SaaS Sicherheitsprofil für ein CRM System
22
SaaS Sicherheitsprofil für ein CRM System Teil 3: Sicherheitsmaßnahmen für das CRM SaaS Modell
Transcript of SaaS Sicherheitsprofil für ein CRM System
Sicherheitsprofil SaaS CRM Teil 3 SicherheitsmaßnahmenTeil 3:
Sicherheitsmaßnahmen für das CRM SaaS Modell
CSC Deutschland Solutions GmbH Abraham-Lincoln Park 1 65189 Wiesbaden www.csc.com/de
Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn E-Mail: [email protected] Internet: https://www.bsi.bund.de/cloud © Bundesamt für Sicherheit in der Informationstechnik 2014
Einleitung 1
1 Einleitung In Teil 2 dieses Dokuments wurden für ein als Software-as-a-Service in einer Cloud Computing Umgebung zur Verfügung gestelltes CRMS dreizehn wichtige Bedrohungen für die Schichten des IETF Cloud Stacks identifiziert beschrieben und in Form von „Steckbriefen“ detailliert beschrieben:
• für das Access & Delivery Layer: • Spoofing, • Tampering, • Repudiation, • Information Disclosure, • Denial of Service und • Elevation of Privilege,
• für das Cloud Service Layer: • Tampering und • Information Disclosure
• für die Cloud Management Plane: • Tampering und • Elevation of Privilege
• für das Cloud Ressource & Orchestration Layer: • Information Disclosure und • Denial of Service
• für die Kommunikation des Serviceabonnenten mit der Access & Delivery Layer • Denial of Service.
Das vorliegende Dokument Teil 3 des Sicherheitsprofils für ein SaaS CRM System beschreibt Sicherheits maßnahmen organisatorischer, technischer und personeller Natur, die geeignet sind, den in Teil 2 ge nannten Bedrohungen entgegen zu wirken. Übergreifende Bedeutung haben dabei Maßnahmen, die Kommunikation mit der Cloud sowie die Verarbeitung und Speicherung von Daten in den Schichten des Cloud Stacks in besonderer Weise zu schützen. Dazu gehören:
• die zuverlässige Kennzeichnung (Attribuierung) von Informationen und Daten gemäß der durch den Serviceabonnenten definierten Schutzbedürftigkeit,
• die strikte Trennung des Zugangs und des Zugriffs auf Informationen und Daten verschiedener Mandanten
• die strikte Trennung des Zugangs und des Zugriffs auf Informationen und Daten durch die End nutzer eines gemäß dem festgelegten Schutzbedarf und den Endnutzern zugewiesenen Zugriffs rechten,
• sichere und nicht zu umgehende Authentifikationsprozesse zur Verhinderung einer Eskalation von Zugriffsrechten,
• die sichere Konfiguration der in der Bereitstellung des Service involvierten Komponenten des Cloud Stacks sowie
• die strikte und sichere Segmentierung virtueller und physischer Ressourcen.
Jede Maßnahme wird in Anlehnung an [RFC2119] explizit als verpflichtend, empfohlen oder als optional spezifiziert und den Bedrohungsklassen nach dem STRIDE Modell zugeordnet.
• Verpflichtende Anforderungen (MUSS-Anforderungen), sind Anforderungen, deren Umsetzung zwingend gefordert wird. Sie sind im Text mit den Worten muss (müssen) / ist (sind) / darf (dürfen) nur / darf (dürfen) nicht, ausgezeichnet.
Bundesamt für Sicherheit in der Informationstechnik 5
1 Einleitung
STRIDE ist ein Akronym und steht für Spoofing (nachahmen, vortäuschen einer Identität), Tampering (fälschen, manipulieren von Daten), Repudiation (abstreiten einer Handlung), Information Disclosure (aufdecken, veröffentlichen von Informationen), Denial of Service (Dienstverweigerung) und Elevation Privilege (unzulässige Erweitering von Rechten). STRIDE wurde 2002 von Microsoft für die Klassifizierung von Angriffsmustern entwickelt.
In Teil 4 dieses Dokumentes werden die Sicherheitsmaßnahmen in einer Kreuzreferenztabelle auf die Be drohungen abgebildet. Auf diese Weise lässt sich nachvollziehen, inwieweit durch die Sicherheitsmaß nahmen eine Abdeckung und damit auch eine erfolgreiche Abwehr der aufgezeigten Bedrohungen möglich wird.
6 Bundesamt für Sicherheit in der Informationstechnik
2 Sicherheitsmaßnahmen
M1.01 Informations- und Sicherheitsmanagement M1.01-1 Der Cloud Service Provider muss über formale und dokumentierte Sicherheitsrichtlinien ver fügen. Die Sicherheitsrichtlinien müssen Ziele, Geltungsbereiche, Rollen und Verantwortlichkeiten, die Koordination unterschiedlicher Unternehmensbereiche, Sicherheitsarchitekturen und -maßnahmen zum Schutz von Daten, IT-Systemen und IT-Infrastrukturen, sowie Maßnahmen zur Einhaltung rechtlicher An forderungen (Compliance) beschreiben.
M1.01-2 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) IAM, Zutritts-, Zugangs- und Zugriffskontrolle: In Zusammenarbeit bzw. nach den Vorgaben des Serviceabonnenten muss ein Konzept zur Kontrolle und zur Steuerung von Zugriffsrechten (Identity & Access Management), auf die Funktionen des Cloud Self-Service Portals und die Kundendaten des Serviceabonnenten (siehe M1.03-3(1)) definiert und umgesetzt werden. Zugangs- und Zugriffsberechtigungen sind nicht nur auf der Basis der Identität der Akteure festzu legen, sondern auch auf der Grundlage zusätzlicher Regeln und Eigenschaften der Komponenten und Funktionen des CRMS sowie der Zugriffsobjekte (bspw. auf der Grundlage der Klassifizierung/Ein stufung gemäß der Schutzbedarfsfeststellung des Serviceabonnenten). Das Identity & Access Management (IAM) Konzept soll eine nachvollziehbare Kombination aus zwingend erforderlichen und systemtechnisch erzwungenen Zugangs- und Zugriffskontrollen (Mandatory Access Controls) und benutzerbestimmbaren / benutzerbestimmten Zugangs- und Zu griffskontrollen (Discretionary Access Controls) abbilden und durchsetzen. Zusätzlich müssen verbind liche Regelungen zur regelmäßigen Überprüfung der Notwendigkeit und Zulässigkeit bzgl. der Auf rechterhaltung erteilter Berechtigungen festgelegt werden.
(2) Sicherheitsüberprüfungen von Personal:
Siehe M3.01
M1.01-3 Auf der Grundlage dieser Sicherheitsrichtlinien sind durch den der Cloud Service Provider
M1.01-1: Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.01-2(1): Spoofing Repudiation Information Disclosure Elevation of Privilege
M1.01-2(2): Spoofing Tampering
Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.02 Risiko- und Incidentmanagement M1.02-1 Der Cloud Service Provider muss über formale und dokumentierte Richtlinien zum Risiko management verfügen.
Die Richtlinien müssen Ziele, Geltungsbereiche, Rollen und Verantwortlichkeiten sowie Festlegungen zur regelmäßigen Analyse und Bewertung möglicher Bedrohungen von Informationen und Informations systemen und zum Umgang mit sicherheitsrelevanten Ereignissen umfassen.
M1.02-2 Auf der Grundlage dieser Richtlinien sind durch den Cloud Service Provider dokumentierte Prozesse zu etablieren, die eine angemessene Reaktion auf sicherheitsrelevante Ereignisse auslösen sowie die in den Richtlinien beschriebenen Maßnahmen zur Abwehr von Sicherheitsbedrohungen und Dokumentation durchsetzen.
M1.02-3 Der Cloud Service Provider muss dokumentierte Prozesse etablieren, welche die Umsetzung der Richtlinien durchsetzen und kontrollieren sowie ihre Wirksamkeit und Aktualität regelmäßig überprüfen und nachvollziehbar dokumentieren. Dazu gehört auch die regelmäßige Informationsbeschaffung über bekannte und neue Sicherheitslücken oder Schwachstellen, sowie dagegen anwendbare Maßnahmen, unter Nutzung unterschiedlichster, unabhängiger Quellen (bspw. Hersteller, CERT's etc.).
M1.02-4 Die Zuverlässigkeit und Angemessenheit der in den Richtlinien beschriebenen Abläufe und Maßnahmen soll durch regelmäßige Assessments vor dem Hintergrund der aktuellen Bedrohungslage überprüft werden.
M1.02: Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.03 Schutz von Informationen M1.03-1 Aufbauend auf M1.01 muss der Cloud Service Provider über formale und dokumentierte Richt linien zum Umgang mit und zum Schutz von sicherheitsrelevanten Informationen bei der Verarbeitung, dem Transport, der Migration (einschließlich der involvierten virtuellen und physischen Ressourcen), der Speicherung und der Löschung von Daten verfügen.
Dazu gehören Kundendaten, Konfigurations- und Prozessdaten der involvierten IT-Infrastruktur wie auch Protokolldaten über Aktivitäten und sicherheitsrelevante Ereignisse.
M1.03-2 Die Richtlinien müssen Ziele, Geltungsbereiche, einschließlich stufenweiser und von einander getrennter Architekturen, logischer Zonen und Bereiche, Rollen und Verantwortlichkeiten, die Einstufung des Schutzbedarfes und Festlegungen für eine in Systematik und Durchsetzung wirksame Zugriffs kontrollstrategie, mit der ein unbefugter Zutritt und Zugang zu, sowie Zugriff auf oder der Verlust von Informationen nicht unentdeckt bleibt und zuverlässig verhindert werden kann, umfassen.
M1.03-3 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Klassifizierung/Einstufung und Kennzeichnung von Informationen/Daten:
Der Cloud Service Provider muss eine eindeutige Klassifizierung/Einstufung und unverwechselbare digitale Kennzeichnung von Informationen und/oder Daten des jeweiligen Serviceabonnenten unter stützen und umsetzen.
Dabei sind sowohl die kritischen Kundendaten auf den Datenhaltungsschichten und -systemen zu be rücksichtigen, als auch die Konfigurationsdaten der involvierten Komponenten. Die Einstufung des Schutzbedarfes von Kundendaten muss in Abstimmung mit den Serviceabonnenten erfolgen.
Die Sicherheitsziele und -maßnahmen des CSP dürfen nicht zu einer Minderung von Schutzbedarfs feststellungen des Serviceabonnenten oder zur Verletzung rechtlicher Anforderungen führen.
Die unverwechselbare, digitale Kennzeichnung von Informationen und Daten soll Grundlage für die er forderliche Separierung von anderen Mandanten und externen Dritten sowie für die Trennung von Zu griffsberechtigungen bzgl. der (internen) Akteure des jeweiligen Dienstabonnenten sein.
(2) Storage Security: Die wichtigen Komponenten der Infrastruktur, die kritischen Anwendungen und Datenbestände auf Speicher-Arrays und Bändern sind so abzusichern, dass sie gegen Missbrauch und Datenkorruption geschützt sind und ein möglicher Datendiebstahl keine Folgeschäden für den betroffenen Service abonnenten/Mandanten hat. Das Storage Security Konzept des Cloud Service Providers soll sich in einem selektiven und ab gestuften Ansatz am Wert der zu sichernden Daten gemäß der Schutzbedarfsfeststellung des jeweiligen Dienstabonnenten orientieren (siehe dazu auch M1.03-3(1)). Diese Storage Security Konzept ist Bestandteil der Informationssicherheitsleitlinie des CSP und ent sprechend auf die Bedürfnisse eines jeden Serviceabonnenten/Mandanten anzuwenden. Das Konzept soll den Aufbau einer mehrstufigen Storage Security Architektur beim CSP ermöglichen, welche die Anforderungen für Data-at-Rest und Data-in-Motion berücksichtigt. Diese Anforderungen sollen unter Einsatz ausschließlich geeigneter Produkte erfolgen. Das Storage Security Konzept muss die Grundlage zur Sicherstellung und Gewährleistung der Integri tät aller schützenswerten Daten sein und eine regelmäßige Überprüfung der erforderlichen organisatorischen Maßnahmen und Prozesse festlegen.
(3) Datensicherung, Archivierung, Backup & Recovery: Zur Sicherstellung der Verfügbarkeit von Informationen bzw. zur Vermeidung von Datenverlusten, sowie der erforderlichen Integrität, sind zuverlässige Prozesse einer regelmäßigen Datensicherung (Backup) und Wiederherstellung von Daten (Recovery) etablieren.
