Einleitung: C5, Compliance und Kundy-Kontrollen in der Praxis
Die nachfolgenden Leitlinien richten sich an Praxen und andere Einrichtungen, die den Cloud-Dienst lemniscus nutzen und deren Tätigkeit unter die Vorgaben des § 393 SGB V fällt. Der sogenannte Cloud Computing Compliance Criteria Catalogue (C5) wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und definiert umfangreiche Anforderungen an Sicherheit und Compliance beim Betrieb von Cloud-Diensten. Ziel ist es, Transparenz und Vergleichbarkeit für Cloud-Nutzys zu schaffen und gleichzeitig ein hohes Schutzniveau für sensible Sozial- und Gesundheitsdaten sicherzustellen.
Wer ist betroffen?
Die Verpflichtung zur Einhaltung der C5-Anforderungen betrifft nach § 393 SGB V insbesondere die Leistungserbringer im Sinne des Vierten Kapitels des SGB V (z. B. Vertragsärztys, Vertragszahnärztys, zugelassene Krankenhäuser, Apotheken, Heil- und Hilfsmittelerbringer, Hebammen, DiGAs), ebenso wie die Krankenkassen, Pflegekassen und deren Auftragsdatenverarbeiterys. Nicht alle medizinischen Einrichtungen sind hiervon betroffen, sondern nur diejenigen, die Sozialdaten oder Gesundheitsdaten im Sinne des SGB V mittels Cloud-Computing-Diensten verarbeiten.
Die Nutzung von Cloud-Diensten für die Verarbeitung oder Speicherung solcher besonders sensiblen Daten ist nur zulässig, wenn bestimmte Voraussetzungen erfüllt sind. Zu diesen Vorgaben gehören u. a.:
-
Die Datenverarbeitung muss im Inland, in einem EU-Mitgliedstaat oder in einem gleichgestellten Drittstaat stattfinden,
-
die datenverarbeitende Stelle muss über eine Niederlassung im Inland verfügen,
-
angemessene technische und organisatorische Maßnahmen zur Informationssicherheit müssen getroffen werden,
-
und es muss ein aktuelles C5-Testat des Cloud-Anbieters vorliegen.
Darüber hinaus müssen die im C5-Prüfbericht enthaltenen korrespondierenden Kriterien für Kunden (also für die jeweilige Praxis/Einrichtung selbst) umgesetzt sein.
C5 ist keine Einbahnstraße!
C5-Compliance ist kein einseitiges Zertifikat des Cloud-Anbieters. Die Sicherheitsziele werden nur dann erreicht, wenn sowohl der Cloud-Anbieter als auch die Cloud-Kundys ihren Teil der Verantwortung übernehmen. Deshalb fordert das BSI neben den über 130 Anforderungen an den Anbieter explizit auch sogenannte korrespondierende Kundenkontrollen. Bestimmte Sicherheits- und Organisationsmaßnahmen müssen von Praxen bzw. Leistungserbringerys selbst umgesetzt werden. Nur das Zusammenwirken beider Seiten garantiert vollständige C5-Compliance und damit Rechtskonformität sowie einen angemessenen Schutz der Sozial- und Gesundheitsdaten.
Worauf fokussieren sich diese Leitlinien?
Dieses Dokument konzentriert sich ausschließlich auf die korrespondierenden Kundenkontrollen nach C5 – also auf die Maßnahmen, die explizit in der Verantwortung der jeweiligen Praxis oder Einrichtung liegen. Ohne die Umsetzung dieser Kontrollen bleibt die C5-Compliance unvollständig, ganz gleich wie umfassend der Cloud-Anbieter zertifiziert ist.
Abschließender Hinweis: Diese Leitlinien sind als praxisorientierte Hilfestellung gedacht und ersetzen keine individuelle Rechts- oder IT-Beratung. Sie sollen Leistungserbringerys und Einrichtungen dabei unterstützen, die eigenen Aufgaben und Verantwortlichkeiten im Rahmen der C5-Compliance klar zu erkennen und angemessen umzusetzen. Nur durch das Zusammenspiel von Cloud-Anbieter und Cloud-Kunden entsteht der notwendige Gesamtschutz.
