ISO 27001: Scope in der Cloud-Umgebungen richtig definieren

Sie nutzen Cloud-Dienste von Anbietern wie AWS, Azure oder Google Cloud, die stolz ihre ISO 27001-Zertifizierung präsentieren. Ein beruhigendes Gefühl, oder? Man könnte meinen, die eigene Informationssicherheit sei damit schon fast im grünen Bereich. Doch genau hier lauert eine der häufigsten und kostspieligsten Fallen auf dem Weg zur eigenen Zertifizierung.

‍

Die Zertifizierung Ihres Cloud-Anbieters ist zwar eine wichtige Grundlage, aber sie macht Ihr Unternehmen nicht automatisch ISO 27001-konform. Warum? Weil Informationssicherheit in der Cloud eine geteilte Verantwortung ist.

‍

In diesem Leitfaden erklären wir Ihnen, wie ein Freund bei einer Tasse Kaffee, was das bedeutet. Wir entschlüsseln das „Shared Responsibility Model“ und zeigen Ihnen Schritt für Schritt, wie Sie den Geltungsbereich (Scope) Ihres Informationssicherheits-Managementsystems (ISMS) für IaaS-, PaaS- und SaaS-Modelle präzise und auditsicher definieren.

‍

Grundlagen, die den Unterschied machen

‍

Bevor wir in die Details der verschiedenen Cloud-Modelle eintauchen, müssen wir zwei Kernkonzepte verstehen. Sie sind das Fundament für jede erfolgreiche ISO 27001-Zertifizierung in einer Cloud-Umgebung.

‍

Was ist der ISMS-Geltungsbereich (Scope) nach ISO 27001?

‍

Stellen Sie sich den Geltungsbereich Ihres ISMS wie einen Schutzzaun um die wertvollsten Informationen Ihres Unternehmens vor. Gemäß Klausel 4.3 der ISO 27001 müssen Sie genau festlegen, welche Teile Ihrer Organisation – welche Prozesse, Standorte, Systeme und Daten – durch diesen Zaun geschützt werden.

‍

Eine unklare Abgrenzung ist wie ein Loch im Zaun: Sie führt zu Sicherheitslücken und ist ein sicherer Weg, im Audit durchzufallen. In der Cloud wird diese Abgrenzung besonders knifflig, denn ein Teil Ihres „Grundstücks“ gehört und wird von jemand anderem verwaltet. Eine korrekte Definition des ISMS-Geltungsbereichs ist daher der erste und wichtigste Schritt.

‍

Das Shared Responsibility Model: Der Schlüssel zur Cloud-Compliance

‍

Das Shared Responsibility Model (Modell der geteilten Verantwortung) ist das wichtigste Konzept, um Sicherheit in der Cloud zu verstehen. Es besagt, dass der Cloud-Anbieter für die Sicherheit der Cloud verantwortlich ist, während Sie als Kunde für die Sicherheit in der Cloud verantwortlich sind.

‍

Die genaue Aufteilung dieser Verantwortlichkeiten hängt jedoch stark davon ab, welches Servicemodell Sie nutzen: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS).

‍

‍

Dieses Diagramm zeigt anschaulich, wie der Geltungsbereich des ISMS in Cloud-Umgebungen durch das Shared Responsibility Model zwischen den Cloud-Service-Modellen IaaS, PaaS und SaaS abgegrenzt wird.

‍

IaaS, PaaS, SaaS: Wer ist wofür verantwortlich?

‍

Lassen Sie uns die geteilte Verantwortung für die drei Haupt-Cloud-Modelle aufschlüsseln. Das ist der „Aha-Moment“, der Ihnen helfen wird, Ihren Geltungsbereich klar zu definieren.

‍

Infrastructure as a Service (IaaS) – Das Fundament

‍

Bei IaaS mieten Sie die grundlegende IT-Infrastruktur: Server, Speicher und Netzwerke. Denken Sie an Anbieter wie Amazon Web Services (AWS EC2) oder Google Compute Engine.

‍

• Verantwortung des Cloud-Anbieters: Physische Sicherheit der Rechenzentren, Stromversorgung, Kühlung und die grundlegende Netzwerkinfrastruktur.
  ‍
• Ihre Verantwortung: Fast alles andere. Sie sind verantwortlich für das Betriebssystem, die Middleware, die Anwendungen und vor allem für Ihre Daten und deren Zugriffskontrolle. Sie haben die meiste Kontrolle, aber auch die meiste Verantwortung.

‍

Was Ihr Auditor sehen will: Haben Sie Prozesse zur Härtung Ihrer virtuellen Server? Wie managen Sie Betriebssystem-Patches? Wer hat Zugriff auf die Konfiguration der Cloud-Infrastruktur?

