Das BSI hat Mindeststandards für die Nutzung externer Cloud-Dienste veröffentlicht. Damit macht die Behörde erneut von ihrer Befugnis nach § 8 des BSI-Gesetzes (BSIG) Gebrauch, allgemeine Mindestanforderungen an die IT-Sicherheit für Stellen des Bundes zu erarbeiten.

Bereits im März hatte das BSI Standards für sichere Web-Browser publiziert.

Der neue Mindeststandard adressiert Sicherheitsanforderungen in den Phasen der Beschaffung, des Einsatzes und der Beendigung von Cloud-Diensten. Als Grundlage dienen hierfür in erster Linie die Sicherheitsanforderungen nach dem BSI Anforderungskatalog Cloud Computing (C5) und die IT-Grundschutzkataloge (Cloud).

Das Bundesinnenministerium kann die vom BSI erarbeiteten Mindeststandards für Cloud-Dienste als allgemeine Verwaltungsvorschrift erlassen. Damit erlangen die Sicherheitsvorgaben für alle Stellen des Bundes verbindliche Wirkung. Für Bundesgerichte und Verfassungsorgane des Bundes haben die Mindeststandards des BSI empfehlenden Charakter.

Praxistipp: Auf private Unternehmen finden die Mindeststandards des BSI zur Nutzung externer Cloud-Dienste keine unmittelbare Anwendung. Für Cloud-Provider entfalten die Anforderungen jedoch zumindest mittelbar Wirkung, da Stellen des Bundes bei der Beschaffung von Cloud-Diensten zukünftig nur Provider in Betracht ziehen werden, welche die vom BSI erarbeiteten Sicherheitsanforderungen erfüllen.