AM-06 – Klassifizierung und Kennzeichnung von Assets
Beschreibung:
Cloud-Kunden können durch geeignete Kontrollen sicherstellen, dass der Schutzbedarf der Informationen, die mit dem Cloud-Dienst verarbeitet oder gespeichert werden dürfen, angemessen ermittelt wird. Cloud-Kunden können zudem durch geeignete Kontrollen sicherstellen, dass die mit dem Cloud-Dienst verarbeiteten oder gespeicherten Informationen gemäß ihrem Schutzbedarf vor Manipulieren, Kopieren, Modifizieren, Umleiten oder Löschen geschützt sind.
Leitlinie:
In der Praxis empfiehlt es sich, alle Datenarten (wie Patienty-Akten, Abrechnungsdaten oder interne Dokumente) nach ihrer Schutzbedürftigkeit zu klassifizieren. Diese Bewertung sollte dokumentiert werden, z.B. in einem Datenverzeichnis oder einer Tabelle. Darauf aufbauend sind technische und organisatorische Maßnahmen festzulegen, etwa Berechtigungen, Verschlüsselung oder spezielle Löschprozesse. Neue Datenarten oder Änderungen am Cloud-Einsatz sollten regelmäßig überprüft werden.
COS-06 – Segregation des Datenverkehrs in gemeinsam genutzten Netzumgebungen
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen für den Datenverkehr und die virtuellen Netze innerhalb des Cloud-Dienstes, die in ihrem Verantwortungsbereich liegen, sicher, dass diese gemäß ihren Netzsicherheitsanforderungen konzipiert, konfiguriert und dokumentiert sind (z. B. logische Segmentierung der Organisationseinheiten der Cloud-Kunden).
Leitlinie:
Wenn Praxen Cloud-Dienste mit eigenen Netzsegmenten (wie virtuelle Maschinen oder Subnetze) betreiben, sollte sichergestellt werden, dass sensible Bereiche logisch voneinander getrennt sind. Das reduziert die Gefahr, dass ein Problem in einem Bereich auch andere Bereiche betrifft. Netzkonfigurationen und Änderungen sollten dokumentiert werden.
CRY-03 – Verschlüsselung von sensiblen Daten bei der Speicherung
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen für jene Teile des Cloud-Dienstes, die in ihrem Verantwortungsbereich liegen (z. B. virtuelle Maschinen innerhalb einer IaaS-Lösung), sicher, dass ihre Daten bei der Speicherung gemäß dem jeweiligen Schutzbedarf verschlüsselt werden.
Leitlinie:
Alle sensiblen Daten sollten verschlüsselt in der Cloud gespeichert werden. Praxen, die eigene virtuelle Maschinen betreiben, müssen dies selbst sicherstellen; bei SaaS-Lösungen wie lemniscus sollte geprüft werden, ob der Anbieter eine angemessene Verschlüsselung einsetzt. Dies kann im Zweifel auch schriftlich angefragt werden.
CRY-02 – Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung)
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen für jene Teile des Cloud-Dienstes, die in ihrem Verantwortungsbereich liegen, sicher, dass ihre Daten gemäß dem jeweiligen Schutzbedarf über verschlüsselte Verbindungen übertragen werden.
Leitlinie:
Alle Datenübertragungen – egal ob im Webbrowser, via App oder bei Schnittstellen – sollten stets verschlüsselt (etwa via TLS/SSL) erfolgen. Es empfiehlt sich, diese Einstellungen regelmäßig zu überprüfen und keine ungesicherten Verbindungen zuzulassen.
OPS-22 – Prüfung und Dokumentation offener Schwachstellen
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher jene Systemkomponenten, die unter ihrer Verantwortung stehen, regelmäßig auf Schwachstellen zu überprüfen und diese durch geeignete Maßnahmen zu adressieren.
Leitlinie:
Eigene Komponenten (wie selbst betriebene Server, Plug-ins oder spezielle Cloud-Konfigurationen) sollten regelmäßig auf Schwachstellen geprüft werden. Es empfiehlt sich, ein einfaches Verfahren zur Nachverfolgung zu etablieren, z.B. eine Schwachstellen-Liste oder ein Kurzprotokoll, in dem auch die Behebung dokumentiert wird.