M1.03-3(1): Spoofing Information Disclosure Elevation of Privilege
M1.03-3(2): Tampering Information Disclosure Denial of Service
M1.03-3(3): Tampering Information Disclosure
Gesetzliche sowie datenschutzrechtliche Maßgaben sind hierbei ebenso zwingend zu berücksichtigen, wie der durch den Serviceabonnenten festgelegte Schutzbedarf. Vertrauliche und besonders schutzbedürftige Daten sind vor der Sicherung so zu verschlüsseln, dass diese auch nach einem längeren Zeitraum wieder entschlüsselt und verwendet werden können. Dabei ist insbesondere eindeutig zu regeln, welche Daten wann, wie und durch wen gesichert sowie ggf. im Anschluss zu welchem Zweck und wohin transportiert werden. Maßgaben der Kennzeichnung von Information (siehe M1.03-3(1)) und der sicheren Löschung bzw. Vernichtung von Daten (siehe M1.03-3(4)) sind hierbei zwingend anzuwenden. Zusätzlich sollen diese Konzepte und Richtlinien im jeweiligen Notfallkonzept (Disaster Recovery) integriert werden.
(4) Sichere Löschung und Vernichtung von Daten:
Auf Verlangen des Serviceabonnenten oder nach Beendigung des Servicevertrages müssen sämtliche Daten des Serviceabonnenten, einschließlich der auf Backup-Systemen gespeicherten Daten, innerhalb eines vertraglich vereinbarten Zeitraums sicher auf den Speichermedien des Cloud Service Providers gelöscht werden. Die Löschung ist durch Vorlage eines Löschprotokolls zu belegen.
Anmerkung: Falls diese Löschung lediglich darin besteht, die Referenz auf die Daten zu löschen (bspw. die konkrete LUN), sollte der CSP den Abonnenten über die (durchschnittliche) Zeitdauer informieren, innerhalb derer die auf den physischen Sektoren im Speichernetz des CSP abgelegten Daten als nicht wiederherstellbar gelten dürfen. Das dafür eingesetzte Verfahren (Bspw. basierend auf dem 'National Industrial Security Program Operating Manual (NISPOM DoD 5520-22M vom Februar 2006. Bei dieser Variante, die 7 Durchläufe ausführt, (DoD 5220.22-M ECE) werden die Daten zunächst mit den 3 Durchläufen des DoD 5220.22-M (E) Standards überschrieben, danach mit einem Zufalls wert, anschließend erneut durch DoD 5220.22-M (E)). Das Verfahren und der Zeitraum sollten ver traglich festgehalten werden.
Die Löschung und Vernichtung von Daten bezieht sich auch auf Informationen bzgl. der Authentifikation und Berechtigung von Akteuren/Subjekten (siehe M1.01-2(1)). Wenn ein Mitarbeiter des CSP das Unternehmen verlässt oder der Vertrag mit Servicepartnern erlischt bzw. beendet wird, müssen Authentifikationsdaten und Berechtigungen unverzüglich gelöscht werden. Jede Löschung ist aktenkundig nachweisbar festzuhalten.
M1.03-4 Der Cloud Service Provider muss dokumentierte Prozesse etablieren, die die Umsetzung dieser Richtlinien durchsetzen, kontrollieren und ihre Wirksamkeit regelmäßig überprüfen und nachvollziehbar dokumentieren.
Denial of Service
M1.03-3(4): Tampering Information Disclosure Denial of Service
M1.04 Schutz von Informationssystemen M1.04-1 Aufbauend auf M1.01 muss der Cloud Service Provider über formale und dokumentierte Richt linien für die Identifikation und Authentifikation beim Zutritt und Zugang zu, sowie den Zugriff auf Komponenten und Systeme des Service verfügen.
M1.04-2 Die Richtlinien sollen Ziele, Geltungsbereiche, einschließlich der Gestaltung dement sprechender Infrastrukturen und physikalisch gesicherter Bereiche, die physikalische Redundanz von Systemen und Infrastrukturen umfassen. Die Richtlinien müssen Rollen und Verantwortlichkeiten, die Ko ordination unterschiedlicher Unternehmenseinheiten sowie ein in Systematik und Durchsetzbarkeit wirk sames Rollen- und Rechtekonzept beschreiben, welches einen unbefugten oder unentdeckten Zutritt und Zugang zu, sowie Zugriff auf Informationssysteme zu verhindern imstande ist.
M1.04-3 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Gesicherte Infrastruktur:
Das kann bspw. eine durch ein Sicherheitsunternehmen unter Zuhilfenahme angemessener Sicher heitssysteme – Zäune mit Sensoren und Meldegruppen sowie einer Videoüberwachung (CCTV) oder sonstige Einfriedung sein, für die mittels Mehr-Faktor Zugangskontrollsysteme (Passwort und Smart-Card, Passwort und/oder Überprüfung biometrischer Merkmale, etc.) der Zutritt nur für autorisiertes Personal ermöglicht wird.
(2) Schutz vor Schadprogrammen:
Um die Informationssysteme, einschließlich der darauf verarbeiteten bzw. gespeicherten Daten vor Schadprogrammen schützen zu können, muss der CSP vorbeugende Maßnahmen definieren sowie das Vorgehen im Fall einer Infektion mit Schadprogrammen bzw. der Feststellung von Schadprogrammen regeln.
Dabei ist sicherzustellen, dass sowohl alle relevanten organisatorischen Prozesse (bspw. Datenaus tausch mittels mobiler Datenträger), wie auch die technische Umsetzung bzgl. des Infektionsschutzes gewährleistet werden und die Verbreitung sowie die Schadenswirkung von bereits auf den Systemen befindlichen Schadprogrammen effektiv minimiert wird (zweckmäßige Definition von Gegenmaß nahmen).
Dafür ist die Planung und der Einsatz geeigneter Hardware- und Softwarekomponenten erforderlich, welche mittels eines zentralen Managementwerkzeugs verwaltet und überwacht werden können. Dieses zentrale Management soll sicherstellen, dass alle relevanten Komponenten mindestens ein Mal täglich mit aktuellen Angriffsmustern und Signaturen versorgt werden können und zugleich über eine Schnittstelle für Alarme und Meldungen zu weiteren Überwachungs- und Korrelationssystemen ver fügen.
Die im Rahmen des Schutzes vor Schadprogrammen definierten Richtlinien sollen darüber hinaus im
M1.0 4 -3(1): Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.0 4 -3(2): Spoofing Information Disclosure Denial of Service Elevation of Privilege
Konzept bzgl. der Pflege von Informationssystemen, Patches, Updates und Upgrades berücksichtigt werden, um einerseits einen präventiven Schutz gewährleisten zu können und andererseits sowie ins besondere im Rahmen von Gegenmaßnahmen auch auf bestehende Gefährdungen durch Schadprogramme reagieren zu können (bspw. durch das Schließen von Schwachstellen in einer Soft ware).
(3) Schutz vor APT (Advanced Persistent Threats):
Die Cloud-Umgebung des CSP muss gegen APT-Attacken geschützt werden. Dazu müssen geeignete Network Access Control-Mechanismen (NAC) implementiert werden, welche als (mehrstufige) Schutz zonen sich über alle in Kommunikation miteinander befindlichen Komponenten (dazu zählen auch die Anwendungen und Schnittstellen) und Systeme erstrecken.
Die Umsetzung sollte mittels effizienter NAC in Verbindung mit anderen Secure Remote Access-Technologien, wie bspw. Firewalls und Hybrid IPsec/SSL VPNs erfolgen.
Anmerkung: Da APT-Attacken häufig auch durch den Missbrauch von Social Engineering ausgelöst werden sind die Mitarbeiter des CSP regelmäßig auf die Gefahren und den Umgang mit Social Engineering hinzuweisen (siehe dazu auch M3.03-4)
Für die Abwehr von APT-Attacken gibt es eine gesonderte Empfehlung der Allianz für Cyber Sicherheit, die in der vollen Version jedoch nur für die Mitglieder zugänglich ist. Diese Empfehlungen sollten zur zusätzlichen Risikoreduktion angewendet werden.
(4) Notfallkonzepte (Disaster Recovery):
Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für den Schutz von Informationssystemen im Falle des Eintretens unerwarteter, aber technisch beherrschbarer Ereignisse, wie den Ausfall technischer Komponenten oder Bedrohungen durch Elementarereignisse wie Feuer, Wasser oder andere Umwelteinflüsse, verfügen.
Diese Richtlinien sollten Teil eines umfassenden Notfallmanagements (Business Continuity Management) auf der Basis etablierter Standards (z.B. ISO 22301 oder BSI-Standard 100-4, ect.) sein. Die darin beschriebenen Regelungen und Maßnahmen sollten regelmäßig, auf der Basis etablierter Prozesse erprobt und auf ihre Wirksamkeit und Zulässigkeit hin überprüft werden.
(5) Pflege von Informationssystemen, Patches, Updates und Upgrades:
Die Systeme und Komponenten der Cloud-Umgebung des CSP müssen in regelmäßigen Intervallen sowie bei aktuell gegebenen Bedarf mit verifizierten und zuvor erfolgreich getesteten Patches, Updates aktualisiert werden.
Ein erfolgreicher Test und die Abnahme einer jeden Aktualisierung und Pflegemaßnahme innerhalb einer separaten Test- und Referenzumgebung muss der Aktualisierung vorangehen, um die aus der
M1.0 4 -3(3): Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.0 4 -3(4): Information Disclosure Denial of Service
M1.0 4 -3(5): Tampering Information Disclosure Denial of Service
gegebenen Komplexität nicht kalkulierbaren Sachverhalte vorher feststellen, sowie dass daraus not wendig werdene Vorgehen sicher evaluieren zu können, ohne die Grundschutzwerte des operativen Systems/der operativen Umgebung zu gefährden.
Diese Aktualisierungen sollen der zu gewährleistenden Verfügbarkeit der Cloud Services, aber auch zur Sicherstellung der gewünschten Funktionsweise im Rahmen der erforderlichen Vertraulichkeit dienen. Zugleich müssen die betroffenen Systeme und Komponenten so gepflegt werden, dass ihre sichere Konfiguration uneingeschränkt gegeben ist und erforderliche Anpassungen somit auch zeitnah erfolgen können.
Zur Sicherstellung der Verfügbarkeit der Cloud Services für die Serviceabonnenten sind derartige Maßnahmen rechtzeitig vorher anzukündigen bzw. bei einem größeren Umfang (bspw. beim Upgrade von Hard- und Software) mit dem jeweiligen Mandanten gemeinsam abzustimmen.
M1.04-4 Der Cloud Service Provider muss dokumentierte Prozesse etablieren, welche die Realisierung dieser Richtlinien durchsetzen, kontrollieren und ihre Wirksamkeit regelmäßig überprüfen und nach vollziehbar dokumentieren.
2.2 Technische Sicherheitsmaßnahmen
M2.01 Authentifizierung und Autorisierung M2.01-1 Die Informationssysteme des Cloud Service müssen eine
• zuverlässige Replay-resistente Multifaktor-Authentisierung für Netzwerkzugriffe auf privilegierte und nicht-privilegierte Nutzerkonten eines Serviceabonnenten,
• zuverlässige Replay-resistente Multifaktor-Authentisierung für Zugriffe auf Komponenten, Systeme und Daten des Service durch Mitarbeiter des Serviceproviders sowie in die Bereitstellung des Service involvierter Dritter durchsetzen.
M2.01-2 Dabei ist sicherzustellen, dass rollen- und regelbasierte Zugriffe auf Komponenten und Systeme nur in Verbindung mit einer eindeutigen, individuellen (d. h. personen- oder für Dienste mittels einer systembezogenen) Authentifizierung möglich sein dürfen.
Die personen- oder systembezogene Authentisierung muss der rollen- und regelbasierten Authentisierung übergeordnet sein. Eine Umgehung von Authentifizierungsmaßnahmen beim Zugriff auf Anwendungen, Komponenten und Daten darf nicht möglich sein.
Ein nicht autorisierter Zugriff auf und die Manipulation von Authentifizierungsinformationen muss nach Maßgabe zu erwartender Bedrohungen ausgeschlossen werden können.
Anmerkung: Um darüber hinaus einen sicheren nach Mandanten und nach Akteuren getrennten Zugriff etablieren zu können, ist die Kennzeichnung (Attribuierung) von Informationen und Daten gemäß der Schutzbedarfsfeststellung des Serviceabonnenten eine wesentliche Voraussetzung. Auf der Grundlage dieser Kennzeichnung kann im Anschluss an die erfolgreiche Authentifikation des jeweiligen Akteurs auch die Autorisierung für den Zugriff auf Anwendungen und Objekte zweifelsfrei festgestellt werden.
M2.01: Spoofing Repudiation Information Disclosure Elevation of Privilege
M2.02 Schutz gespeicherter Daten M2.02-1 Die Informationssysteme des Cloud Service müssen sicherstellen, dass ein Zugriff auf Kundendaten erst nach erfolgreicher und zweifelsfreier Identifikation und Authentifikation (sowohl bzgl. aller Akteure, als auch in Frage kommender Dienste) möglich ist (siehe auch M1.01, M1.03, M1.04 und M2.01). Durch die zwingende Verknüpfung rollen- und regelbasierter Zugriffe mit individuellen Authenti fikationsinformationen muss eine unbemerkte Eskalation von Zugriffsrechten verhindert werden können.
