Logo der activeMind AG

ISO 27002Kapitel 5.23 Nutzung von Cloud-Diensten

Die Nutzung von Cloud-Diensten hat in den letzten Jahren stark zugenommen und oft zahlreiche Vorteile wie Skalierbarkeit, Flexibilität und Kosteneinsparungen bewirkt. Gleichzeitig bringen diese Dienste jedoch auch spezifische Sicherheitsrisiken mit sich, die adressiert werden müssen.

Gemäß ISO/IEC 27002 Abschnitt 5.23, sind organisatorische Maßnahmen von entscheidender Bedeutung, um die Informationssicherheit bei der Nutzung von Cloud-Diensten zu gewährleisten. Im Folgenden werden einige Beispiele dargestellt.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Technische und organisatorische Maßnahmen bei der Nutzung von Cloud-Diensten

Erstellung einer Cloud-Strategie

Eine klar definierte Cloud-Strategie legt die Ziele, Anforderungen und Richtlinien für die Nutzung von Cloud-Diensten fest. Im Ergebnis sollte sichergestellt sein, dass Richtlinien der Organisation und gesetzliche Vorgaben beachtet werden. Eine geeignete Strategie umfasst unter anderem Vorgaben für die Auswahl eines Cloud-Anbieters und die anschließende Zusammenarbeit, die Definition von Zugriffsrichtlinien und die Festlegung von Datenklassifizierungen. Vor allem sollte eine klare Strategie vorhanden sein, wie laufend sichergestellt und überwacht wird, dass ein klar festgelegtes Niveau an Informationssicherheit aufrechterhalten wird und Abweichungen zuverlässig und kurzfristig abgestellt werden.

Durchführung einer umfassenden Risikobewertung

Eine gründliche Risikobewertung hilft dabei, potenzielle Sicherheitslücken und Bedrohungen in Bezug auf die Cloud-Nutzung zu identifizieren. Basierend auf den Ergebnissen der Bewertung können geeignete Sicherheitsmaßnahmen ergriffen und Risiken minimiert werden.

Beispiel für den Bereich Datenschutz

Vertragsgestaltung mit Cloud-Anbietern

Bei der Nutzung von Cloud-Diensten ist es wichtig, klare Vereinbarungen mit den Anbietern zu treffen. Verträge sollten Bestimmungen zur Datensicherheit, zur Verfügbarkeit der Dienste, zur Datenübertragung und zum Datenschutz enthalten. Außerdem sollten Regelungen zur Beendigung des Vertrags und zur Rückgabe der Daten nach Vertragsende festgelegt werden. Das Gesagte gilt selbst dann entsprechend, wenn kein wesentlicher Einfluss auf die Vertragsgestaltung des Cloud-Anbieters genommen werden kann. Auch in diesen Fällen ist immer zu prüfen, ob die eigenen Anforderungen erfüllt werden und wie ggf. verbleibende Risiken behandelt werden können.

Schulung und Sensibilisierung der Mitarbeiter

Um das Sicherheitsbewusstsein in Bezug auf die Nutzung von Cloud-Diensten zu erhöhen, sollten Mitarbeiter regelmäßig geschult und sensibilisiert werden. Dies beinhaltet die Schulung in Bezug auf die sichere Verwendung von Cloud-Diensten, die Erkennung von Phishing-Angriffen und die Sensibilisierung für die Verantwortung jedes Einzelnen im Umgang mit sensiblen Daten.

Die Nutzung von Cloud-Diensten in der ISO 27002

Es ist wichtig anzumerken, dass die oben genannten organisatorischen Lösungen nicht als vollständige Liste angesehen werden sollten, sondern als Ausgangspunkt für die Implementierung angemessener Sicherheitsmaßnahmen dienen sollten.

Durch die Umsetzung dieser organisatorischen Lösungen kann Organisationen dabei geholfen werden, eine sichere Nutzung von Cloud-Diensten zu gewährleisten und gleichzeitig ihre vertraulichen Informationen zu schützen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind stellt Ihren Mandanten ein maßgeschneidertes Lieferantenkonzept zur Verfügung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.