BSI veröffentlicht Leitfaden für Cloud-Lösungen im Geheimschutzkontext

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen umfassenden Leitfaden zum Einsatz von Cloud-Technologien bei der Verarbeitung von Verschlusssachen in der Bundesverwaltung herausgegeben. Das Dokument adressiert die zunehmende Notwendigkeit, Effizienzpotenziale und Skalierbarkeit von Cloud-Diensten auch im sensiblen Geheimschutzbereich zu nutzen.

Rechtlicher Rahmen und technische Anforderungen

Der Leitfaden basiert auf der Verschlusssachenanweisung (VSA) des Bundes und fokussiert primär auf den Geheimhaltungsgrad VS-Nur für den Dienstgebrauch (VS-NfD). Zentral ist das Zusammenspiel zweier Prozesse: die Freigabe von Cloud-Architekturen als VS-IT sowie die Zulassung sicherheitsrelevanter IT-Produkte innerhalb dieser Systeme. Dabei müssen neben der VSA auch Standards wie IT-Grundschutz, der Mindeststandard zur Nutzung externer Cloud-Dienste (MST-NCD) und der Kriterienkatalog C5 berücksichtigt werden.

Die Sicherheit von VS-Cloud-Architekturen erfordert einen ganzheitlichen Ansatz unter Beachtung des Shared-Responsibility-Prinzips zwischen Dienststelle und Cloud Service Provider. Nicht alle Risiken lassen sich technisch eliminieren – daher ist ein systematisches Risikomanagement nach § 8a VSA erforderlich.

Freigabeszenarien nach Bereitstellungsmodellen

Der Leitfaden unterscheidet acht konkrete Szenarien, die sich nach Bereitstellungsmodell (Private, Community, Public Cloud), Standort, Betreiber und Nutzerkreis differenzieren. Bei Private Clouds im eigenen Rechenzentrum oder bei Bundesdienstleistern kann häufig auf bewährte Perimeterschutzkonzepte zurückgegriffen werden. Community Clouds erfordern zusätzlich Trennungsmechanismen zwischen verschiedenen Nutzern, während Public Clouds einen datenzentrischen Sicherheitsansatz mit Security Enforcing Services (SES) voraussetzen.

Besonders komplex gestaltet sich die Verarbeitung von VS in Public Clouds: Hier ist eine klassische Perimetersicherung nicht mehr möglich. Stattdessen müssen SES den Schutz in den Phasen Data at Rest, Data in Transit und Data in Use gewährleisten. Zudem ist eine sicherheitspolitische Einzelfallbewertung erforderlich, welchem Recht der CSP unterliegt und ob ausländische Zugriffsmöglichkeiten bestehen.

Zulassungspflicht und praktisches Vorgehen

Die Identifikation zulassungspflichtiger IT-Sicherheitsprodukte erfolgt anhand eines Entscheidungsbaums unter Berücksichtigung von Nutzerkreis und Betreibervertrauen. Bei fehlendem Vertrauen in den CSP sind technische Mechanismen wie Verschlüsselung, Confidential Computing oder abgeschottete virtuelle Umgebungen zwingend erforderlich. Der Freigabeprozess umfasst neben der initialen Prüfung auch fortlaufende Aufgaben wie Auflagenmanagement und die Bewertung geheimschutzrelevanter Änderungen während des Betriebs.

(Foto: kohlerphoto – stock.adobe.com)