M2.02-2 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Verschlüsselung von Daten:
Storage-Security-Appliances müssen für die Data-at-Rest-Sicherheit über Funktionen wie Datenver schlüsselung, Zugangsschutz, Firewall, Logging und Auditing sowie Key-Management verfügen. Die Sicherheit und die Zuverlässigkeit der kryptographischen Maßnahmen und Komponenten sowie die Integrität verschlüsselt gespeicherter Daten ist regelmäßig zu überprüfen und zu nachzuweisen.
(2) Sichere Trennung von Komponenten, Diensten und Daten (Multi-Mandanten-Fahigkeit):
Die Informationssysteme des Cloud Service müssen eine strikte und sichere Trennung von Komponenten, Diensten, Anwendungen und Daten verschiedener Serviceabonnenten durchsetzen. Eine Kompromittierung der Integrität ausführbarer Programme und/oder Programminstanzen darf nach Maßgabe zu erwartender Bedrohungen nicht unbemerkt bleiben. Der Zugang zu diesen Komponenten, insbesondere zu genutzten Speichermedien, darf nur ausdrücklich autorisierten Personen möglich sein (siehe M1.01).
Anmerkung: Die Trennung von Mandanten und Ressourcen muss stringent und fehlerfrei beginnend mit der Anmeldung im ADL bis hin zum Informations-/Datenobjekt, auf welches durch die jeweilige Anwendung zugegriffen werden soll, durchgesetzt werden. Dazu braucht es eindeutige und zweifels freie elektronische Identitäten sowie sichere und nicht zu umgehende Authentifikationsprozeduren, mit denen einer Eskalation von Zugriffsrechten zuverlässig begegnet werden kann.
(3) Sichere Konfiguration von Speicher-Arrays/SAN: Die Speicherressourcen des CSP müssen gegen die unbefugte Kenntnisnahme und den unbefugten Zugriff durch Dritte geschützt werden. Daten und (virtualisierte) Speicherressourcen sind sicher zu konfigurieren, bspw. durch sicheres Zoning und/oder LUN Masquerading. Anmerkung: Zur Sicherstellung der Vertraulichkeit der in der Cloud- Umgebung gespeicherten Informationen und Daten eines jeden einzelnen Mandanten, ist es erforderlich, dass der jeweilige Serviceabonnent zusammen mit dem CSP auf der Grundlage der Schutzbedarfsfeststellung des Serviceabonnenten prüft und festlegt, welche Form des Zoning und/oder Masquerading genutzt werden müssen.
(4) Überprüfung der Integrität und Sicherstellung der Verwendbarkeit:
Die Integrität gespeicherter Daten und die Lesbarkeit bzw. die Verwendbarkeit der Speichermedien und
M2.02-2(1): Tampering Information Disclosure Denialof Service
M2.02-2(2): Tampering Information Disclosure
M2.02 -2 (4): Tampering
der darauf befindlichen Daten sind regelmäßig und unabhängig vom Speicher- oder Aufbewahrungs zeitraum zu überprüfen und zu protokollieren.
(5) Datensicherung, Backup und Archivierung:
Die gemäß M1.04-3(3) definierten Richtlinien sind so umzusetzen, dass erforderliche Daten sicherungsmaßnahmen zu den definierten Intervallen unterbrechungsfrei und sicher stattfinden.
Der CSP muss sicherstellen, dass die hierfür benötigten Systeme und Speicherkapazitäten unein geschränkt zur Verfügung stehen und überwacht werden. Regelmäßige Backup-Maßnahmen müssen den Verlust gespeicherter Daten durch Ausfall oder Störungen von virtuellen und/oder physikalischen Ressourcen verhindern und eine unverzügliche Wiederaufnahme des Service in der zugesicherten Leistungsgüte gewährleisten.
(6) Einstufung und Kennzeichnung von Daten: Die durch den Serviceabonnenten als schutzbedürftig definierten Informationen/Daten (sowohl die kritischen Kundendaten auf den Datenhaltungsschichten und -systemen, als auch die Konfigurations daten der involvierten Komponenten, siehe auch M1.03-3(1)), sind gemäß dem dazu gemeinsam er arbeiteten Konzept zu klassifizieren und zuverlässig zu kennzeichnen (digital classification label). Ziel ist die Anwendung der getroffenen Definitionen auf alle Daten des jeweiligen Serviceabonnenten, ein schließlich der separat gespeicherten Konfigurationsdaten der für die Cloud Services des jeweiligen Mandanten relevanten Systeme und Komponenten. Hierzu können Anwendungen oder Scripte für Office-Anwendungen oder Dienste genutzt werden (bspw. die Kennzeichnung der Daten aufgrund der Gruppenzugehörigkeit des Erstellers/Besitzers oder auf Grund des Inhalts/der Schlagworte in einer Datei), welche die vom CSP etablierten Prozesse zur Einstufung und Kennzeichnung sowie zur Wahrung der Integrität unterstützen. Anmerkung: Die Kennzeichnung (Attribuierung) der Information und Daten auf der Grundlage der Schutzbedarfsfeststellung durch den Serviceabonnenten stellen eine entscheidende Voraussetzung für Regelungen bzgl. der Gewährung von Zugang und Zugriff auf diese Daten dar. Nur so ist eine benutzer- und systembestimmte Trennung von Mandanten und Akteuren eines Mandanten stringent durchsetz bar.
Denial of Service
M2.02 -2 (5): Denial of Service
M2.02 -2 (6): Tampering Information Disclosure Denial of Service Elevation of Privilege
M2.03 Schutz von Daten während der Kommunikation/des Transports M2.03-1 Die Informationssysteme des Cloud Service müssen vertrauenswürdige Kommunikationskanäle und Kommunikationsendpunkte für die Kommunikation mit dem Serviceabonnenten sowie der Daten übertragung zwischen den Servicekomponenten und -systemen einschließlich der Kommunikation mit in volvierten Drittanbietern bereit stellen.
M2.03-2 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Schutz der Kommunikation und Kommunikationsendpunkte:
Die Informationssysteme des Cloud Service müssen vertrauenswürdige Kommunikationskanäle und Kommunikationsendpunkte für die Kommunikation mit dem Serviceabonnenten sowie der Datenüber tragung zwischen den Servicekomponenten und -systemen einschließlich der Kommunikation mit in volvierten Drittanbietern bereit stellen. Der hierbei erwartete Funktionsumfang muss unter anderem die Verschlüsselung der Kommunikation, die zwingende Zugriffskontrolle für die Management-Schnitt stelle(n), eine Switch-zu-Switch-Authentifikation und -Autorisierung sowie die Zugriffskontrolle auf etwaige Device-Level (Ports) umfassen.
Die Vertrauenswürdigkeit muss durch eine ausreichende Verschlüsselung der Kommunikationskanäle, eine sichere Authentisierung der Kommunikationsendpunkte, geeignete Maßnahmen zum Schutz der Authentizität von Kommunikationssitzungen sowie die Validierung importierter Daten unterstützt werden. Daher sind zu diesem Zweck ausschließlich sicherheitsgeeignete Technologien und Verfahren sowie sicherheitsüberprüfte Kommunikationsanbieter (ISP) einzusetzen.
Störungen der Kommunikation ausgelöst durch Fehlverhalten oder den Ausfall von Komponenten müssen durch eine ausreichende redundante Auslegung der Kommunikationsressourcen, einschließ lich der relevanten Netzwerkverbindungen und genutzten Plattformen, begegnet werden.
Anmerkung: Für das Anwendungsszenario „SaaS CRM“ ist der Schutz der Informationen und Daten während der Kommunikation mit und in der Cloud-Umgebung des CSP besonders wichtig. Aus diesem Grund sind insbesondere die Kommunikationsverbindungen und die entsprechenden Kommunikationsendpunkte durch geeignete Maßnahmen ausreichend zu schützen, so dass ein nicht autorisierter Zutritt und Zugang nach Maßgabe zu erwartender Bedrohungen ausgeschlossen werden kann. Eine redundante Auslegung ermöglicht im Fall einer Kompromittierung die Schließung be troffener Kommunikationskanäle und den Wechsel auf nicht kompromittierte Kommunikationskanäle.
(2) Überwachung der Aktivitäten in Netzwerken mittels NIDS (Network Intrusion Detection System):
Die Kommunikation zwischen Abonnenten, Komponenten und Systemen des Cloud Service ist durch Netzwerk-basierte Intrusion Detection Systeme zu überwachen und zu protokollieren, um so auf tretende Anomalien, Auffälligkeiten, Gefährdungen und Angriffe schnellstmöglich feststellen zu können.
Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen umgehend und automatisch an ge eignete SIEM- Systeme (Security Information and Event Management) weitergeleitet werden, um aus den korrelierten Informationen umgehend erforderliche (Gegen-) Maßnahmen initiieren zu können. Die Log-Daten müssen zuverlässig vor Manipulation und Verlust geschützt werden.
M2.03-2(1): Spoofing Tampering Repudiation Information Disclosure Denial of Service
M2.03-2(2): Spoofing Repudiation Information Disclosure Denial of Service
(3) Überwachung der Kommunikation mittels HIDS (Host-basierten Intrusion Detection Systemen):
Zur Realisierung der Kommunikation zwischen Abonnenten, Komponenten und Systemen des Cloud Service muss die Steuerung der Datenströme (bspw. zur Annahme, Prüfung und Beantwortung von Anfragen) durch zentralisierte Systeme (bspw. für die Authentifizierung und Autorisierung) erfolgen.
Diese Informationssysteme stellen aufgrund ihrer herausgehobenen und zentralen, für die Cloud Services entscheidende Rolle besonders gefährdete und schützenswerte Objekte dar. Derartige Systeme sind deshalb zusätzlich zu M2.03-2(2) als operativ kritische Ressourcen mittels HIDS zu überwachen.
Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen umgehend und automatisch an ge eignete SIEM- Systeme (Security Information and Event Management) weitergeleitet werden, um aus den korrelierten Informationen erforderliche (Gegen-) Maßnahmen initiieren zu können. Die Log-Daten müssen zuverlässig vor Manipulation und Verlust geschützt werden.
(4) Schutz wichtiger Daten mittels DLPS (Data Loss Prevention System):
Als besonders schützenswert eingestufte Daten und Informationen müssen nicht nur hinsichtlich ihrer sicheren Speicherung/Aufbewahrung, sondern auch während jeder Form der Kommunikation und des Austauschs dieser Inhalte zuverlässig geschützt werden.
Hierzu sollen DLPS eingesetzt werden, welche nicht nur gegen externe Akteure prüfen und agieren, sondern auch die Nutzer der Cloud Services beim Umgang mit derartig sensiblen Informationen unter stützen. Der hierbei erwartete Funktionsumfang soll sich nicht nur auf die Entdeckung von Manipulationsversuchen sensibler Inhalte während der Kommunikation beschränken, sondern vor allem auch die Durchsetzung von zuvor definierten Datenschutzrichtlinien durchsetzen.
Die Umsetzung dieser Richtlinien muss die sichere Verhinderung von nicht gewollter Kommunikation sensibler Inhalte und die Protokollierung und Weiterleitung der Auffälligkeiten an zentrale Über wachungs- und Managementinstanzen (bspw. ein SIEM-System) umfassen. Darüber hinaus soll aber auch die Benachrichtigung des verursachenden Akteurs, dass die aktuell initiierte Kommunikation so nicht erlaubt ist, unterstützt werden.
DLP-Systemfunktionen müssen hierbei mindestens die aktive Prüfung der für den Download und/oder Upload auf externe bzw. nicht zuvor definierte Zielsysteme erlaubten Inhalte (einschließlich mobiler Endgeräte, wie bspw. Notebooks und Smartphones), als auch die Prüfung von Berechtigungen der Kommunikationsakteure (wer darf zu welchem Zweck was mit wem kommunizieren) umfassen.
Anmerkung: DLPS stellen aktive Sicherheitskomponenten der für die Bereitstellung der Cloud Services notwendigen Netzwerke und der an diese Netze angeschlossenen Kommunikationsschnitt stellen und Speicherbereiche (bspw. Speicher-Arrays und SAN sowie E-Mail-Server) dar. DLP-Systeme
M2.03-2(3): Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M2.03-2(4): Tampering Repudiation Information Disclosure Denial of Service
sind daher für das Anwendungsszenario „SaaS CRM“ von besonderer Bedeutung. Mit ihrer Hilfe ist eine zuverlässige Kontrolle zulässiger Kommunikationspartner wie auch der Kommunikationsinhalte mög lich. Damit wird nicht nur die erforderliche Trennung der Mandanten unterstützt, sondern auch die zwingende Authentifikation und Autorisierung einzelner Akteure sowie die Wahrung der Vertraulichkeit und der Integrität durch die Einschränkung bzw. eindeutige Definition zulässiger Kommunikation von sensiblen und schützenswerten Inhalten.
