Amazon Web Services: Risiko und Compliance

Transcription

Dezember 2015
Dezember 2015
(Unter http://aws.amazon.com/compliance/aws-whitepapers/
finden Sie die neueste Version dieses Dokuments.)
Seite 1 von 93
Dezember 2015
Dieses Dokument bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr vorhandenes KontrollFramework für ihre IT-Umgebung integrieren können. In diesem Dokument wird ein einfacher Ansatz zum
Bewerten von AWS-Kontrollen erläutert. Außerdem enthält es Informationen zur Unterstützung von Kunden
bei der Integration von Kontrollumgebungen. Zusätzlich werden in diesem Dokument AWS-spezifische
Informationen rund um allgemeine Compliance-Fragen beim Cloud Computing behandelt.
Inhaltsverzeichnis
Risiko und Compliance – Übersicht ................................................................................................................ 3
Umgebung mit übergreifender Verantwortlichkeit ..................................................................................................................... 4
Strenge Compliance-Governance .................................................................................................................................................... 4
Bewerten und Integrieren von AWS-Kontrollen ......................................................................................... 5
AWS-IT-Kontrollinformationen ...................................................................................................................................................... 5
Globale AWS-Regionen ..................................................................................................................................................................... 6
Risiko- und Compliance-Programm von AWS ............................................................................................. 6
Risikomanagement ............................................................................................................................................................................ 6
Kontrollumgebung............................................................................................................................................................................. 7
Informationssicherheit...................................................................................................................................................................... 7
AWS-Zertifizierungen, -Programme, -Berichte und Bescheinigungen von Drittanbietern............ 8
CJIS ...................................................................................................................................................................................................... 8
CSA ....................................................................................................................................................................................................... 8
Cyber Essentials Plus ........................................................................................................................................................................ 8
DoD SRG, Stufen 2 und 4 .................................................................................................................................................................. 9
FedRAMP SM........................................................................................................................................................................................ 9
FERPA................................................................................................................................................................................................ 10
FIPS 140-2 ......................................................................................................................................................................................... 10
FISMA und DIACAP ........................................................................................................................................................................ 10
HIPAA ................................................................................................................................................................................................ 11
IRAP ................................................................................................................................................................................................... 11
ISO 9001 ............................................................................................................................................................................................ 12
ISO 27001 .......................................................................................................................................................................................... 13
ISO 27017........................................................................................................................................................................................... 14
ISO 27018 .......................................................................................................................................................................................... 15
ITAR ................................................................................................................................................................................................... 16
MPAA ................................................................................................................................................................................................. 17
MTCS Tier 3-Zertifizierung ............................................................................................................................................................ 17
NIST ................................................................................................................................................................................................... 17
Seite 2 von 93
Dezember 2015
PCI DSS Stufe 1 ................................................................................................................................................................................. 18
SOC 1/ISAE 3402 ............................................................................................................................................................................. 19
SOC 2.................................................................................................................................................................................................. 21
SOC 3.................................................................................................................................................................................................. 21
Wichtige Compliance-Fragen und AWS....................................................................................................................................... 21
Kontakt mit AWS ................................................................................................................................................. 27
Anhang A: CSA Consensus Assessments Initiative – Fragebogen v3.0.1 ............................................ 28
Anhang B: AWS-Übereinstimmung mit den Sicherheitsüber-legungen zum Cloud Computing
(Cloud Computing Security Considerations) des Australian Signals Directorate (ASD)............... 66
Anhang C: Glossar der Begriffe ....................................................................................................................... 89
Risiko und Compliance – Übersicht
Da sich AWS und seine Kunden die Kontrolle der IT-Umgebung teilen, sind beide Parteien für die Verwaltung
der IT-Umgebung verantwortlich. Der Anteil von AWS an dieser übergreifenden Verantwortlichkeit liegt in der
Bereitstellung seiner Services auf einer überaus sicheren und kontrollierten Plattform sowie der Bereitstellung
einer breiten Palette von Sicherheitsfunktionen, die Kunden nutzen können. In der Verantwortung der Kunden
liegt die Konfiguration ihrer IT-Umgebungen für die vorgesehenen Zwecke auf sichere und kontrollierte Weise.
AWS erhält von den Kunden keine Informationen über deren Nutzung und Konfigurationen, gibt aber selbst
Informationen über seine für den Kunden relevante Sicherheits- und Kontrollumgebung bekannt. Dies
geschieht seitens AWS wie folgt:



Erwerben von Branchenzertifizierungen und Bescheinigungen unabhängiger Dritter, die in diesem
Dokument beschrieben sind
Veröffentlichen von Informationen zu AWS-Sicherheits- und Kontrollpraktiken in Whitepapers und auf
Websites
Direktes Bereitstellen von Zertifikaten, Berichten und anderer Dokumentation für AWS-Kunden im
Rahmen der Vertraulichkeitsvereinbarung (falls erforderlich)
Eine detailliertere Beschreibung der AWS-Sicherheit finden Sie im
AWS-Sicherheitszentrum: https://aws.amazon.com/security/
Eine detailliertere Beschreibung der AWS-Compliance finden Sie auf der Seite
AWS-Compliance: https://aws.amazon.com/compliance/
Zudem werden im AWS Cloud-Sicherheits-Whitepaper die allgemeinen Sicherheitskontrollen und
servicespezifischen Sicherheitsvorkehrungen beschrieben.
