ISMS in der Cloud: Geltungsbereich, Verantwortung und Controls

Sobald ein Unternehmen Cloud-Dienste nutzt, stellt sich die Frage, wie diese in das Managementsystem für Informationssicherheit passen. Die kurze Antwort: Cloud und SaaS gehören in den Geltungsbereich des ISMS. Was sich verschiebt, ist nicht die Verantwortung des Unternehmens, sondern die Aufteilung der konkreten Aufgaben mit dem Anbieter.

Viele unterschätzen genau diesen Punkt. Die Cloud nimmt einem den Serverbetrieb ab, aber nicht die Haftung für die Sicherheit der eigenen Daten. Dieser Artikel zeigt, wie Sie Cloud sauber in den Scope nehmen, das Shared-Responsibility-Modell richtig lesen und welche Controls in der Cloud zusätzlich greifen.

Was ändert sich am ISMS bei Cloud-Nutzung?

Ein ISMS schützt Informationen unabhängig davon, wo sie liegen. Ob Daten im eigenen Serverraum oder bei einem Cloud-Anbieter verarbeitet werden, ändert nichts an den Schutzzielen. Es ändert die Art, wie diese Ziele erreicht werden. Statt eigene Hardware abzusichern, steuert das Unternehmen die Auswahl, Konfiguration und Überwachung des Anbieters.

Der häufigste Denkfehler ist die Annahme, mit dem Wechsel in die Cloud sei das Thema Sicherheit ausgelagert. Tatsächlich bleibt das Unternehmen verantwortlich, etwa für korrekt vergebene Zugriffsrechte, verschlüsselte Daten und die Frage, welcher Anbieter überhaupt geeignet ist. Wie ein ISMS grundsätzlich aufgebaut wird, beschreiben wir unter ISMS aufbauen. In der Cloud kommt eine Steuerungsebene hinzu, keine Entlastung von der Verantwortung.

Auch rechtlich bleibt die Verantwortung beim Unternehmen. Wer personenbezogene Daten in der Cloud verarbeiten lässt, bleibt nach Datenschutzrecht verantwortlich und muss den Anbieter vertraglich binden, etwa über einen Auftragsverarbeitungsvertrag. Die Cloud ist damit kein Grund, Anforderungen abzugeben, sondern ein Grund, sie sauberer zu dokumentieren.

Gehört die Cloud in den ISMS-Scope?

Ja. Jeder Cloud-Dienst, der schützenswerte Informationen verarbeitet, gehört in den Geltungsbereich des ISMS. Ihn auszuklammern, weil der Betrieb extern liegt, erzeugt eine gefährliche Lücke: Im Audit und im Ernstfall zählt, ob die Information geschützt ist, nicht wo sie liegt.

Praktisch bedeutet das, jeden genutzten Dienst zu erfassen und zu bewerten, von der zentralen ERP-Cloud bis zum SaaS-Tool einzelner Teams. Gerade die kleinen, dezentral eingeführten Dienste werden oft übersehen. Wie der Geltungsbereich sauber definiert wird, behandeln wir unter ISMS-Geltungsbereich definieren. Für die Cloud gilt: lieber einen Dienst zu viel erfassen als einen kritischen zu übersehen.

Das Shared-Responsibility-Modell

Der Kern jeder Cloud-Sicherheit ist das Shared-Responsibility-Modell. Es legt fest, welche Sicherheitsaufgaben der Anbieter übernimmt und welche beim Kunden bleiben. Die Aufteilung hängt vom Servicemodell ab: Je mehr der Anbieter betreibt, desto mehr Verantwortung trägt er, aber nie die volle.