(5) Regelmäßige Schwachstellen- und Penetrationstests:
Die Sicherheit der Kommunikationsendpunkte muss durch regelmäßige Schwachstellenscans (vulnerabilty scanning) und Penetrationstests geprüft werden. Die dabei festgestellten Schwachstellen sind durch sicherheitsrelevante Patches und Updates von betroffenen Kommunikationssystemen un verzüglich zu beheben. Die Ergebnisse eines jeden Tests sind zu dokumentieren und vor Manipulation und vor Bloßstellung/ vor Einsicht- und Kenntnisnahme geschützt aufzubewahren sowie zur zeitnahen Aktualisierung und Anpassung von Sicherheitsrichtlinien einzusetzen.
M2.03-2(5): Spoofing Repudiation Information Disclosure Denial of Service
M2.04 Schutz von Informationssystemen M2.04-1 Die Informationssysteme des Cloud Service müssen eine sichere Authentifikation beim Zugriff auf Nutzerkonten, Komponenten und Systeme durchsetzen. Der Zutritt und Zugang zu sowie der Zugriff auf besonders kritische Systeme oder Anwendungen, wie Managementkonsolen, muss durch eine sichere Multi-Faktor- Authentifizierung geschützt werden.
M2.04-2 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Gesicherte Infrastruktur:
Ein unbemerkter Austausch von Komponenten und Systemen des Cloud Service muss durch eine zu verlässige, kryptographisch gesicherte, gegenseitige Authentifizierung und den Einsatz mehrerer, den Sicherheitszonen der genutzten Infrastruktur entsprechenden Zutrittskontrollsysteme verhindert werden. Gemäß M1.01 muss der CSP formale Prozesse etablieren, welche den Zutritt und den Zugang zu Komponenten und Systemen des Cloud Service ausschließlich für autorisierte Personen ermög lichen.
Der Zutritt und Zugang zu sowie der Zugriff auf diese Ressourcen ist zu protokollieren und diese Protokolle sind sicher aufzubewahren und zuverlässig vor Verlust oder Manipulation zu schützen.
(2) Schutz von Konfigurationsdaten:
M2.04-2(1): Spoofing Tampering Repudiation Information Disclosure Denial of Service
M2.04-2(2): Tampering Information Disclosure Denial of Service
Maßgabe zu erwartender Bedrohungen nicht möglich sein.
Änderungen an den Konfigurationsdaten dürfen nur von ausdrücklich autorisierten Benutzern und nicht ohne eine vorangehende Multi-Faktor-Authentifizierung ausgeführt werden. Die Änderungen müssen protokolliert, die Protokolle zuverlässig vor Verlust oder Manipulation geschützt werden.
(3) Überwachung kritischer kritischer Ressourcen:
Aktivitäten und Zugriffe auf operativ kritische physische Ressourcen sind gemäß M2.03-2(2) und M2.03-2(3) durch Netzwerk- bzw. Host-basierte Intrusion Detection Systeme (NIDS/HIDS) zu über wachen und zu protokollieren.
Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen umgehend und automatisch an ge eignete SIEM- Systeme (Security Information and Event Management) weitergeleitet werden, um aus den dann korreliert zur Verfügung stehenden Informationen erforderliche (Gegen-) Maßnahmen um gehend initiieren zu können.
Die Log-Daten und Protokolle sind zuverlässig vor Manipulation und Verlust zu schützen.
(4) Schutz wichtiger Ressourcen mittels IPS (Intrusion Prevention System):
Zusätzlich zu M2.03 sind wichtige Ressourcen der Cloud-Umgenung des CSP durch IP-Systeme so zu schützen, dass die durch NIDS/HIDS festgestellten Auffälligkeiten die sofortige Auslösung von zuvor definierten Aktionen (bspw. Blockade von Ports oder Verbindungen, Beendigung von Kommunikations strömen und Versendung von Alarmen an entsprechende SIEM-Systeme und verantwortliche Akteure) zur Folge haben.
Alle Aktionen von durch IPS initiierten Aktionen müssen automatisch durch das auslösende System protokolliert und sollen umgehend an geeignete SIEM- Systeme (Security Information and Event Management) weiterzuleiten. Die Log-Daten und Protokolle müssen zuverlässig vor Manipulation und Verlust geschützt werden.
Anmerkung: Für das Anwendungsszenario „SaaS CRM“ ist der Schutz der Informationen und Daten während der Kommunikation mit und in der Cloud-Umgebung des CSP besonders wichtig. Aus diesem Grund ist der Einsatz von IPS unabdingbar. Denn nur mittels dieser Intrusion Prevention Systeme kann zuverlässig ein nicht autorisierter Zugriff auf entsprechend schützenswerte Informationen und Daten des jeweiligen Dienstabonnenten festgestellt und ggf. verhindert werden. Zugleich unterstützt der Einsatz von IPS die Wahrung der Verfügbarkeit der für die entsprechenden Cloud- Dienste erforder lichen Komponenten des CSP.
(5) Schutz kritischer Komponenten mittels HIPS (Host-based Intrusion Prevention System):
Zusätzlich zu M2.03 und M2.04-2(3) sind kritische Komponenten der Cloud-Umgebung, d. h. Systeme, welche für den operativen Betrieb maßgeblich von Bedeutung sind (wie bspw. E-Mail-Server,
M2.04-2(3): Spoofing Repudiation Information Disclosure Denial of Service Elevation of Privilege
M2.04-2(4): Spoofing Tampering Information Disclosure Denial of Service
M2.04-2(5): Spoofing Tampering
Metadaten- und Verzeichnissysteme und Sicherheitskomponenten wie RADIUS-Sever), durch HIP-Systeme so zu schützen, dass die durch NIDS/HIDS festgestellten Auffälligkeiten die sofortige Aus lösung von zuvor definierten Aktionen (bspw. Beendigung von Diensten oder Anwendungen, Blockierung des eingehenden Verkehrs und Versendung von Alarmen an entsprechende SIEM-Systeme und verantwortliche Akteure) zur Folge haben.
Alle durch das IPS initiierten Aktionen müssen automatisch durch das auslösende System zu protokolliert und sollen umgehend an geeignete SIEM- Systeme (Security Information and Event Management) weitergeleitet werden. Die Log-Daten und Protokolle müssen zuverlässig vor Manipulation und Verlust geschützt werden.
(6) Schutz virtualisierter Ressourcen:
Virtualisierte Ressourcen müssen zusätzlich zu den gemäß M2.04 definierten Richtlinien auch durch sicheres Zoning und / oder LUN Maskerading vor der unbefugten Kenntnisnahme und dem unbefugten Zugriff durch Dritte geschützt werden.
Sicherheitsupdates oder –patches müssen unverzüglich getestet und eingespielt werden. Diese Maß nahmen müssen dokumentiert, die Dokumente (Protokolle) vor Verlust und Manipulation geschützt werden.
Die Sicherstellung des Schutzes der virtualisierten Ressourcen muss auch die Durchsetzung der Maß gaben und Richtlinien gemäß M1.03, M1.04, M1.05 und M2.02 für alle VM-spezifischen Komponenten und Prozesse (bspw. den Zugriff auf VM-Management-Konsolen oder VM-Tools, die Ver waltung von VM User Accounts, die Konfiguration/Setup und die Verteilung von VMs und Virtual Appliances (VAPs), die Erstellung und Verwaltung von Snapshots, den Anschluss und die Trennung von virtuellen Geräten, die sichere Zuweisung von physikalischen Ressourcen etc.) umfassen.
(7) Redundanz von Ressourcen:
Repudiation Information Disclosure Denial of Service Elevation of Privilege
M2.04-2(6): Tampering Information Disclosure Denial of Service
M2.04-2(7): Denial of Service
M2.05 Incident Response Capability M2.05-1 Der Cloud Service Provider muss über die Fähigkeit (technische und organisatorische Aus rüstung) verfügen, sicherheitsrelevante Störfälle unverzüglich und angemessen zu behandeln. Das schließt die Vorbereitung auf sicherheitsrelevante Störfälle, die Entdeckung und Analyse, die Ein dämmung, die Beseitigung der Ursachen und die Wiederherstellung des ordnungsgemäßen Betriebs in
M2.05: Spoofing Information Disclosure Denial of Service Elevation of Privilege
der vereinbarten Leistungsgüte ausdrücklich ein. M2.05-2 Operative Log-Daten sollen in einem Security Information and Event Management System (SIEM) aggregiert und automatisch auf Auffälligkeiten (sicherheitsrelevante Ereignisse) bewertet sowie vor Manipulation und Verlust geschützt werden. Die so gewonnenen Erkenntnisse sind in regelmäßigen Abständen (bspw. monatlich oder halbjährlich), sowie auf Verlangen, dem Serviceabonnenten in Form eines auf die durch ihn genutzte Cloud-Umgebung hin angepassten Reports bereitzustellen.
2.3 Personelle Sicherheitsmaßnahmen
M3.01 Sicherheitsüberprüfung M3.01-1 Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für die regel mäßige Sicherheitsüberprüfung seiner Mitarbeiter (siehe M1.01-2(2) und Geheimschutzhandbuch BMI) ver fügen. Die Richtlinien sollen Ziele, Geltungsbereiche und je nach zugewiesenen Aufgabenbereichen und damit verbundenen Berechtigungen abgestufte Prüfkriterien, Rollen und Verantwortlichkeiten, die Ko ordination unterschiedlicher Unternehmenseinheiten sowie Informationswege beim Eintritt sicherheits relevanter Ereignisse oder fahrlässigen Verhaltens umfassen.
M3.01-2 Auf der Grundlage dieser Richtlinien muss der Cloud Service Provider dokumentierte Prozesse etablieren mit denen regelmäßige Sicherheitsüberprüfungen durchgesetzt werden. Die Durchführung der regelmäßigen Sicherheitsüberprüfung beinhaltet auch die Erstellung und die Pflege der aktenkundigen Nachweise bzgl. der Belehrung des überprüften Personals.
M3.01-3 Der Cloud Service Provider muss gemäß M1.04-2(4) dokumentierte Prozesse etablieren, mit denen in regelmäßigen Abständen die Zuweisung von Berechtigungen überprüft wird. Für aus geschiedene Mitarbeiter müssen die Authentifikationsdaten und zugewiesenen Berechtigungen unver züglich und nachweislich gelöscht werden.
M3.01: Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M3.02 Überprüfung zugewiesener Berechtigungen und benötigter Identitäten (Accounts) M3.02-1 Auf der Grundlage der Richtlinien gemäß M1.01(1) muss der Cloud Service Provider dokumentierte Prozesse etablieren, mit denen in regelmäßigen Abständen bestehende digitale Identi täten und die erfolgte Zuweisung von Berechtigungen überprüft werden. Die Überprüfung darf nicht nur die Akteure des Cloud Service Providers umfassen, sondern ist auch für die Administratoren des Service
M3.02: Spoofing Tampering Repudiation Information Disclosure
abonnenten und etablierte Dienste (Service Accounts) durchzuführen.
M3.02-2 Gemäß M1.04-2(4) müssen für ausgeschiedene Mitarbeiter oder nicht mehr unter Vertrag stehende Servicepartner die Authentifikationsdaten und zugewiesenen Berechtigungen unverzüglich und nachweislich gelöscht werden.
Denial of Service Elevation of Privilege
M3.03 Sicherheitsverhalten und Sicherheitstraining M3.03-1 Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für das erforder liche Sicherheitsverhalten und Sicherheitstraining der Mitarbeiter entsprechend den ihnen zugewiesenen Aufgaben und Verantwortlichkeiten verfügen.
M3.03-2 Die Richtlinien sollen Ziele, Geltungsbereiche, Rollen und Verantwortlichkeiten, die Ko ordination unterschiedlicher Unternehmenseinheiten, Informationswege und einzuleitende (Sofort-) Maß nahmen beim Eintritt sicherheitsrelevanter Ereignisse oder fahrlässigen Verhaltens umfassen.
M3.03-3 Die Richtlinien müssen regelmäßig durch den CSP in Bezug auf die aktuell bestehenden Er fordernisse sowie die gegebene Sicherheitslage hin angepasst und überprüft werden.
M3.03-4 Auf der Grundlage der Richtlinien muss der Cloud Service Provider Prozesse etablieren, welche die Umsetzung unterstützen. Dazu gehören:
• die regelmäßige und dokumentierte Einweisung und Schulung in die sichere Konfiguration, den sicheren Betrieb und das sichere Management der für den Service erforderlichen Systeme und Komponenten,
• die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung von Sicherheitsmaßnahmen,
• die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung datenschutzrechtlicher Regelungen und Anforderungen,
• die regelmäßige und dokumentierte Unterrichtung über bekannte Bedrohungen und • das regelmäßige und dokumentierte Training des Verhaltens beim Auftreten sicherheitsrelevanter
Ereignisse. Besonderer Fokus soll dabei sein, die Mitarbeiter zu befähigen, Social Engineering Attacken, die gerade bei mehrstufigen Angriffen und APTs eine vorbereitende Funktion haben, zu erkennen und ihnen durch entsprechende Prozesse beim CSP zu begegnen.