INQ-01 – Juristische Beurteilung von Ermittlungsanfragen
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass Art und Umfang staatlicher Ermittlungsanfragen und der damit einhergehenden Offenlegung eigener Daten, im eigenen Risikomanagement behandelt wurde und die Nutzung des Cloud-Dienstes erst stattfindet, wenn dieses Risiko als tragbar erachtet wurde.
Leitlinie:
Praxen sollten im Rahmen des eigenen Risikomanagements bewerten, welche Konsequenzen staatliche Ermittlungsanfragen haben könnten. Es empfiehlt sich, dies einmal grundlegend mit einer juristischen Fachkraft abzuklären und in internen Richtlinien zu dokumentieren.
PSS-01 – Leitlinien und Empfehlungen für Cloud-Kunden
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass aus den Informationen des Cloud-Anbieters Richtlinien, Konzepte und Maßnahmen zur angemessen sicheren Konfiguration und Nutzung (gemäß eigener Risikobewertung) des Cloud-Dienstes abgeleitet und eingehalten werden. Änderungen in den Informationen werden zeitnah auf ihre Auswirkung in diesen Dokumenten hin bewertet und ggf. notwendige Änderungen umgesetzt.
Leitlinie:
Die Hinweise und technischen Vorgaben von lemniscus sollten von Praxen aufgegriffen und in eigene interne Anweisungen übernommen werden. Änderungen (z.B. neue Funktionen oder geänderte Schnittstellen) sollten regelmäßig daraufhin überprüft werden, ob bestehende Richtlinien oder Abläufe angepasst werden müssen.
BCM-03 – Planung der Betriebskontinuität
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass bei der Planung der betrieblichen Kontinuität und des Geschäftsplans, die Ergebnisse der Business Impact Analyse hinreichend berücksichtigt werden, um für die Auswirkungen eines Ausfalls des Cloud-Dienstes bzw. des Cloud-Anbieters vorzusorgen.
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die Verfügbarkeit des Cloud-Dienstes, seine Wiederherstellungszeit gemäß BCM-Plan sowie des Datenverlusts des Cloud-Dienstes mit ihren eigenen Verfügbarkeitsanforderungen und tolerierbarem Datenverlust im Einklang ist.
Leitlinie:
Praxen sollten sich im Rahmen ihrer Notfallplanung überlegen, wie der Betrieb bei einem Ausfall von lemniscus (z.B. durch einen Internetausfall, technischen Defekt oder Anbieterproblem) weiterlaufen kann. Es ist sinnvoll, Mindestanforderungen an die Verfügbarkeit und Wiederherstellungszeit für die wichtigsten Daten und Prozesse zu definieren.
PS-02 – Redundanzmodell
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass das vorliegende Redundanzmodell des Cloud-Anbieters und die Nachweise zur Überprüfung des Modells mit den eigenen Anforderungen zur Verfügbarkeit und Verlässlichkeit des Cloud-Dienstes konform sind.
Leitlinie:
Im Rahmen der Auswahl und Nutzung von lemniscus sollte geprüft werden, welche Maßnahmen der Anbieter zur Redundanz (z.B. gespiegelte Server, Backups, Mehrfachstandorte) trifft. Bei Bedarf sollte dies dokumentiert und mit den eigenen Anforderungen verglichen werden.
INQ-02 – Information der Cloud-Kunden über Ermittlungsanfragen
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass derartige Meldungen entgegengenommen und gemäß eigenen Vorgaben und Möglichkeiten rechtlich geprüft werden.
Leitlinie:
Wenn lemniscus über Ermittlungsanfragen informiert, sollte in der Praxis klar geregelt sein, wie mit solchen Mitteilungen umzugehen ist. Eine interne Ansprechperson sollte festgelegt werden, die eine rechtliche Bewertung vornimmt und das weitere Vorgehen entscheidet.
COS-08 – Richtlinien zur Datenübertragung
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die an den Cloud-Dienst übertragenen Daten gemäß ihrem Schutzbedarf vor Manipulieren, Kopieren, Modifizieren, Umleiten oder Löschen geschützt sind.