‍

Platform as a Service (PaaS) – Die Werkbank

‍

PaaS bietet Ihnen eine Plattform, auf der Sie Anwendungen entwickeln, testen und bereitstellen können, ohne sich um die darunterliegende Infrastruktur kümmern zu müssen. Beispiele sind Heroku oder AWS Elastic Beanstalk.

‍

• Verantwortung des Cloud-Anbieters: Zusätzlich zu den IaaS-Aufgaben managt der Anbieter auch das Betriebssystem, die Datenbanken und die Entwicklungstools.
  ‍
• Ihre Verantwortung: Sie konzentrieren sich auf Ihre Anwendung und Ihre Daten. Sie sind dafür verantwortlich, dass Ihr Code sicher ist, wer auf die Anwendung zugreifen darf und wie die Daten innerhalb der Anwendung geschützt werden.

‍

Achtung: Falle! Verlassen Sie sich nicht darauf, dass die Plattform automatisch sicher konfiguriert ist. Sie müssen Sicherheitsfeatures aktiv nutzen und die Zugriffsrechte für Ihre Entwickler und Nutzer sorgfältig verwalten.

‍

Software as a Service (SaaS) – Die fertige Anwendung

‍

SaaS ist das bekannteste Modell. Sie nutzen eine fertige Software über das Internet, wie z.B. Microsoft 365, Salesforce oder das Digital Compliance Office von SECJUR.

‍

• Verantwortung des Cloud-Anbieters: Der Anbieter kümmert sich um fast alles – von der Infrastruktur über die Plattform bis hin zur Anwendung selbst.
  ‍
• Ihre Verantwortung: Ihre Verantwortung ist hier am geringsten, aber immer noch entscheidend! Sie sind verantwortlich für:
  • Datenmanagement: Welche Daten speichern Sie dort? Wie sind sie klassifiziert?
  • Benutzer- und Zugriffskontrolle: Wer hat Zugriff auf welche Daten und Funktionen? Wie verwalten Sie Passwörter und Multi-Faktor-Authentifizierung (MFA)?
  • Konfiguration: Nutzen Sie die vom Anbieter bereitgestellten Sicherheitsoptionen korrekt?
• ‍

Anleitung: In 4 Schritten zum auditsicheren Cloud-Geltungsbereich

‍

Jetzt, da die Theorie klar ist, gehen wir in die Praxis. Mit diesen vier Schritten definieren Sie einen Geltungsbereich, der jeden Auditor überzeugt.

‍

‍

Diese Schritt-für-Schritt-Anleitung zeigt den klaren Prozess zur Definition des ISMS-Geltungsbereichs in Cloud-Umgebungen und unterstützt so eine sichere und normgerechte Umsetzung.

‍

1. Schritt 1: Cloud-Dienste inventarisierenErstellen Sie eine vollständige Liste aller von Ihrem Unternehmen genutzten Cloud-Dienste. Fragen Sie in allen Abteilungen nach – oft gibt es „Schatten-IT“, von der die IT-Abteilung nichts weiß.
   ‍
2. Schritt 2: Dienste klassifizierenOrdnen Sie jeden Dienst aus Ihrer Liste einem der drei Modelle zu: IaaS, PaaS oder SaaS. Dies ist entscheidend, um die Verantwortlichkeiten korrekt zuzuordnen.
   ‍
3. Schritt 3: Verantwortlichkeiten dokumentierenErstellen Sie für jeden Dienst eine einfache Tabelle. Listen Sie die wichtigsten Sicherheitsbereiche (z.B. Datenverschlüsselung, Zugriffskontrolle, Patch-Management) auf und halten Sie fest, ob Sie oder der Anbieter dafür verantwortlich sind. Dies ist Ihr zentraler Nachweis für das Audit.
   ‍
4. Schritt 4: Den Geltungsbereich formulierenFassen Sie die Ergebnisse in Ihrer offiziellen Geltungsbereichs-Dokumentation zusammen. Beschreiben Sie klar, welche Cloud-Dienste Teil des ISMS sind und wie die Verantwortlichkeiten gemäß dem Shared Responsibility Model abgegrenzt werden.

‍

Plattformen wie das Digital Compliance Office von SECJUR helfen Ihnen dabei, diesen Prozess zu strukturieren und Nachweise für Ihre Verantwortlichkeiten automatisiert zu sammeln. So können Sie sicherstellen, dass nichts übersehen wird, und sich auf Ihr Kerngeschäft konzentrieren.

