Sicherheitsvorfälle in der Cloud erregen oft mediale Aufmerksamkeit, da sie eine große Anzahl von Nutzern betreffen; beispielsweise kam es kürzlich bei einem großen Speicheranbieter zu einem zweitägigen Serviceausfall. Aufgrund fehlender einheitlicher Meldesysteme für Cloud-Sicherheitsvorfälle ist es jedoch schwierig, deren Ursachen und Auswirkungen zu verstehen. Um die Ausfallsicherheit und Sicherheit von Cloud-Computing-Diensten besser zu verstehen, ist es wichtig, dieses Thema mit Akteuren aus Wirtschaft und Verwaltung zu erörtern und einen Konsens über praxisorientierte Meldesysteme zu erzielen, die Kunden, Regierungen und Behörden wertvolle Informationen liefern.
ENISA-Exekutivdirektor Professor Udo Helmbrecht erklärte: „Die Meldung von Vorfällen ist entscheidend für ein besseres Verständnis der Sicherheit und Resilienz kritischer Informationsinfrastrukturen in Europa. Cloud Computing entwickelt sich zum Rückgrat unserer digitalen Gesellschaft. Daher ist es wichtig, dass Cloud-Service-Anbieter ihre Transparenz und das Vertrauen durch die Einführung effizienter Vorfallmeldesysteme verbessern.“
Der Bericht behandelt vier verschiedene Cloud-Computing-Szenarien und untersucht, wie Vorfallmeldesysteme unter Einbeziehung von Cloud-Service-Anbietern, deren Kunden, Betreibern kritischer Infrastrukturen und Regierungsbehörden etabliert werden könnten:
1. A. Der von einem Betreiber kritischer Informationsinfrastrukturen genutzte Cloud-Service;
2. B. Der von Kunden in verschiedenen kritischen Sektoren genutzte Cloud-Service;
3. C. Der Cloud-Service für den Regierungssektor und die öffentliche Verwaltung (eine Regierungs-Cloud);
4. D. Der von KMU und Bürgern genutzte Cloud-Service.
Die durchgeführten Umfragen und Experteninterviews haben es uns ermöglicht, einige Kernprobleme zu identifizieren:
• In den meisten EU-Mitgliedstaaten gibt es keine nationale Behörde, die die Bedeutung von Cloud-Services bewertet.
• Cloud-Services basieren häufig auf anderen Cloud-Services. Dies erhöht die Komplexität und erschwert die Meldung von Vorfällen.
• Kunden von Cloud-Diensten schließen in ihren Cloud-Dienstverträgen keine Meldepflichten für Zwischenfälle ein.
Der Bericht enthält mehrere Empfehlungen, die auf den Einschätzungen von Cloud-Computing-Experten aus Wirtschaft und Verwaltung basieren:
• Freiwillige Meldeprogramme existieren praktisch nicht. Daher ist möglicherweise eine gesetzliche Regelung erforderlich, die Betreiber kritischer Sektoren zur Meldung von Sicherheitsvorfällen verpflichtet.
• Behörden sollten die obligatorische Meldung von Vorfällen in ihre Ausschreibungsbedingungen aufnehmen.
• Betreiber kritischer Sektoren sollten die Meldung von Vorfällen in ihre Verträge integrieren.
• Meldeprogramme für Vorfälle können sowohl Anbietern als auch Kunden Vorteile bringen, indem sie die Transparenz erhöhen und somit Vertrauen schaffen.
• Anbieter sollten diese Initiative vorantreiben und effiziente und effektive freiwillige Meldeprogramme etablieren.
Vorgeschlagene Richtlinie für Netzwerk- und Informationssicherheit (NIS)