Leitlinie:
Vor dem Upload von sensiblen Daten sollten Praxen überprüfen, ob die Verbindung verschlüsselt ist und die Übertragung zu einem autorisierten Cloud-Dienst erfolgt. Automatisierte oder unkontrollierte Übertragungen sollten vermieden werden.
OPS-07 – Datensicherung und Wiederherstellung – Überwachung
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die Datensicherung der in ihren Verantwortungsbereich fallenden Daten durch technische und organisatorische Maßnahmen überwacht wird.
Leitlinie:
Für alle lokal in der Praxis gespeicherten Daten sollte regelmäßig überprüft werden, ob Backups korrekt laufen und eine Wiederherstellung im Notfall funktioniert. Bei der Nutzung von lemniscus ist zu prüfen, wie und wie oft der Anbieter Daten sichert – und ob diese Sicherungen den Praxisanforderungen entsprechen.
PSS-03 – Online-Register bekannter Schwachstellen
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die Informationen dieses Registers gemäß eigenen Anforderungen hinreichend schnell in das eigene Risikomanagement aufgenommen, bewertet und ggf. eigene Maßnahmen im eigenen Verantwortungsbereich ergriffen werden.
Leitlinie:
Bekannte Schwachstellen, die vom Cloud-Anbieter gemeldet werden, sollten in der Praxis zügig aufgenommen, bewertet und – falls relevant – eigene Schutzmaßnahmen ergriffen werden. Es empfiehlt sich, eine zuständige Person dafür zu benennen.
BCM-04 – Verifizierung, Aktualisierung und Test der Betriebskontinuität
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die Maßnahmen zur Vorsorge der Auswirkungen eines Ausfalls des Cloud-Dienstes bzw. des Cloud-Anbieters regelmäßig überprüft, aktualisiert, getestet und geübt werden. Der Cloud-Anbieter wird gemäß den vertraglichen Vereinbarungen in die Tests und Übungen eingebunden.
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die Ergebnisse der BCM-Tests und Übungen des Cloud-Anbieters in das eigene BCM einfließen und hinsichtlich der Sicherstellung der betrieblichen Kontinuität des Kunden umfassend gewürdigt werden.
Bei Tests und Übungen, die den Kunden mit einbeziehen und daher eigene Maßnahmen auf Kundenseite bedingen, stellen Cloud-Kunden durch geeignete Kontrollen aus ihrem BCM sicher, dass die entsprechenden Maßnahmen zur Bewältigung gemäß Szenario geübt und getestet werden.
Leitlinie:
Die eigene Notfallplanung sollte regelmäßig überprüft und an neue technische Entwicklungen angepasst werden. Ergebnisse aus Tests oder Notfallübungen des Anbieters (sofern bereitgestellt) sollten ausgewertet und auf eigene Prozesse übertragen werden.
OPS-02 – Kapazitätsmanagement – Überwachung
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die mit dem Cloud-Anbieter vertraglich getroffenen Vereinbarungen zum Bereitstellen von Ressourcen bzw. der zu erbringenden Leistungen überwacht werden können. Im Falle von Abweichungen stellen geeignete Kontrollen eine Information des Cloud-Anbieters sicher, sodass der Cloud-Anbieter geeignete Maßnahmen einleiten kann.
Leitlinie:
Praxen sollten im Blick behalten, ob gebuchte Ressourcen und Funktionen wie erwartet verfügbar sind. Werden Engpässe oder Einschränkungen bemerkt, sollte dies schnellstmöglich dem Anbieter gemeldet werden.
PI-03 – Sichere Datenlöschung
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die rechtlichen und regulatorischen Rahmenbedingungen (z. B. gesetzliche Anforderungen an Aufbewahrung und Löschung) identifiziert sind und die Löschung ihrer Daten entsprechend initiiert wird.
Leitlinie:
Bei Beendigung der Nutzung von lemniscus oder auf Wunsch der Patientys sollten Praxen sicherstellen, dass Daten tatsächlich gelöscht werden. Die Anforderungen an Aufbewahrungsfristen müssen dabei eingehalten werden. Es empfiehlt sich, die Vorgehensweise intern zu dokumentieren.