Drei Servicemodelle sind dabei zu unterscheiden. Bei IaaS (Infrastructure as a Service) stellt der Anbieter nur die Infrastruktur, der Kunde betreibt Betriebssystem und Anwendungen selbst. Bei PaaS (Platform as a Service) kommt die Plattform vom Anbieter, der Kunde verantwortet die Anwendung und die Daten. Bei SaaS (Software as a Service) betreibt der Anbieter die komplette Anwendung, der Kunde steuert nur noch seine Daten und Zugriffe. Mit jedem Schritt wandert mehr Betrieb zum Anbieter, die Kernverantwortung des Kunden bleibt.

Das Shared-Responsibility-Modell: Mit steigendem Servicegrad übernimmt der Anbieter mehr, die Verantwortung für Daten und Zugriffe bleibt beim Kunden.

Eine Konstante zieht sich durch alle Modelle: Die Verantwortung für die eigenen Daten und die Vergabe der Zugriffsrechte bleibt immer beim Kunden. Selbst bei reinem SaaS, wo der Anbieter fast alles betreibt, entscheidet das Unternehmen, wer auf welche Daten zugreifen darf. Genau hier passieren die meisten Cloud-Sicherheitsvorfälle.

Relevante Controls für die Cloud

Ein cloudtaugliches ISMS ergänzt die klassischen Maßnahmen um Controls, die der externen Verarbeitung gerecht werden. Sie zielen weniger auf eigene Hardware als auf Steuerung, Nachweis und Kontrolle des Anbieters.

Diese Controls ersetzen die klassischen Maßnahmen nicht, sie ergänzen sie. Die Risikobewertung bleibt der Ausgangspunkt: Erst wird bestimmt, welche Daten in welcher Cloud welchen Schutzbedarf haben, dann folgen die passenden Maßnahmen. Ein pauschales Sicherheitspaket für alle Cloud-Dienste führt entweder zu Überregulierung unkritischer Tools oder zu Lücken bei den wichtigen. Die Steuerung über das ISMS sorgt dafür, dass der Aufwand dem tatsächlichen Risiko folgt. Im SECJUR Digital Compliance Office lassen sich Cloud-Dienste direkt als Assets erfassen, mit Risikobewertung verknüpfen und den passenden Controls zuordnen.

ISO 27017 und ISO 27018 als Ergänzung

Für Cloud-Sicherheit gibt es eigene Normen, die direkt auf ISO 27001 aufsetzen. ISO 27017 ergänzt den Maßnahmenkatalog um cloud-spezifische Leitlinien, etwa zur geteilten Verantwortung und zur Trennung von Kundenumgebungen. ISO 27018 fokussiert auf den Schutz personenbezogener Daten in öffentlichen Clouds.

Beide sind keine eigenständigen Zertifizierungen im engeren Sinn, sondern Erweiterungen des ISO 27001-Rahmens. Für Unternehmen mit nennenswerter Cloud-Nutzung lohnt sich der Blick auf diese Normen, weil sie genau die Lücken adressieren, die ein rein klassisches ISMS offenlässt. Eine vertiefte Darstellung von ISO 27017 und 27018 folgt in einem eigenen Beitrag.

"Die meisten Cloud-Vorfälle entstehen nicht, weil der Anbieter versagt, sondern weil der Kunde seine Hälfte des Shared-Responsibility-Modells nicht kennt. Eine falsch konfigurierte Zugriffsberechtigung ist kein Anbieterproblem, sondern eines des eigenen ISMS."

Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR

Cloud-Sicherheit im ISMS managen

Cloud verschiebt Aufgaben, nicht die Verantwortung. Ein cloudtaugliches ISMS erfasst jeden Dienst im Scope, klärt für jeden die geteilte Verantwortung und setzt die Controls dort, wo der Kunde tatsächlich steuern kann: bei Daten, Zugriffen und der Anbieterauswahl.

Mit einer Plattform wie dem SECJUR Digital Compliance Office lassen sich Cloud-Dienste, ihre Risikobewertung und die zugehörigen Nachweise zentral im ISMS führen. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 Prozent, weil Anbieterbewertungen, Control-Zuordnungen und Wiedervorlagen nicht mehr in verstreuten Tabellen gepflegt werden.