M3.03: Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
Inhaltsverzeichnis
CSC Deutschland Solutions GmbH Abraham-Lincoln Park 1 65189 Wiesbaden www.csc.com/de
Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn E-Mail: [email protected] Internet: https://www.bsi.bund.de/cloud © Bundesamt für Sicherheit in der Informationstechnik 2014
Einleitung 1
1 Einleitung In Teil 2 dieses Dokuments wurden für ein als Software-as-a-Service in einer Cloud Computing Umgebung zur Verfügung gestelltes CRMS dreizehn wichtige Bedrohungen für die Schichten des IETF Cloud Stacks identifiziert beschrieben und in Form von „Steckbriefen“ detailliert beschrieben:
• für das Access & Delivery Layer: • Spoofing, • Tampering, • Repudiation, • Information Disclosure, • Denial of Service und • Elevation of Privilege,
• für das Cloud Service Layer: • Tampering und • Information Disclosure
• für die Cloud Management Plane: • Tampering und • Elevation of Privilege
• für das Cloud Ressource & Orchestration Layer: • Information Disclosure und • Denial of Service
• für die Kommunikation des Serviceabonnenten mit der Access & Delivery Layer • Denial of Service.
Das vorliegende Dokument Teil 3 des Sicherheitsprofils für ein SaaS CRM System beschreibt Sicherheits maßnahmen organisatorischer, technischer und personeller Natur, die geeignet sind, den in Teil 2 ge nannten Bedrohungen entgegen zu wirken. Übergreifende Bedeutung haben dabei Maßnahmen, die Kommunikation mit der Cloud sowie die Verarbeitung und Speicherung von Daten in den Schichten des Cloud Stacks in besonderer Weise zu schützen. Dazu gehören:
• die zuverlässige Kennzeichnung (Attribuierung) von Informationen und Daten gemäß der durch den Serviceabonnenten definierten Schutzbedürftigkeit,
• die strikte Trennung des Zugangs und des Zugriffs auf Informationen und Daten verschiedener Mandanten
• die strikte Trennung des Zugangs und des Zugriffs auf Informationen und Daten durch die End nutzer eines gemäß dem festgelegten Schutzbedarf und den Endnutzern zugewiesenen Zugriffs rechten,
• sichere und nicht zu umgehende Authentifikationsprozesse zur Verhinderung einer Eskalation von Zugriffsrechten,
• die sichere Konfiguration der in der Bereitstellung des Service involvierten Komponenten des Cloud Stacks sowie
• die strikte und sichere Segmentierung virtueller und physischer Ressourcen.
Jede Maßnahme wird in Anlehnung an [RFC2119] explizit als verpflichtend, empfohlen oder als optional spezifiziert und den Bedrohungsklassen nach dem STRIDE Modell zugeordnet.
• Verpflichtende Anforderungen (MUSS-Anforderungen), sind Anforderungen, deren Umsetzung zwingend gefordert wird. Sie sind im Text mit den Worten muss (müssen) / ist (sind) / darf (dürfen) nur / darf (dürfen) nicht, ausgezeichnet.
Bundesamt für Sicherheit in der Informationstechnik 5
1 Einleitung
STRIDE ist ein Akronym und steht für Spoofing (nachahmen, vortäuschen einer Identität), Tampering (fälschen, manipulieren von Daten), Repudiation (abstreiten einer Handlung), Information Disclosure (aufdecken, veröffentlichen von Informationen), Denial of Service (Dienstverweigerung) und Elevation Privilege (unzulässige Erweitering von Rechten). STRIDE wurde 2002 von Microsoft für die Klassifizierung von Angriffsmustern entwickelt.
In Teil 4 dieses Dokumentes werden die Sicherheitsmaßnahmen in einer Kreuzreferenztabelle auf die Be drohungen abgebildet. Auf diese Weise lässt sich nachvollziehen, inwieweit durch die Sicherheitsmaß nahmen eine Abdeckung und damit auch eine erfolgreiche Abwehr der aufgezeigten Bedrohungen möglich wird.
6 Bundesamt für Sicherheit in der Informationstechnik
2 Sicherheitsmaßnahmen
M1.01 Informations- und Sicherheitsmanagement M1.01-1 Der Cloud Service Provider muss über formale und dokumentierte Sicherheitsrichtlinien ver fügen. Die Sicherheitsrichtlinien müssen Ziele, Geltungsbereiche, Rollen und Verantwortlichkeiten, die Koordination unterschiedlicher Unternehmensbereiche, Sicherheitsarchitekturen und -maßnahmen zum Schutz von Daten, IT-Systemen und IT-Infrastrukturen, sowie Maßnahmen zur Einhaltung rechtlicher An forderungen (Compliance) beschreiben.
M1.01-2 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) IAM, Zutritts-, Zugangs- und Zugriffskontrolle: In Zusammenarbeit bzw. nach den Vorgaben des Serviceabonnenten muss ein Konzept zur Kontrolle und zur Steuerung von Zugriffsrechten (Identity & Access Management), auf die Funktionen des Cloud Self-Service Portals und die Kundendaten des Serviceabonnenten (siehe M1.03-3(1)) definiert und umgesetzt werden. Zugangs- und Zugriffsberechtigungen sind nicht nur auf der Basis der Identität der Akteure festzu legen, sondern auch auf der Grundlage zusätzlicher Regeln und Eigenschaften der Komponenten und Funktionen des CRMS sowie der Zugriffsobjekte (bspw. auf der Grundlage der Klassifizierung/Ein stufung gemäß der Schutzbedarfsfeststellung des Serviceabonnenten). Das Identity & Access Management (IAM) Konzept soll eine nachvollziehbare Kombination aus zwingend erforderlichen und systemtechnisch erzwungenen Zugangs- und Zugriffskontrollen (Mandatory Access Controls) und benutzerbestimmbaren / benutzerbestimmten Zugangs- und Zu griffskontrollen (Discretionary Access Controls) abbilden und durchsetzen. Zusätzlich müssen verbind liche Regelungen zur regelmäßigen Überprüfung der Notwendigkeit und Zulässigkeit bzgl. der Auf rechterhaltung erteilter Berechtigungen festgelegt werden.
(2) Sicherheitsüberprüfungen von Personal:
Siehe M3.01
M1.01-3 Auf der Grundlage dieser Sicherheitsrichtlinien sind durch den der Cloud Service Provider
M1.01-1: Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.01-2(1): Spoofing Repudiation Information Disclosure Elevation of Privilege
M1.01-2(2): Spoofing Tampering
Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.02 Risiko- und Incidentmanagement M1.02-1 Der Cloud Service Provider muss über formale und dokumentierte Richtlinien zum Risiko management verfügen.
Die Richtlinien müssen Ziele, Geltungsbereiche, Rollen und Verantwortlichkeiten sowie Festlegungen zur regelmäßigen Analyse und Bewertung möglicher Bedrohungen von Informationen und Informations systemen und zum Umgang mit sicherheitsrelevanten Ereignissen umfassen.
M1.02-2 Auf der Grundlage dieser Richtlinien sind durch den Cloud Service Provider dokumentierte Prozesse zu etablieren, die eine angemessene Reaktion auf sicherheitsrelevante Ereignisse auslösen sowie die in den Richtlinien beschriebenen Maßnahmen zur Abwehr von Sicherheitsbedrohungen und Dokumentation durchsetzen.
M1.02-3 Der Cloud Service Provider muss dokumentierte Prozesse etablieren, welche die Umsetzung der Richtlinien durchsetzen und kontrollieren sowie ihre Wirksamkeit und Aktualität regelmäßig überprüfen und nachvollziehbar dokumentieren. Dazu gehört auch die regelmäßige Informationsbeschaffung über bekannte und neue Sicherheitslücken oder Schwachstellen, sowie dagegen anwendbare Maßnahmen, unter Nutzung unterschiedlichster, unabhängiger Quellen (bspw. Hersteller, CERT's etc.).
M1.02-4 Die Zuverlässigkeit und Angemessenheit der in den Richtlinien beschriebenen Abläufe und Maßnahmen soll durch regelmäßige Assessments vor dem Hintergrund der aktuellen Bedrohungslage überprüft werden.
M1.02: Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.03 Schutz von Informationen M1.03-1 Aufbauend auf M1.01 muss der Cloud Service Provider über formale und dokumentierte Richt linien zum Umgang mit und zum Schutz von sicherheitsrelevanten Informationen bei der Verarbeitung, dem Transport, der Migration (einschließlich der involvierten virtuellen und physischen Ressourcen), der Speicherung und der Löschung von Daten verfügen.
Dazu gehören Kundendaten, Konfigurations- und Prozessdaten der involvierten IT-Infrastruktur wie auch Protokolldaten über Aktivitäten und sicherheitsrelevante Ereignisse.
M1.03-2 Die Richtlinien müssen Ziele, Geltungsbereiche, einschließlich stufenweiser und von einander getrennter Architekturen, logischer Zonen und Bereiche, Rollen und Verantwortlichkeiten, die Einstufung des Schutzbedarfes und Festlegungen für eine in Systematik und Durchsetzung wirksame Zugriffs kontrollstrategie, mit der ein unbefugter Zutritt und Zugang zu, sowie Zugriff auf oder der Verlust von Informationen nicht unentdeckt bleibt und zuverlässig verhindert werden kann, umfassen.
M1.03-3 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Klassifizierung/Einstufung und Kennzeichnung von Informationen/Daten:
Der Cloud Service Provider muss eine eindeutige Klassifizierung/Einstufung und unverwechselbare digitale Kennzeichnung von Informationen und/oder Daten des jeweiligen Serviceabonnenten unter stützen und umsetzen.
Dabei sind sowohl die kritischen Kundendaten auf den Datenhaltungsschichten und -systemen zu be rücksichtigen, als auch die Konfigurationsdaten der involvierten Komponenten. Die Einstufung des Schutzbedarfes von Kundendaten muss in Abstimmung mit den Serviceabonnenten erfolgen.
Die Sicherheitsziele und -maßnahmen des CSP dürfen nicht zu einer Minderung von Schutzbedarfs feststellungen des Serviceabonnenten oder zur Verletzung rechtlicher Anforderungen führen.
Die unverwechselbare, digitale Kennzeichnung von Informationen und Daten soll Grundlage für die er forderliche Separierung von anderen Mandanten und externen Dritten sowie für die Trennung von Zu griffsberechtigungen bzgl. der (internen) Akteure des jeweiligen Dienstabonnenten sein.
(2) Storage Security: Die wichtigen Komponenten der Infrastruktur, die kritischen Anwendungen und Datenbestände auf Speicher-Arrays und Bändern sind so abzusichern, dass sie gegen Missbrauch und Datenkorruption geschützt sind und ein möglicher Datendiebstahl keine Folgeschäden für den betroffenen Service abonnenten/Mandanten hat. Das Storage Security Konzept des Cloud Service Providers soll sich in einem selektiven und ab gestuften Ansatz am Wert der zu sichernden Daten gemäß der Schutzbedarfsfeststellung des jeweiligen Dienstabonnenten orientieren (siehe dazu auch M1.03-3(1)). Diese Storage Security Konzept ist Bestandteil der Informationssicherheitsleitlinie des CSP und ent sprechend auf die Bedürfnisse eines jeden Serviceabonnenten/Mandanten anzuwenden. Das Konzept soll den Aufbau einer mehrstufigen Storage Security Architektur beim CSP ermöglichen, welche die Anforderungen für Data-at-Rest und Data-in-Motion berücksichtigt. Diese Anforderungen sollen unter Einsatz ausschließlich geeigneter Produkte erfolgen. Das Storage Security Konzept muss die Grundlage zur Sicherstellung und Gewährleistung der Integri tät aller schützenswerten Daten sein und eine regelmäßige Überprüfung der erforderlichen organisatorischen Maßnahmen und Prozesse festlegen.
(3) Datensicherung, Archivierung, Backup & Recovery: Zur Sicherstellung der Verfügbarkeit von Informationen bzw. zur Vermeidung von Datenverlusten, sowie der erforderlichen Integrität, sind zuverlässige Prozesse einer regelmäßigen Datensicherung (Backup) und Wiederherstellung von Daten (Recovery) etablieren.
M1.03-3(1): Spoofing Information Disclosure Elevation of Privilege
M1.03-3(2): Tampering Information Disclosure Denial of Service
M1.03-3(3): Tampering Information Disclosure
Gesetzliche sowie datenschutzrechtliche Maßgaben sind hierbei ebenso zwingend zu berücksichtigen, wie der durch den Serviceabonnenten festgelegte Schutzbedarf. Vertrauliche und besonders schutzbedürftige Daten sind vor der Sicherung so zu verschlüsseln, dass diese auch nach einem längeren Zeitraum wieder entschlüsselt und verwendet werden können. Dabei ist insbesondere eindeutig zu regeln, welche Daten wann, wie und durch wen gesichert sowie ggf. im Anschluss zu welchem Zweck und wohin transportiert werden. Maßgaben der Kennzeichnung von Information (siehe M1.03-3(1)) und der sicheren Löschung bzw. Vernichtung von Daten (siehe M1.03-3(4)) sind hierbei zwingend anzuwenden. Zusätzlich sollen diese Konzepte und Richtlinien im jeweiligen Notfallkonzept (Disaster Recovery) integriert werden.