BCM-02 – Richtlinien und Verfahren zur Business Impact Analyse
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die Szenarien für einen Ausfall des Cloud-Dienstes bzw. des Cloud-Anbieters im Rahmen ihrer Business Impact Analyse hinreichend berücksichtigt werden.
Leitlinie:
Im Rahmen der Risikobewertung sollte die Praxis unterschiedliche Ausfallszenarien durchdenken (z.B. Totalausfall, längere Störung) und die Auswirkungen auf die wichtigsten Prozesse abschätzen.
OPS-06 – Vorgaben zur Datensicherung und Wiederherstellung – Konzept
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die vertraglichen Vereinbarungen, welche mit dem Cloud-Anbieter bezüglich Umfang, Häufigkeit und Dauer der Aufbewahrung der Daten getroffen werden, den geschäftlichen Anforderungen entsprechen. Die geschäftlichen Anforderungen werden im Rahmen der Business Impact Analyse erhoben (vgl. BCM-02).
Leitlinie:
Es ist wichtig zu klären, wie oft und wie lange Daten beim Anbieter gesichert werden und ob das zu den eigenen Anforderungen passt. Bei Bedarf sollten ergänzende Maßnahmen, wie lokale Backups, eingerichtet werden.
PSS-05 – Authentisierungsmechanismen
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass die vom Cloud-Dienst angebotenen Authentisierungsmechanismen gemäß Vorgaben des Identitäts- und Berechtigungsmanagement des Kunden genutzt werden.
Leitlinie:
Alle angebotenen Sicherheitsmechanismen (z.B. Zwei-Faktor-Authentifizierung) sollten konsequent genutzt werden. Berechtigungen sind regelmäßig zu prüfen und anzupassen, wenn sich Zuständigkeiten ändern.
OPS-15 – Protokollierung und Überwachung – Zurechenbarkeit
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass eindeutige Benutzerkennungen vergeben werden, die im Falle eines Sicherheitsvorfalls eine entsprechende Analyse zulassen.
Leitlinie:
Alle Nutzer*innen sollten eigene, eindeutig zuordenbare Zugangsdaten erhalten. Gemeinsame Logins sind zu vermeiden, damit im Falle eines Vorfalls nachvollziehbar bleibt, wer was getan hat.
OPS-10 – Protokollierung und Überwachung – Konzept
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass für jene Ebenen des Cloud-Dienstes, die unter ihrer Verantwortung stehen, eine angemessene Protokollierung und Überwachung von Ereignissen erfolgt, welche die Sicherheit und Verfügbarkeit des Cloud-Dienstes beeinträchtigen können (z. B. Administratoraktivitäten, Systemfehler, Authentifizierungsprüfungen, Datenlöschungen etc.).
Leitlinie:
Wo möglich, sollten Protokolle über sicherheitsrelevante Vorgänge aktiviert werden. Diese Protokolle müssen regelmäßig ausgewertet und sicher aufbewahrt werden.
PSS-07 – Vertraulichkeit von Authentisierungsinformationen
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass gemäß eigener Bewertung hinreichend sichere Passwörter (vgl. IDM-09) verwendet werden und dass die mit der eigenen Wahl verbundenen Risiken eines unautorisierten Zugriffs getragen werden.
Leitlinie:
Sichere Passwörter und ggf. zusätzliche Schutzmechanismen wie OTP sollten vorgeschrieben sein. Passwörter dürfen nicht weitergegeben oder an unsicheren Orten notiert werden.
SIM-04 – Verpflichtung der Nutzer zur Meldung von Sicherheitsvorfällen an eine zentrale Stelle
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass identifizierte Sicherheitsereignisse, deren Bearbeitung im Verantwortungsbereich des Cloud-Anbieters liegt, zeitnah an eine zuvor benannte zentrale Stelle gemeldet werden. Die Identifikation solche Sicherheitsereignisse wird durch geeignete Kontrollen unterstützt (vgl. korrespondierendes Kriterium zu OPS-10).