Seite 3 von 93
Dezember 2015
Umgebung mit übergreifender Verantwortlichkeit
Wenn Sie Ihre IT-Infrastruktur in AWS-Services verlagern, entsteht ein Modell übergreifender
Verantwortlichkeit zwischen Kunde und AWS. Dieses Modell bedeutet für die Kunden eine Erleichterung des
Betriebs, da AWS die Komponenten des Hostbetriebssystems und der Virtualisierungsebene betreibt, verwaltet
und steuert und zudem für die physische Sicherheit der Standorte sorgt, an denen die Services ausgeführt
werden. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung
(einschließlich Updates und Sicherheits-Patches), für andere damit verbundene Anwendungssoftware sowie
für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe. Kunden sollten sich gut
überlegen, welche Services sie auswählen, da ihre Verantwortlichkeit von den genutzten Services, von deren
Integration in ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften abhängen. Durch
Nutzung von Technologien wie hostbasierte Firewalls, hostbasierte Erkennung/Verhinderung von unbefugtem
Eindringen in Computersysteme, Verschlüsselung und Schlüsselverwaltung können Kunden die Sicherheit
erhöhen und/oder ihre strengeren Compliance-Anforderungen erfüllen. Dieses Modell der übergreifenden
Verantwortlichkeit sorgt für Flexibilität und Kundenkontrolle, durch die wir Lösungen einsetzen können, die
alle branchenspezifischen Anforderungen für die Zertifizierung erfüllen.
Das Modell der übergreifenden Verantwortlichkeit von Kunde und AWS kann auch auf IT-Kontrollen
ausgedehnt werden. Ebenso wie die Zuständigkeit für den Betrieb der IT-Umgebung zwischen AWS und seinen
Kunden aufgeteilt ist, werden auch die Verwaltung, der Betrieb und die Verifizierung von IT-Kontrollen von
den Beteiligten übernommen. AWS kann Kunden den Aufwand des Betreibens von Kontrollen durch die
Verwaltung derjenigen Kontrollen abnehmen, die mit der in der AWS-Umgebung bereitgestellten physischen
Infrastruktur verbunden sind, und die ggf. zuvor vom Kunden verwaltet wurden. Da jede Kundenumgebung in
AWS anders bereitgestellt wird, können Kunden vom Verlagern der Verwaltung bestimmter IT-Kontrollen an
AWS profitieren, was zu einer (neuen) verteilten Kontrollumgebung führt. Kunden können dann die verfügbare
Dokumentation zu AWS-Kontrollen und -Compliance (beschrieben im Abschnitt AWS-Zertifizierungen und
Bescheinigungen von Drittanbietern dieses Dokuments) nutzen, um ihre Verfahren zur Überprüfung und
Bewertung von Kontrollen den Anforderungen entsprechend auszuführen.
Im nächsten Abschnitt wird erläutert, wie AWS-Kunden ihre verteilte Kontrollumgebung effektiv bewerten und
überprüfen können.
Strenge Compliance-Governance
Wie gewohnt müssen AWS-Kunden unabhä
ngig von der Art der IT-Bereitstellung weiterhin für eine
angemessene Überwachung der gesamten IT-Kontrollumgebung sorgen. Zu den maßgeblichen Methoden zä
hlen
das Verstehen der zu erfüllenden Compliance-Ziele und -Anforderungen (aus relevanten Quellen), das Einrichten
einer Kontrollumgebung, die diese Ziele und Anforderungen erfüllt, das Verstehen der erforderlichen, auf der
Risikotoleranz der Organisation basierenden Überprüfung und das Bestä
tigen der betrieblichen Effektivitä
t der
Kontrollumgebung. Die Bereitstellung in der AWS-Cloud bietet Unternehmen unterschiedliche Möglichkeiten
zum Anwenden verschiedener Arten von Kontrollen und Verifizierungsmethoden.
Eine strenge Compliance und Governance auf Kundenseite kann dem folgenden einfachen Ansatz folgen:
1. Überprüfen der von AWS bereitgestellten Informationen sowie anderer Informationen, um sich so
umfassend wie möglich mit der gesamten IT-Umgebung vertraut zu machen, und anschließendes
Dokumentieren aller Compliance-Anforderungen
2. Entwerfen und Implementieren von Kontrollzielen zum Erfüllen der Compliance-Anforderungen
des Unternehmens
3. Bestimmen und Dokumentieren von Kontrollen externer Parteien
4. Verifizieren, dass alle Kontrollziele erfüllt und alle wichtigen Kontrollen effektiv entworfen und
betrieben werden
Seite 4 von 93
Dezember 2015
Wenn sich Unternehmen der Überwachung von Compliance auf diese Weise annähern, machen sie sich besser
mit ihrer Kontrollumgebung vertraut und können dadurch die durchzuführenden Validierungsaufgaben besser
erledigen.