(4) Sichere Löschung und Vernichtung von Daten:
Auf Verlangen des Serviceabonnenten oder nach Beendigung des Servicevertrages müssen sämtliche Daten des Serviceabonnenten, einschließlich der auf Backup-Systemen gespeicherten Daten, innerhalb eines vertraglich vereinbarten Zeitraums sicher auf den Speichermedien des Cloud Service Providers gelöscht werden. Die Löschung ist durch Vorlage eines Löschprotokolls zu belegen.
Anmerkung: Falls diese Löschung lediglich darin besteht, die Referenz auf die Daten zu löschen (bspw. die konkrete LUN), sollte der CSP den Abonnenten über die (durchschnittliche) Zeitdauer informieren, innerhalb derer die auf den physischen Sektoren im Speichernetz des CSP abgelegten Daten als nicht wiederherstellbar gelten dürfen. Das dafür eingesetzte Verfahren (Bspw. basierend auf dem 'National Industrial Security Program Operating Manual (NISPOM DoD 5520-22M vom Februar 2006. Bei dieser Variante, die 7 Durchläufe ausführt, (DoD 5220.22-M ECE) werden die Daten zunächst mit den 3 Durchläufen des DoD 5220.22-M (E) Standards überschrieben, danach mit einem Zufalls wert, anschließend erneut durch DoD 5220.22-M (E)). Das Verfahren und der Zeitraum sollten ver traglich festgehalten werden.
Die Löschung und Vernichtung von Daten bezieht sich auch auf Informationen bzgl. der Authentifikation und Berechtigung von Akteuren/Subjekten (siehe M1.01-2(1)). Wenn ein Mitarbeiter des CSP das Unternehmen verlässt oder der Vertrag mit Servicepartnern erlischt bzw. beendet wird, müssen Authentifikationsdaten und Berechtigungen unverzüglich gelöscht werden. Jede Löschung ist aktenkundig nachweisbar festzuhalten.
M1.03-4 Der Cloud Service Provider muss dokumentierte Prozesse etablieren, die die Umsetzung dieser Richtlinien durchsetzen, kontrollieren und ihre Wirksamkeit regelmäßig überprüfen und nachvollziehbar dokumentieren.
Denial of Service
M1.03-3(4): Tampering Information Disclosure Denial of Service
M1.04 Schutz von Informationssystemen M1.04-1 Aufbauend auf M1.01 muss der Cloud Service Provider über formale und dokumentierte Richt linien für die Identifikation und Authentifikation beim Zutritt und Zugang zu, sowie den Zugriff auf Komponenten und Systeme des Service verfügen.
M1.04-2 Die Richtlinien sollen Ziele, Geltungsbereiche, einschließlich der Gestaltung dement sprechender Infrastrukturen und physikalisch gesicherter Bereiche, die physikalische Redundanz von Systemen und Infrastrukturen umfassen. Die Richtlinien müssen Rollen und Verantwortlichkeiten, die Ko ordination unterschiedlicher Unternehmenseinheiten sowie ein in Systematik und Durchsetzbarkeit wirk sames Rollen- und Rechtekonzept beschreiben, welches einen unbefugten oder unentdeckten Zutritt und Zugang zu, sowie Zugriff auf Informationssysteme zu verhindern imstande ist.
M1.04-3 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Gesicherte Infrastruktur:
Das kann bspw. eine durch ein Sicherheitsunternehmen unter Zuhilfenahme angemessener Sicher heitssysteme – Zäune mit Sensoren und Meldegruppen sowie einer Videoüberwachung (CCTV) oder sonstige Einfriedung sein, für die mittels Mehr-Faktor Zugangskontrollsysteme (Passwort und Smart-Card, Passwort und/oder Überprüfung biometrischer Merkmale, etc.) der Zutritt nur für autorisiertes Personal ermöglicht wird.
(2) Schutz vor Schadprogrammen:
Um die Informationssysteme, einschließlich der darauf verarbeiteten bzw. gespeicherten Daten vor Schadprogrammen schützen zu können, muss der CSP vorbeugende Maßnahmen definieren sowie das Vorgehen im Fall einer Infektion mit Schadprogrammen bzw. der Feststellung von Schadprogrammen regeln.
Dabei ist sicherzustellen, dass sowohl alle relevanten organisatorischen Prozesse (bspw. Datenaus tausch mittels mobiler Datenträger), wie auch die technische Umsetzung bzgl. des Infektionsschutzes gewährleistet werden und die Verbreitung sowie die Schadenswirkung von bereits auf den Systemen befindlichen Schadprogrammen effektiv minimiert wird (zweckmäßige Definition von Gegenmaß nahmen).
Dafür ist die Planung und der Einsatz geeigneter Hardware- und Softwarekomponenten erforderlich, welche mittels eines zentralen Managementwerkzeugs verwaltet und überwacht werden können. Dieses zentrale Management soll sicherstellen, dass alle relevanten Komponenten mindestens ein Mal täglich mit aktuellen Angriffsmustern und Signaturen versorgt werden können und zugleich über eine Schnittstelle für Alarme und Meldungen zu weiteren Überwachungs- und Korrelationssystemen ver fügen.
Die im Rahmen des Schutzes vor Schadprogrammen definierten Richtlinien sollen darüber hinaus im
M1.0 4 -3(1): Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.0 4 -3(2): Spoofing Information Disclosure Denial of Service Elevation of Privilege
Konzept bzgl. der Pflege von Informationssystemen, Patches, Updates und Upgrades berücksichtigt werden, um einerseits einen präventiven Schutz gewährleisten zu können und andererseits sowie ins besondere im Rahmen von Gegenmaßnahmen auch auf bestehende Gefährdungen durch Schadprogramme reagieren zu können (bspw. durch das Schließen von Schwachstellen in einer Soft ware).
(3) Schutz vor APT (Advanced Persistent Threats):
Die Cloud-Umgebung des CSP muss gegen APT-Attacken geschützt werden. Dazu müssen geeignete Network Access Control-Mechanismen (NAC) implementiert werden, welche als (mehrstufige) Schutz zonen sich über alle in Kommunikation miteinander befindlichen Komponenten (dazu zählen auch die Anwendungen und Schnittstellen) und Systeme erstrecken.
Die Umsetzung sollte mittels effizienter NAC in Verbindung mit anderen Secure Remote Access-Technologien, wie bspw. Firewalls und Hybrid IPsec/SSL VPNs erfolgen.
Anmerkung: Da APT-Attacken häufig auch durch den Missbrauch von Social Engineering ausgelöst werden sind die Mitarbeiter des CSP regelmäßig auf die Gefahren und den Umgang mit Social Engineering hinzuweisen (siehe dazu auch M3.03-4)
Für die Abwehr von APT-Attacken gibt es eine gesonderte Empfehlung der Allianz für Cyber Sicherheit, die in der vollen Version jedoch nur für die Mitglieder zugänglich ist. Diese Empfehlungen sollten zur zusätzlichen Risikoreduktion angewendet werden.
(4) Notfallkonzepte (Disaster Recovery):
Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für den Schutz von Informationssystemen im Falle des Eintretens unerwarteter, aber technisch beherrschbarer Ereignisse, wie den Ausfall technischer Komponenten oder Bedrohungen durch Elementarereignisse wie Feuer, Wasser oder andere Umwelteinflüsse, verfügen.
Diese Richtlinien sollten Teil eines umfassenden Notfallmanagements (Business Continuity Management) auf der Basis etablierter Standards (z.B. ISO 22301 oder BSI-Standard 100-4, ect.) sein. Die darin beschriebenen Regelungen und Maßnahmen sollten regelmäßig, auf der Basis etablierter Prozesse erprobt und auf ihre Wirksamkeit und Zulässigkeit hin überprüft werden.
(5) Pflege von Informationssystemen, Patches, Updates und Upgrades:
Die Systeme und Komponenten der Cloud-Umgebung des CSP müssen in regelmäßigen Intervallen sowie bei aktuell gegebenen Bedarf mit verifizierten und zuvor erfolgreich getesteten Patches, Updates aktualisiert werden.
Ein erfolgreicher Test und die Abnahme einer jeden Aktualisierung und Pflegemaßnahme innerhalb einer separaten Test- und Referenzumgebung muss der Aktualisierung vorangehen, um die aus der
M1.0 4 -3(3): Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M1.0 4 -3(4): Information Disclosure Denial of Service
M1.0 4 -3(5): Tampering Information Disclosure Denial of Service
gegebenen Komplexität nicht kalkulierbaren Sachverhalte vorher feststellen, sowie dass daraus not wendig werdene Vorgehen sicher evaluieren zu können, ohne die Grundschutzwerte des operativen Systems/der operativen Umgebung zu gefährden.
Diese Aktualisierungen sollen der zu gewährleistenden Verfügbarkeit der Cloud Services, aber auch zur Sicherstellung der gewünschten Funktionsweise im Rahmen der erforderlichen Vertraulichkeit dienen. Zugleich müssen die betroffenen Systeme und Komponenten so gepflegt werden, dass ihre sichere Konfiguration uneingeschränkt gegeben ist und erforderliche Anpassungen somit auch zeitnah erfolgen können.
Zur Sicherstellung der Verfügbarkeit der Cloud Services für die Serviceabonnenten sind derartige Maßnahmen rechtzeitig vorher anzukündigen bzw. bei einem größeren Umfang (bspw. beim Upgrade von Hard- und Software) mit dem jeweiligen Mandanten gemeinsam abzustimmen.
M1.04-4 Der Cloud Service Provider muss dokumentierte Prozesse etablieren, welche die Realisierung dieser Richtlinien durchsetzen, kontrollieren und ihre Wirksamkeit regelmäßig überprüfen und nach vollziehbar dokumentieren.
2.2 Technische Sicherheitsmaßnahmen
M2.01 Authentifizierung und Autorisierung M2.01-1 Die Informationssysteme des Cloud Service müssen eine
• zuverlässige Replay-resistente Multifaktor-Authentisierung für Netzwerkzugriffe auf privilegierte und nicht-privilegierte Nutzerkonten eines Serviceabonnenten,
• zuverlässige Replay-resistente Multifaktor-Authentisierung für Zugriffe auf Komponenten, Systeme und Daten des Service durch Mitarbeiter des Serviceproviders sowie in die Bereitstellung des Service involvierter Dritter durchsetzen.
M2.01-2 Dabei ist sicherzustellen, dass rollen- und regelbasierte Zugriffe auf Komponenten und Systeme nur in Verbindung mit einer eindeutigen, individuellen (d. h. personen- oder für Dienste mittels einer systembezogenen) Authentifizierung möglich sein dürfen.
Die personen- oder systembezogene Authentisierung muss der rollen- und regelbasierten Authentisierung übergeordnet sein. Eine Umgehung von Authentifizierungsmaßnahmen beim Zugriff auf Anwendungen, Komponenten und Daten darf nicht möglich sein.
Ein nicht autorisierter Zugriff auf und die Manipulation von Authentifizierungsinformationen muss nach Maßgabe zu erwartender Bedrohungen ausgeschlossen werden können.
Anmerkung: Um darüber hinaus einen sicheren nach Mandanten und nach Akteuren getrennten Zugriff etablieren zu können, ist die Kennzeichnung (Attribuierung) von Informationen und Daten gemäß der Schutzbedarfsfeststellung des Serviceabonnenten eine wesentliche Voraussetzung. Auf der Grundlage dieser Kennzeichnung kann im Anschluss an die erfolgreiche Authentifikation des jeweiligen Akteurs auch die Autorisierung für den Zugriff auf Anwendungen und Objekte zweifelsfrei festgestellt werden.
M2.01: Spoofing Repudiation Information Disclosure Elevation of Privilege
M2.02 Schutz gespeicherter Daten M2.02-1 Die Informationssysteme des Cloud Service müssen sicherstellen, dass ein Zugriff auf Kundendaten erst nach erfolgreicher und zweifelsfreier Identifikation und Authentifikation (sowohl bzgl. aller Akteure, als auch in Frage kommender Dienste) möglich ist (siehe auch M1.01, M1.03, M1.04 und M2.01). Durch die zwingende Verknüpfung rollen- und regelbasierter Zugriffe mit individuellen Authenti fikationsinformationen muss eine unbemerkte Eskalation von Zugriffsrechten verhindert werden können.