Leitlinie:
In der Praxis sollten alle Nutzys wissen, wie und an wen sie Sicherheitsvorfälle melden. Die Meldestelle sollte klar benannt und die Meldewege festgelegt werden.
OPS-05 – Schutz vor Schadprogrammen – Umsetzung
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass jene Ebenen des Cloud-Dienstes, die unter ihrer Verantwortung stehen, mit Sicherheitsprodukten zur Erkennung und Beseitigung von Schadprogrammen versehen sind.
Leitlinie:
Alle eigenen Systeme, die mit Cloud-Diensten kommunizieren, sollten durch aktuelle Schutzmechanismen (wie Antivirensoftware und Firewalls) abgesichert werden.
OIS-03 – Schnittstellen und Abhängigkeiten
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass Richtlinien und Vorgaben zur Einhaltung vertraglich festgehaltener Vereinbarungen mit dem Cloud-Anbieter bezüglich Verantwortlichkeiten, Mitwirkungspflichten sowie Schnittstellen zum Melden von Sicherheitsvorfällen angemessen definiert, dokumentiert und eingerichtet sind.
Leitlinie:
Verantwortlichkeiten und Schnittstellen zu lemniscus sollten intern dokumentiert werden. Jede*r sollte wissen, wer bei Fragen oder Vorfällen kontaktiert werden muss.
SIM-01 – Richtlinie für den Umgang mit Sicherheitsvorfällen
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass sie Benachrichtigungen des Cloud-Anbieters bezüglich sie betreffender Sicherheitsvorfälle erhalten, und dass diese Benachrichtigungen zeitnah an die für die Bearbeitung verantwortliche Stelle weitergeleitet werden, sodass eine angemessene Reaktion erfolgen kann.
Leitlinie:
Die Praxis sollte sicherstellen, dass Benachrichtigungen über Sicherheitsvorfälle, die vom Cloud-Anbieter gemeldet werden (z. B. Datenpannen, Systemangriffe), sofort an eine intern festgelegte Ansprechperson weitergeleitet werden. Es empfiehlt sich, einen einfachen Notfallplan für die Erstreaktion zu definieren, damit im Ernstfall klar ist, wer welche Schritte einleitet.
SIM-03 – Dokumentation und Berichterstattung über Sicherheitsvorfälle
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass sie Benachrichtigungen des Cloud-Anbieters bezüglich sie betreffender Sicherheitsvorfälle sowie deren Lösung erhalten, und dass diese Benachrichtigungen zeitnah an die für die Bearbeitung verantwortliche Stelle weitergeleitet werden, sodass eine angemessene Reaktion erfolgen kann.
Leitlinie:
Alle Meldungen über sicherheitsrelevante Vorfälle und deren Behebung sollten sorgfältig dokumentiert werden. So kann die Praxis gegenüber Dritten (z.B. Behörden) nachweisen, dass sie ihren Informationspflichten nachgekommen ist und angemessen reagiert hat. Es empfiehlt sich, hierfür ein einfaches Vorfall-Register zu führen.
OPS-21 – Einbindung des Cloud-Kunden bei Störungen (Incidents)
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass sie Benachrichtigungen des Cloud-Anbieters bezüglich sie betreffender Störungen erhalten, und dass diese Benachrichtigungen zeitnah an die für die Bearbeitung verantwortliche Stelle des Cloud-Anbieters weitergeleitet werden, sodass eine angemessene Reaktion erfolgen kann.
Leitlinie:
Praxen sollten einen Prozess definieren, wie mit Störungsmeldungen des Anbieters umgegangen wird. Die interne Reaktion kann z.B. sein, betroffene Nutzys zu informieren oder bestimmte Funktionen vorübergehend einzuschränken. Wichtig ist auch hier eine klare Dokumentation, um den Umgang mit Störungen nachweisen zu können.
SIM-05 – Auswertung und Lernprozess
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass sie die Erkenntnisse aus vergangenen Sicherheitsvorfällen, die Ihnen mitgeteilt wurden, und die daraus resultierenden Maßnahmen des Cloud-Anbieters in Ihr ISMS aufnehmen und bewerten, ob und wenn ja welche Maßnahmen sie auf ihrer Seite unterstützend ergreifen können.
