des Schutzes von Daten mit „Eingeschränkter Verbreitung“, wenn sie in einer Cloud gehostet werden, da diese Lösung 2015 noch nicht sehr weit verbreitet war.
Die Vorteile einer SecNumCloud-Qualifikation
Da raffinierte Cyberangriffe immer häufiger auftreten, ist es unerlässlich, in der Cloud gehostete Daten zu schützen. Das Regelwerk SecNumCloud, das 2015 im Rahmen einer Versuchsphase mit der Bezeichnung SecureCloud ins Leben gerufen wurde, zielt darauf ab, Cloud-Angebote mit hohem Sicherheitsniveau zu fördern.
Durch die Einhaltung der Anforderungen des Regelwerks SecNumCloud soll ein Sicherheitsniveau für die Archivierung und Verarbeitung von Daten erreicht werden, bei denen ein Sicherheitsvorfall nur begrenzte Folgen für den Auftraggeber hätte.
Um dieses Regelwerk zu erfüllen, müssen Unternehmen im Bereich Cloud Computing zahlreiche Sicherheitselemente einrichten und verstärken, unabhängig davon, ob es um die physische, organisatorische oder vertragliche Sicherheit geht. Seit Januar 2019 ist Oodrive das erste Unternehmen, das für alle seine Private-Cloud-Angebote über eine SecNumCloud-Qualifikation verfügt. Eine Anerkennung seiner vor mehreren Jahren eingeleiteten Qualitäts- und Sicherheitspolitik. Derzeit ist kein Cloud-Service des Typs SaaS mit Ausnahme von Oodrive offiziell für diese Aufgabe zugelassen.
Sind die „DR“-Zulassung (für „Eingeschränkte Verbreitung“) und die SecNumCloud-Qualifikation kompatibel?
Nehmen wir den Fall eines großen Konzerns der Energiebranche, der seine Daten mit eingeschränkter Verbreitung („DR“) schützen und eine Cloud-Infrastruktur einrichten will. Wie bereits weiter oben erläutert, muss er seine eigene „DR“-Zulassung verwalten, die die von einem Dritten erbrachten Dienstleistungen berücksichtigt. Letzterer muss eine Reihe von Garantien beibringen.
Für diesen großen Konzern geht es einfacher und schneller, wenn er sich an einen Dienstleister mit SecNumCloud-Zertifizierung wendet. Diese Zertifizierung garantiert, dass nicht nur der SaaS-Service, sondern auch die Prozesse, der Kontext und die Verträge sowie die Servicevereinbarungen qualifiziert sind.
Mit SecNumCloud erhält der Kunde einen qualifizierten Service, der von Anfang bis Ende geprüft wurde. Im Rahmen des Audits werden alle diese Aspekte behandelt. Diese Vorgehensweise erleichtert die Risikoanalyse der Daten mit eingeschränkter Verbreitung („DR“).
Die Sicherheit des eigenen IT-Systems verstärken
Die SecNumCloud-Qualifikation dient dazu, die Sicherheit bei der Verarbeitung von Daten mit eingeschränkter Verbreitung („DR“) in der Cloud zu gewährleisten. Doch die Unternehmen müssen auch ihre eigene Sicherheitspolitik verbessern, um der zunehmenden Verbreitung digitaler Bedrohungen Rechnung zu tragen.
Der zurzeit in Ausarbeitung befindliche europäische Verordnungsentwurf DORA (Digital Operational Resilience Act)
soll dazu beitragen, die Regeln zum Umgang mit Cyberrisiken in Europa zu vereinheitlichen. Im Hinblick auf das IT-Sicherheitsrisikomanagement sieht die Verordnung eine offizielle Aufstellung der IT-Bestände und der damit verbundenen Risiken vor sowie ein angemessenes Governance-System für das Cyber-Risikomanagement.