M2.02-2 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Verschlüsselung von Daten:
Storage-Security-Appliances müssen für die Data-at-Rest-Sicherheit über Funktionen wie Datenver schlüsselung, Zugangsschutz, Firewall, Logging und Auditing sowie Key-Management verfügen. Die Sicherheit und die Zuverlässigkeit der kryptographischen Maßnahmen und Komponenten sowie die Integrität verschlüsselt gespeicherter Daten ist regelmäßig zu überprüfen und zu nachzuweisen.
(2) Sichere Trennung von Komponenten, Diensten und Daten (Multi-Mandanten-Fahigkeit):
Die Informationssysteme des Cloud Service müssen eine strikte und sichere Trennung von Komponenten, Diensten, Anwendungen und Daten verschiedener Serviceabonnenten durchsetzen. Eine Kompromittierung der Integrität ausführbarer Programme und/oder Programminstanzen darf nach Maßgabe zu erwartender Bedrohungen nicht unbemerkt bleiben. Der Zugang zu diesen Komponenten, insbesondere zu genutzten Speichermedien, darf nur ausdrücklich autorisierten Personen möglich sein (siehe M1.01).
Anmerkung: Die Trennung von Mandanten und Ressourcen muss stringent und fehlerfrei beginnend mit der Anmeldung im ADL bis hin zum Informations-/Datenobjekt, auf welches durch die jeweilige Anwendung zugegriffen werden soll, durchgesetzt werden. Dazu braucht es eindeutige und zweifels freie elektronische Identitäten sowie sichere und nicht zu umgehende Authentifikationsprozeduren, mit denen einer Eskalation von Zugriffsrechten zuverlässig begegnet werden kann.
(3) Sichere Konfiguration von Speicher-Arrays/SAN: Die Speicherressourcen des CSP müssen gegen die unbefugte Kenntnisnahme und den unbefugten Zugriff durch Dritte geschützt werden. Daten und (virtualisierte) Speicherressourcen sind sicher zu konfigurieren, bspw. durch sicheres Zoning und/oder LUN Masquerading. Anmerkung: Zur Sicherstellung der Vertraulichkeit der in der Cloud- Umgebung gespeicherten Informationen und Daten eines jeden einzelnen Mandanten, ist es erforderlich, dass der jeweilige Serviceabonnent zusammen mit dem CSP auf der Grundlage der Schutzbedarfsfeststellung des Serviceabonnenten prüft und festlegt, welche Form des Zoning und/oder Masquerading genutzt werden müssen.
(4) Überprüfung der Integrität und Sicherstellung der Verwendbarkeit:
Die Integrität gespeicherter Daten und die Lesbarkeit bzw. die Verwendbarkeit der Speichermedien und
M2.02-2(1): Tampering Information Disclosure Denialof Service
M2.02-2(2): Tampering Information Disclosure
M2.02 -2 (4): Tampering
der darauf befindlichen Daten sind regelmäßig und unabhängig vom Speicher- oder Aufbewahrungs zeitraum zu überprüfen und zu protokollieren.
(5) Datensicherung, Backup und Archivierung:
Die gemäß M1.04-3(3) definierten Richtlinien sind so umzusetzen, dass erforderliche Daten sicherungsmaßnahmen zu den definierten Intervallen unterbrechungsfrei und sicher stattfinden.
Der CSP muss sicherstellen, dass die hierfür benötigten Systeme und Speicherkapazitäten unein geschränkt zur Verfügung stehen und überwacht werden. Regelmäßige Backup-Maßnahmen müssen den Verlust gespeicherter Daten durch Ausfall oder Störungen von virtuellen und/oder physikalischen Ressourcen verhindern und eine unverzügliche Wiederaufnahme des Service in der zugesicherten Leistungsgüte gewährleisten.
(6) Einstufung und Kennzeichnung von Daten: Die durch den Serviceabonnenten als schutzbedürftig definierten Informationen/Daten (sowohl die kritischen Kundendaten auf den Datenhaltungsschichten und -systemen, als auch die Konfigurations daten der involvierten Komponenten, siehe auch M1.03-3(1)), sind gemäß dem dazu gemeinsam er arbeiteten Konzept zu klassifizieren und zuverlässig zu kennzeichnen (digital classification label). Ziel ist die Anwendung der getroffenen Definitionen auf alle Daten des jeweiligen Serviceabonnenten, ein schließlich der separat gespeicherten Konfigurationsdaten der für die Cloud Services des jeweiligen Mandanten relevanten Systeme und Komponenten. Hierzu können Anwendungen oder Scripte für Office-Anwendungen oder Dienste genutzt werden (bspw. die Kennzeichnung der Daten aufgrund der Gruppenzugehörigkeit des Erstellers/Besitzers oder auf Grund des Inhalts/der Schlagworte in einer Datei), welche die vom CSP etablierten Prozesse zur Einstufung und Kennzeichnung sowie zur Wahrung der Integrität unterstützen. Anmerkung: Die Kennzeichnung (Attribuierung) der Information und Daten auf der Grundlage der Schutzbedarfsfeststellung durch den Serviceabonnenten stellen eine entscheidende Voraussetzung für Regelungen bzgl. der Gewährung von Zugang und Zugriff auf diese Daten dar. Nur so ist eine benutzer- und systembestimmte Trennung von Mandanten und Akteuren eines Mandanten stringent durchsetz bar.
Denial of Service
M2.02 -2 (5): Denial of Service
M2.02 -2 (6): Tampering Information Disclosure Denial of Service Elevation of Privilege
M2.03 Schutz von Daten während der Kommunikation/des Transports M2.03-1 Die Informationssysteme des Cloud Service müssen vertrauenswürdige Kommunikationskanäle und Kommunikationsendpunkte für die Kommunikation mit dem Serviceabonnenten sowie der Daten übertragung zwischen den Servicekomponenten und -systemen einschließlich der Kommunikation mit in volvierten Drittanbietern bereit stellen.
M2.03-2 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Schutz der Kommunikation und Kommunikationsendpunkte:
Die Informationssysteme des Cloud Service müssen vertrauenswürdige Kommunikationskanäle und Kommunikationsendpunkte für die Kommunikation mit dem Serviceabonnenten sowie der Datenüber tragung zwischen den Servicekomponenten und -systemen einschließlich der Kommunikation mit in volvierten Drittanbietern bereit stellen. Der hierbei erwartete Funktionsumfang muss unter anderem die Verschlüsselung der Kommunikation, die zwingende Zugriffskontrolle für die Management-Schnitt stelle(n), eine Switch-zu-Switch-Authentifikation und -Autorisierung sowie die Zugriffskontrolle auf etwaige Device-Level (Ports) umfassen.
Die Vertrauenswürdigkeit muss durch eine ausreichende Verschlüsselung der Kommunikationskanäle, eine sichere Authentisierung der Kommunikationsendpunkte, geeignete Maßnahmen zum Schutz der Authentizität von Kommunikationssitzungen sowie die Validierung importierter Daten unterstützt werden. Daher sind zu diesem Zweck ausschließlich sicherheitsgeeignete Technologien und Verfahren sowie sicherheitsüberprüfte Kommunikationsanbieter (ISP) einzusetzen.
Störungen der Kommunikation ausgelöst durch Fehlverhalten oder den Ausfall von Komponenten müssen durch eine ausreichende redundante Auslegung der Kommunikationsressourcen, einschließ lich der relevanten Netzwerkverbindungen und genutzten Plattformen, begegnet werden.
Anmerkung: Für das Anwendungsszenario „SaaS CRM“ ist der Schutz der Informationen und Daten während der Kommunikation mit und in der Cloud-Umgebung des CSP besonders wichtig. Aus diesem Grund sind insbesondere die Kommunikationsverbindungen und die entsprechenden Kommunikationsendpunkte durch geeignete Maßnahmen ausreichend zu schützen, so dass ein nicht autorisierter Zutritt und Zugang nach Maßgabe zu erwartender Bedrohungen ausgeschlossen werden kann. Eine redundante Auslegung ermöglicht im Fall einer Kompromittierung die Schließung be troffener Kommunikationskanäle und den Wechsel auf nicht kompromittierte Kommunikationskanäle.
(2) Überwachung der Aktivitäten in Netzwerken mittels NIDS (Network Intrusion Detection System):
Die Kommunikation zwischen Abonnenten, Komponenten und Systemen des Cloud Service ist durch Netzwerk-basierte Intrusion Detection Systeme zu überwachen und zu protokollieren, um so auf tretende Anomalien, Auffälligkeiten, Gefährdungen und Angriffe schnellstmöglich feststellen zu können.
Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen umgehend und automatisch an ge eignete SIEM- Systeme (Security Information and Event Management) weitergeleitet werden, um aus den korrelierten Informationen umgehend erforderliche (Gegen-) Maßnahmen initiieren zu können. Die Log-Daten müssen zuverlässig vor Manipulation und Verlust geschützt werden.
M2.03-2(1): Spoofing Tampering Repudiation Information Disclosure Denial of Service
M2.03-2(2): Spoofing Repudiation Information Disclosure Denial of Service
(3) Überwachung der Kommunikation mittels HIDS (Host-basierten Intrusion Detection Systemen):
Zur Realisierung der Kommunikation zwischen Abonnenten, Komponenten und Systemen des Cloud Service muss die Steuerung der Datenströme (bspw. zur Annahme, Prüfung und Beantwortung von Anfragen) durch zentralisierte Systeme (bspw. für die Authentifizierung und Autorisierung) erfolgen.
Diese Informationssysteme stellen aufgrund ihrer herausgehobenen und zentralen, für die Cloud Services entscheidende Rolle besonders gefährdete und schützenswerte Objekte dar. Derartige Systeme sind deshalb zusätzlich zu M2.03-2(2) als operativ kritische Ressourcen mittels HIDS zu überwachen.
Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen umgehend und automatisch an ge eignete SIEM- Systeme (Security Information and Event Management) weitergeleitet werden, um aus den korrelierten Informationen erforderliche (Gegen-) Maßnahmen initiieren zu können. Die Log-Daten müssen zuverlässig vor Manipulation und Verlust geschützt werden.
(4) Schutz wichtiger Daten mittels DLPS (Data Loss Prevention System):
Als besonders schützenswert eingestufte Daten und Informationen müssen nicht nur hinsichtlich ihrer sicheren Speicherung/Aufbewahrung, sondern auch während jeder Form der Kommunikation und des Austauschs dieser Inhalte zuverlässig geschützt werden.
Hierzu sollen DLPS eingesetzt werden, welche nicht nur gegen externe Akteure prüfen und agieren, sondern auch die Nutzer der Cloud Services beim Umgang mit derartig sensiblen Informationen unter stützen. Der hierbei erwartete Funktionsumfang soll sich nicht nur auf die Entdeckung von Manipulationsversuchen sensibler Inhalte während der Kommunikation beschränken, sondern vor allem auch die Durchsetzung von zuvor definierten Datenschutzrichtlinien durchsetzen.
Die Umsetzung dieser Richtlinien muss die sichere Verhinderung von nicht gewollter Kommunikation sensibler Inhalte und die Protokollierung und Weiterleitung der Auffälligkeiten an zentrale Über wachungs- und Managementinstanzen (bspw. ein SIEM-System) umfassen. Darüber hinaus soll aber auch die Benachrichtigung des verursachenden Akteurs, dass die aktuell initiierte Kommunikation so nicht erlaubt ist, unterstützt werden.
DLP-Systemfunktionen müssen hierbei mindestens die aktive Prüfung der für den Download und/oder Upload auf externe bzw. nicht zuvor definierte Zielsysteme erlaubten Inhalte (einschließlich mobiler Endgeräte, wie bspw. Notebooks und Smartphones), als auch die Prüfung von Berechtigungen der Kommunikationsakteure (wer darf zu welchem Zweck was mit wem kommunizieren) umfassen.
Anmerkung: DLPS stellen aktive Sicherheitskomponenten der für die Bereitstellung der Cloud Services notwendigen Netzwerke und der an diese Netze angeschlossenen Kommunikationsschnitt stellen und Speicherbereiche (bspw. Speicher-Arrays und SAN sowie E-Mail-Server) dar. DLP-Systeme
M2.03-2(3): Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M2.03-2(4): Tampering Repudiation Information Disclosure Denial of Service
sind daher für das Anwendungsszenario „SaaS CRM“ von besonderer Bedeutung. Mit ihrer Hilfe ist eine zuverlässige Kontrolle zulässiger Kommunikationspartner wie auch der Kommunikationsinhalte mög lich. Damit wird nicht nur die erforderliche Trennung der Mandanten unterstützt, sondern auch die zwingende Authentifikation und Autorisierung einzelner Akteure sowie die Wahrung der Vertraulichkeit und der Integrität durch die Einschränkung bzw. eindeutige Definition zulässiger Kommunikation von sensiblen und schützenswerten Inhalten.