Leitlinie:
Nach einem Vorfall sollten Praxen die Ursachen und die ergriffenen Maßnahmen auswerten. Dabei gilt es, die eigenen Prozesse zu überprüfen und ggf. anzupassen, um ähnliche Vorfälle in Zukunft besser zu verhindern oder schneller zu erkennen.
PSS-06 – Session Management
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass sie die Schutzfunktionen des Session Managements des Cloud-Dienstes gemäß den Vorgaben aus ihrem eigenen ISMS nutzen.
Leitlinie:
Alle verfügbaren Funktionen zur Verwaltung von Sitzungen (z.B. automatisches Ausloggen bei Inaktivität, Sperren von Sessions bei ungewöhnlichen Aktivitäten) sollten aktiviert und den eigenen Vorgaben entsprechend genutzt werden. Die Nutzys sollten über die Bedeutung dieser Maßnahmen informiert werden.
OPS-03 – Kapazitätsmanagement – Steuerung von Ressourcen
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass sie die Systemressourcen in ihrem Verantwortungsbereich steuern und überwachen.
Leitlinie:
Die Praxis sollte sicherstellen, dass ihre Ressourcen im Cloud-Dienst (z. B. Nutzerkonten, Speicherplatz) regelmäßig überprüft und angepasst werden. So können Engpässe frühzeitig erkannt und unnötige Kosten vermieden werden.
PSS-12 – Lokationen der Datenverarbeitung und -speicherung
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass sie sich im Zuge der Dienstleister-Auswahl sowie beim Konfigurieren des Cloud-Dienstes über die Lokationen der Datenverarbeitung sowie -speicherung informieren und, wenn die Wahl zwischen verschiedenen Lokationen besteht, diejenigen auswählen, die den eigenen Anforderungen entsprechen. Je nach Anwendungsbereich und insbesondere bei einer Nutzung angebotener Dienste des Cloud-Anbieters außerhalb ihres Landes, berücksichtigen Cloud-Kunden bei der Auswahl auch die für sie geltenden Gesetze (zum Beispiel bei der Verarbeitung personenbezogener Daten; Einhaltung der gesetzlichen Aufbewahrungspflichten für Geschäftsunterlagen etc.).
Leitlinie:
Vor der Nutzung von lemniscus oder eines anderen Cloud-Dienstes sollte geprüft werden, wo die Daten gespeichert und verarbeitet werden (z. B. Deutschland, EU, Drittland). Falls mehrere Optionen angeboten werden, sollte immer die Variante gewählt werden, die am besten mit den gesetzlichen Anforderungen und dem eigenen Schutzbedarf vereinbar ist.
SSO-04 – Überwachung der Einhaltung der Anforderungen (Subdienstleister)
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass sie sich über Subdienstleister ihres Cloud-Anbieters informieren (z. B. anhand der Angaben im C5-Prüfbericht) und anhand des Schutzbedarfs ihrer im Cloud-Dienst verarbeiteten und gespeicherten Daten entscheiden, ob weitergehende eigene Maßnahmen zur Überwachung und Überprüfung dieser Subdienstleister durchzuführen sind.
Leitlinie:
Es sollte regelmäßig geprüft werden, ob und welche Subdienstleister der Cloud-Anbieter nutzt. Bei sensiblen Daten oder besonderen Risiken empfiehlt es sich, zusätzliche Anforderungen oder Kontrollen zu definieren – etwa die Beschränkung bestimmter Daten auf Dienstleister mit Sitz in der EU.
OPS-18 – Umgang mit Schwachstellen, Störungen und Fehlern – Konzept
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass sie Systemkomponenten in ihrem Verantwortungsbereich regelmäßig auf Schwachstellen überprüfen und diese durch geeignete Maßnahmen adressieren.
Leitlinie:
Regelmäßige Schwachstellen-Scans und Sicherheitsüberprüfungen sollten Teil der Routine werden, sofern die Praxis selbst Systeme oder eigene Cloud-Elemente betreibt. Entdeckte Schwachstellen müssen zügig bewertet und möglichst zeitnah behoben werden.