‍

Praxisbeispiele: So könnte Ihr Geltungsbereich aussehen

‍

Theorie ist gut, Praxis ist besser. Hier sind zwei vereinfachte Beispiele, um das Konzept greifbarer zu machen.

‍

Beispiel 1: Ein SaaS-Startup auf AWS (IaaS)

‍

• Geltungsbereich: „Das Informationssicherheits-Managementsystem (ISMS) der Beispiel GmbH umfasst die Entwicklung, den Betrieb und die Wartung unserer SaaS-Anwendung ‚Produkt X‘. Dies schließt alle Kundendaten ein, die auf unserer IaaS-Infrastruktur bei Amazon Web Services (AWS) in der Region Frankfurt verarbeitet und gespeichert werden. Gemäß dem Shared Responsibility Model ist die Beispiel GmbH für die Sicherheit des Betriebssystems, der Anwendungssoftware, der Konfiguration der virtuellen Netzwerke und der Verwaltung von Benutzerzugriffen verantwortlich. AWS ist für die physische Sicherheit der Rechenzentren verantwortlich.“

‍

Beispiel 2: Ein Mittelständler mit Microsoft 365 (SaaS)

‍

• Geltungsbereich: „Das ISMS der Musterfirma AG gilt für den Schutz aller Unternehmensdaten, die innerhalb der Microsoft 365-Plattform (einschließlich SharePoint Online, Exchange Online und Teams) verarbeitet werden. Die Musterfirma AG ist im Rahmen des Shared Responsibility Models verantwortlich für die Klassifizierung der Daten, die Konfiguration der Sicherheits- und Freigabeeinstellungen sowie die Verwaltung aller Benutzerkonten, Zugriffsrechte und der Multi-Faktor-Authentifizierung. Microsoft ist für die Sicherheit der zugrundeliegenden Infrastruktur und der Anwendungsplattform verantwortlich.“

‍

Zusammenfassung: Ihre Cloud-Verantwortung auf einen Blick

‍

Um die wichtigsten Punkte im Gedächtnis zu behalten, hier eine abschließende Matrix als Gedankenstütze.

‍

‍

Die Matrix fasst die geteilten Verantwortlichkeiten übersichtlich zusammen und dient als hilfreicher Gedächtnisanker bei der Abgrenzung des ISMS-Geltungsbereichs in der Cloud.

‍

Der nächste Schritt zu Ihrer Cloud-Sicherheit

‍

Die Definition des ISMS-Geltungsbereichs in der Cloud ist kein Hexenwerk, sondern eine Frage der sauberen Analyse und Dokumentation. Indem Sie das Shared Responsibility Model verstehen und systematisch auf Ihre genutzten Dienste anwenden, schaffen Sie eine solide, auditsichere Grundlage für Ihre Informationssicherheit.

‍

Dieser erste Schritt ist entscheidend. Wenn Sie nun bereit sind, den gesamten Weg zu gehen, erfahren Sie in unserem umfassenden Leitfaden alles über die ISO 27001 Zertifizierung.

‍

Häufig gestellte Fragen (FAQ)

‍

Macht mich die ISO 27001-Zertifizierung meines Cloud-Anbieters automatisch konform?

‍

Nein, absolut nicht. Die Zertifizierung des Anbieters deckt nur dessen Verantwortungsbereich ab (z.B. die Sicherheit des Rechenzentrums). Sie müssen dem Auditor nachweisen, dass Sie Ihren eigenen Verantwortungsbereich (z.B. Zugriffskontrolle, Datenmanagement) im Griff haben.

‍

Was sind die größten Risiken bei einem falsch definierten Geltungsbereich in der Cloud?

‍

Die Hauptrisiken sind:

‍

1. Nichtbestehen des Audits: Ein unklarer Scope ist einer der häufigsten Gründe für ein Scheitern der Zertifizierung.
   ‍
2. Sicherheitslücken: Wenn Verantwortlichkeiten nicht klar definiert sind, fallen wichtige Sicherheitsmaßnahmen durchs Raster.
   ‍
3. Verschwendete Ressourcen: Sie investieren möglicherweise Zeit und Geld in die Absicherung von Bereichen, für die eigentlich der Anbieter zuständig ist.

‍

Wie weise ich im Audit die Verantwortlichkeiten des Cloud-Anbieters nach?

‍

Hierfür nutzen Sie die vom Anbieter bereitgestellten Dokumente. Dazu gehören deren ISO 27001-Zertifikat, SOC-2-Berichte und die vertraglichen Vereinbarungen (AGB, Auftragsverarbeitungsvertrag). Diese Dokumente belegen, dass der Anbieter seinen Teil der Verantwortung wahrnimmt.

‍