(5) Regelmäßige Schwachstellen- und Penetrationstests:
Die Sicherheit der Kommunikationsendpunkte muss durch regelmäßige Schwachstellenscans (vulnerabilty scanning) und Penetrationstests geprüft werden. Die dabei festgestellten Schwachstellen sind durch sicherheitsrelevante Patches und Updates von betroffenen Kommunikationssystemen un verzüglich zu beheben. Die Ergebnisse eines jeden Tests sind zu dokumentieren und vor Manipulation und vor Bloßstellung/ vor Einsicht- und Kenntnisnahme geschützt aufzubewahren sowie zur zeitnahen Aktualisierung und Anpassung von Sicherheitsrichtlinien einzusetzen.
M2.03-2(5): Spoofing Repudiation Information Disclosure Denial of Service
M2.04 Schutz von Informationssystemen M2.04-1 Die Informationssysteme des Cloud Service müssen eine sichere Authentifikation beim Zugriff auf Nutzerkonten, Komponenten und Systeme durchsetzen. Der Zutritt und Zugang zu sowie der Zugriff auf besonders kritische Systeme oder Anwendungen, wie Managementkonsolen, muss durch eine sichere Multi-Faktor- Authentifizierung geschützt werden.
M2.04-2 Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:
(1) Gesicherte Infrastruktur:
Ein unbemerkter Austausch von Komponenten und Systemen des Cloud Service muss durch eine zu verlässige, kryptographisch gesicherte, gegenseitige Authentifizierung und den Einsatz mehrerer, den Sicherheitszonen der genutzten Infrastruktur entsprechenden Zutrittskontrollsysteme verhindert werden. Gemäß M1.01 muss der CSP formale Prozesse etablieren, welche den Zutritt und den Zugang zu Komponenten und Systemen des Cloud Service ausschließlich für autorisierte Personen ermög lichen.
Der Zutritt und Zugang zu sowie der Zugriff auf diese Ressourcen ist zu protokollieren und diese Protokolle sind sicher aufzubewahren und zuverlässig vor Verlust oder Manipulation zu schützen.
(2) Schutz von Konfigurationsdaten:
M2.04-2(1): Spoofing Tampering Repudiation Information Disclosure Denial of Service
M2.04-2(2): Tampering Information Disclosure Denial of Service
Maßgabe zu erwartender Bedrohungen nicht möglich sein.
Änderungen an den Konfigurationsdaten dürfen nur von ausdrücklich autorisierten Benutzern und nicht ohne eine vorangehende Multi-Faktor-Authentifizierung ausgeführt werden. Die Änderungen müssen protokolliert, die Protokolle zuverlässig vor Verlust oder Manipulation geschützt werden.
(3) Überwachung kritischer kritischer Ressourcen:
Aktivitäten und Zugriffe auf operativ kritische physische Ressourcen sind gemäß M2.03-2(2) und M2.03-2(3) durch Netzwerk- bzw. Host-basierte Intrusion Detection Systeme (NIDS/HIDS) zu über wachen und zu protokollieren.
Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen umgehend und automatisch an ge eignete SIEM- Systeme (Security Information and Event Management) weitergeleitet werden, um aus den dann korreliert zur Verfügung stehenden Informationen erforderliche (Gegen-) Maßnahmen um gehend initiieren zu können.
Die Log-Daten und Protokolle sind zuverlässig vor Manipulation und Verlust zu schützen.
(4) Schutz wichtiger Ressourcen mittels IPS (Intrusion Prevention System):
Zusätzlich zu M2.03 sind wichtige Ressourcen der Cloud-Umgenung des CSP durch IP-Systeme so zu schützen, dass die durch NIDS/HIDS festgestellten Auffälligkeiten die sofortige Auslösung von zuvor definierten Aktionen (bspw. Blockade von Ports oder Verbindungen, Beendigung von Kommunikations strömen und Versendung von Alarmen an entsprechende SIEM-Systeme und verantwortliche Akteure) zur Folge haben.
Alle Aktionen von durch IPS initiierten Aktionen müssen automatisch durch das auslösende System protokolliert und sollen umgehend an geeignete SIEM- Systeme (Security Information and Event Management) weiterzuleiten. Die Log-Daten und Protokolle müssen zuverlässig vor Manipulation und Verlust geschützt werden.
Anmerkung: Für das Anwendungsszenario „SaaS CRM“ ist der Schutz der Informationen und Daten während der Kommunikation mit und in der Cloud-Umgebung des CSP besonders wichtig. Aus diesem Grund ist der Einsatz von IPS unabdingbar. Denn nur mittels dieser Intrusion Prevention Systeme kann zuverlässig ein nicht autorisierter Zugriff auf entsprechend schützenswerte Informationen und Daten des jeweiligen Dienstabonnenten festgestellt und ggf. verhindert werden. Zugleich unterstützt der Einsatz von IPS die Wahrung der Verfügbarkeit der für die entsprechenden Cloud- Dienste erforder lichen Komponenten des CSP.
(5) Schutz kritischer Komponenten mittels HIPS (Host-based Intrusion Prevention System):
Zusätzlich zu M2.03 und M2.04-2(3) sind kritische Komponenten der Cloud-Umgebung, d. h. Systeme, welche für den operativen Betrieb maßgeblich von Bedeutung sind (wie bspw. E-Mail-Server,
M2.04-2(3): Spoofing Repudiation Information Disclosure Denial of Service Elevation of Privilege
M2.04-2(4): Spoofing Tampering Information Disclosure Denial of Service
M2.04-2(5): Spoofing Tampering
Metadaten- und Verzeichnissysteme und Sicherheitskomponenten wie RADIUS-Sever), durch HIP-Systeme so zu schützen, dass die durch NIDS/HIDS festgestellten Auffälligkeiten die sofortige Aus lösung von zuvor definierten Aktionen (bspw. Beendigung von Diensten oder Anwendungen, Blockierung des eingehenden Verkehrs und Versendung von Alarmen an entsprechende SIEM-Systeme und verantwortliche Akteure) zur Folge haben.
Alle durch das IPS initiierten Aktionen müssen automatisch durch das auslösende System zu protokolliert und sollen umgehend an geeignete SIEM- Systeme (Security Information and Event Management) weitergeleitet werden. Die Log-Daten und Protokolle müssen zuverlässig vor Manipulation und Verlust geschützt werden.
(6) Schutz virtualisierter Ressourcen:
Virtualisierte Ressourcen müssen zusätzlich zu den gemäß M2.04 definierten Richtlinien auch durch sicheres Zoning und / oder LUN Maskerading vor der unbefugten Kenntnisnahme und dem unbefugten Zugriff durch Dritte geschützt werden.
Sicherheitsupdates oder –patches müssen unverzüglich getestet und eingespielt werden. Diese Maß nahmen müssen dokumentiert, die Dokumente (Protokolle) vor Verlust und Manipulation geschützt werden.
Die Sicherstellung des Schutzes der virtualisierten Ressourcen muss auch die Durchsetzung der Maß gaben und Richtlinien gemäß M1.03, M1.04, M1.05 und M2.02 für alle VM-spezifischen Komponenten und Prozesse (bspw. den Zugriff auf VM-Management-Konsolen oder VM-Tools, die Ver waltung von VM User Accounts, die Konfiguration/Setup und die Verteilung von VMs und Virtual Appliances (VAPs), die Erstellung und Verwaltung von Snapshots, den Anschluss und die Trennung von virtuellen Geräten, die sichere Zuweisung von physikalischen Ressourcen etc.) umfassen.
(7) Redundanz von Ressourcen:
Repudiation Information Disclosure Denial of Service Elevation of Privilege
M2.04-2(6): Tampering Information Disclosure Denial of Service
M2.04-2(7): Denial of Service
M2.05 Incident Response Capability M2.05-1 Der Cloud Service Provider muss über die Fähigkeit (technische und organisatorische Aus rüstung) verfügen, sicherheitsrelevante Störfälle unverzüglich und angemessen zu behandeln. Das schließt die Vorbereitung auf sicherheitsrelevante Störfälle, die Entdeckung und Analyse, die Ein dämmung, die Beseitigung der Ursachen und die Wiederherstellung des ordnungsgemäßen Betriebs in
M2.05: Spoofing Information Disclosure Denial of Service Elevation of Privilege
der vereinbarten Leistungsgüte ausdrücklich ein. M2.05-2 Operative Log-Daten sollen in einem Security Information and Event Management System (SIEM) aggregiert und automatisch auf Auffälligkeiten (sicherheitsrelevante Ereignisse) bewertet sowie vor Manipulation und Verlust geschützt werden. Die so gewonnenen Erkenntnisse sind in regelmäßigen Abständen (bspw. monatlich oder halbjährlich), sowie auf Verlangen, dem Serviceabonnenten in Form eines auf die durch ihn genutzte Cloud-Umgebung hin angepassten Reports bereitzustellen.
2.3 Personelle Sicherheitsmaßnahmen
M3.01 Sicherheitsüberprüfung M3.01-1 Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für die regel mäßige Sicherheitsüberprüfung seiner Mitarbeiter (siehe M1.01-2(2) und Geheimschutzhandbuch BMI) ver fügen. Die Richtlinien sollen Ziele, Geltungsbereiche und je nach zugewiesenen Aufgabenbereichen und damit verbundenen Berechtigungen abgestufte Prüfkriterien, Rollen und Verantwortlichkeiten, die Ko ordination unterschiedlicher Unternehmenseinheiten sowie Informationswege beim Eintritt sicherheits relevanter Ereignisse oder fahrlässigen Verhaltens umfassen.
M3.01-2 Auf der Grundlage dieser Richtlinien muss der Cloud Service Provider dokumentierte Prozesse etablieren mit denen regelmäßige Sicherheitsüberprüfungen durchgesetzt werden. Die Durchführung der regelmäßigen Sicherheitsüberprüfung beinhaltet auch die Erstellung und die Pflege der aktenkundigen Nachweise bzgl. der Belehrung des überprüften Personals.
M3.01-3 Der Cloud Service Provider muss gemäß M1.04-2(4) dokumentierte Prozesse etablieren, mit denen in regelmäßigen Abständen die Zuweisung von Berechtigungen überprüft wird. Für aus geschiedene Mitarbeiter müssen die Authentifikationsdaten und zugewiesenen Berechtigungen unver züglich und nachweislich gelöscht werden.
M3.01: Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
M3.02 Überprüfung zugewiesener Berechtigungen und benötigter Identitäten (Accounts) M3.02-1 Auf der Grundlage der Richtlinien gemäß M1.01(1) muss der Cloud Service Provider dokumentierte Prozesse etablieren, mit denen in regelmäßigen Abständen bestehende digitale Identi täten und die erfolgte Zuweisung von Berechtigungen überprüft werden. Die Überprüfung darf nicht nur die Akteure des Cloud Service Providers umfassen, sondern ist auch für die Administratoren des Service
M3.02: Spoofing Tampering Repudiation Information Disclosure
abonnenten und etablierte Dienste (Service Accounts) durchzuführen.
M3.02-2 Gemäß M1.04-2(4) müssen für ausgeschiedene Mitarbeiter oder nicht mehr unter Vertrag stehende Servicepartner die Authentifikationsdaten und zugewiesenen Berechtigungen unverzüglich und nachweislich gelöscht werden.
Denial of Service Elevation of Privilege
M3.03 Sicherheitsverhalten und Sicherheitstraining M3.03-1 Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für das erforder liche Sicherheitsverhalten und Sicherheitstraining der Mitarbeiter entsprechend den ihnen zugewiesenen Aufgaben und Verantwortlichkeiten verfügen.
M3.03-2 Die Richtlinien sollen Ziele, Geltungsbereiche, Rollen und Verantwortlichkeiten, die Ko ordination unterschiedlicher Unternehmenseinheiten, Informationswege und einzuleitende (Sofort-) Maß nahmen beim Eintritt sicherheitsrelevanter Ereignisse oder fahrlässigen Verhaltens umfassen.
M3.03-3 Die Richtlinien müssen regelmäßig durch den CSP in Bezug auf die aktuell bestehenden Er fordernisse sowie die gegebene Sicherheitslage hin angepasst und überprüft werden.
M3.03-4 Auf der Grundlage der Richtlinien muss der Cloud Service Provider Prozesse etablieren, welche die Umsetzung unterstützen. Dazu gehören:
• die regelmäßige und dokumentierte Einweisung und Schulung in die sichere Konfiguration, den sicheren Betrieb und das sichere Management der für den Service erforderlichen Systeme und Komponenten,
• die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung von Sicherheitsmaßnahmen,
• die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung datenschutzrechtlicher Regelungen und Anforderungen,
• die regelmäßige und dokumentierte Unterrichtung über bekannte Bedrohungen und • das regelmäßige und dokumentierte Training des Verhaltens beim Auftreten sicherheitsrelevanter
Ereignisse. Besonderer Fokus soll dabei sein, die Mitarbeiter zu befähigen, Social Engineering Attacken, die gerade bei mehrstufigen Angriffen und APTs eine vorbereitende Funktion haben, zu erkennen und ihnen durch entsprechende Prozesse beim CSP zu begegnen.
M3.03: Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege
Inhaltsverzeichnis