PSS-08 – Rollen- und Rechtekonzept
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass:
- die Vergabe von Berechtigungen an Benutzer in ihrem Verantwortungsbereich einer Autorisierung unterliegt.
- die Angemessenheit der vergebenen Berechtigungen regelmäßig überprüft wird und Berechtigungen bei notwendigen Änderungen (zum Beispiel Mitarbeiter-Austritt) zeitgerecht angepasst oder entzogen werden.
Leitlinie:
In der Praxis sollte es ein klares Konzept für Rollen und Zugriffsrechte geben. Neue Nutzys erhalten nur die Berechtigungen, die sie wirklich brauchen. Rollen und Rechte sind regelmäßig (z. B. mindestens einmal jährlich) zu überprüfen und bei Ausscheiden von Mitarbeitys unverzüglich zu entziehen.
PI-02 – Vertragliche Vereinbarungen zur Bereitstellung von Daten
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, die ihnen vertraglich zustehenden Daten beim Cloud-Anbieter am Vertragsende anzufragen oder über definierte Schnittstellen abzurufen (Art und Umfang der Daten entsprechen den vertraglichen Vereinbarungen, die vor Nutzung des Cloud-Dienstes festgelegt wurden) und für eine Aufbewahrung gemäß der für diese Daten geltenden gesetzlichen Anforderungen zu sorgen.
Leitlinie:
Die Praxis sollte vor Vertragsende mit lemniscus klären, wie Daten exportiert und weiter genutzt werden können. Es empfiehlt sich, vorab Prozesse zu definieren, damit der Datenzugriff nach Vertragsende reibungslos und rechtssicher erfolgt.
OPS-23 – Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung
Beschreibung:
Cloud-Kunden stellen durch geeignete Kontrollen sicher, jene Ebenen des Cloud-Dienstes, die unter ihrer Verantwortung stehen, gemäß allgemein etablierter und akzeptierter Industriestandards zu härten. Die angewendeten Härtungsmaßnahmen resultieren aus einer Risikobeurteilung der geplanten Nutzung des Cloud-Dienstes.
Leitlinie:
Eigene Systeme, die mit der Cloud verbunden sind (z.B. lokale Rechner, Server), sollten so konfiguriert sein, dass nur notwendige Dienste laufen, regelmäßig Updates eingespielt werden und Sicherheitsstandards eingehalten werden. Bei Unsicherheit empfiehlt sich die Beratung durch eine IT-Fachkraft.
DEV-09 – Freigaben zur Bereitstellung in der Produktionsumgebung
Beschreibung:
Soweit Änderungen gemäß den vertraglichen Vereinbarungen vor der Bereitstellung in der Produktivumgebung durch die Cloud-Kunden freizugeben sind, stellen diese durch geeignete Kontrollen sicher, dass autorisiertes und qualifiziertes Personal die bereitgestellten Informationen entgegennimmt, die Auswirkungen im Rahmen des ISMS bewertet und gemäß der vom Cloud-Anbieter vorgegebenen Rahmenbedingungen über die Freigabe entscheidet.
Leitlinie:
Wenn die Praxis im Rahmen individueller Anpassungen vor der Liveschaltung ein „Go“ geben muss, sollte dies durch geschultes Personal erfolgen, das die Auswirkungen auf Sicherheit und Datenschutz überblickt.
DEV-06 – Testen der Änderungen
Beschreibung:
Soweit Änderungen gemäß den vertraglichen Vereinbarungen vor der Bereitstellung in der Produktivumgebung durch die Cloud-Kunden zu testen sind, stellen diese durch geeignete Kontrollen sicher, dass die Tests angemessen durchgeführt werden, um Fehler zu identifizieren. Dies umfasst insbesondere die zeitgerechte Durchführung der Tests durch qualifiziertes Personal gemäß der vom Cloud-Anbieter vorgegebenen Rahmenbedingungen.
Leitlinie:
Ergeben sich aus der Zusammenarbeit mit dem Cloud-Anbieter Aufgaben zur Abnahme oder zum Test neuer Funktionen, sollten diese Tests gewissenhaft, zeitnah und möglichst von qualifizierten Personen durchgeführt werden, um mögliche Fehler frühzeitig zu erkennen.