Bewerten und Integrieren von AWS-Kontrollen
AWS bietet seinen Kunden umfassende Informationen über seine IT-Kontrollumgebung, beispielsweise durch
Whitepapers, Berichte, Zertifizierungen oder Bestätigungen von Drittanbietern. Diese Dokumentation hilft
Benutzern, mehr über die relevanten Kontrollfunktionen der von ihnen verwendeten AWS-Services zu erfahren
und zu verstehen, wie diese Kontrollfunktionen validiert wurden. Diese Informationen helfen Kunden auch bei
der Prüfung, ob die Kontrollfunktionen ihrer erweiterten IT-Umgebung effektiv sind.
Üblicherweise wird die Entwurfs- und Betriebseffektivität von Kontrollzielen und Kontrollen durch interne
und/oder externe Prüfer im Rahmen einer Prozessüberprüfung und Evidenzbewertung validiert. Zum
Überprüfen von Kontrollen erfolgt zumeist (durch den Kunden oder externen Prüfer beim Kunden) eine
direkte Beobachtung/Verifizierung. Wenn Unternehmen mit Serviceanbietern wie AWS zusammenarbeiten,
werden von den Unternehmen Bescheinigungen und Zertifizierungen von Drittanbietern angefordert und
bewertet, um Gewissheit hinsichtlich der Entwurfs- und Betriebseffektivität von Kontrollzielen und Kontrollen
zu haben. Somit kann, auch wenn die wichtigsten Kontrollen des Kunden von AWS verwaltet werden, die
Kontrollumgebung weiterhin ein einheitliches Framework sein, in dem alle Kontrollen berücksichtigt und als
effektiv betrieben verifiziert sind. Beglaubigungen und Zertifizierungen von AWS durch Dritte sorgen nicht nur
für einen höheren Validierungsgrad für die Kontrollumgebung, sondern können Kunden die Anforderung
abnehmen, bestimmte Validierungsaufgaben für ihre IT-Umgebung in der AWS-Cloud selbst zu erledigen.
AWS-IT-Kontrollinformationen
AWS bietet seinen Kunden IT-Kontrollinformationen auf die beiden folgenden Weisen:
1. Definition spezifischer Kontrollen. AWS-Kunden können von AWS verwaltete
Schlüsselkontrollen identifizieren. Schlüsselkontrollen sind für die Kontrollumgebung des Kunden sehr
wichtig und erfordern eine externe Bescheinigung ihrer Betriebseffektivität, um ComplianceAnforderungen zu erfüllen, z. B. die jährliche Bilanzprüfung. Zu diesem Zweck veröffentlicht AWS eine
Vielzahl von IT-Kontrollen in seinem Bericht „Service Organization Controls 1 (SOC 1), Type II“. Der
SOC 1-Bericht, früher „Statement on Auditing Standards (SAS) No. 70, Service Organizations“ genannt,
ist eine umfassend anerkannte Bilanzprüfungsvorschrift des American Institute of Certified Public
Accountants (AICPA). Die SOC 1-Prüfung ist eine umfassende Untersuchung sowohl des Entwurfs als
auch der Betriebseffektivität der von AWS definierten Kontrollziele und -aktivitäten (zu der die
Kontrollziele und -aktivitäten für den Teil der Infrastruktur zählen, der von AWS verwaltet wird). „Type
II“ bezieht sich auf die Tatsache, dass alle in dem Bericht beschriebenen Kontrollen vom externen
Prüfer nicht nur auf Angemessenheit des Entwurfs, sondern auch auf Betriebseffektivität getestet
werden. Aufgrund der Unabhängigkeit und Kompetenz des externen Prüfers von AWS sollten die in
dem Bericht genannten Kontrollen beim Kunden für ein hohes Maßan Vertrauen in die AWSKontrollumgebung sorgen. Die Kontrollen von AWS zeichnen sich durch einen effektiven Entwurf und
Betrieb für zahlreiche Compliance-Zwecke aus, so z. B. für Bilanzprüfungen nach Sarbanes-Oxley (SOX)
Abschnitt 404. Das Arbeiten mit SOC 1 Type II-Berichten wird auch von anderen externen
Zertifizierungsstellen generell zugelassen (beispielsweise können ISO 27001-Prüfer einen SOC 1 Type
II-Bericht anfordern, um ihre Beurteilungen für Kunden fertigzustellen).
Seite 5 von 93
Dezember 2015
Andere spezifische Kontrollaktivitäten stehen im Zusammenhang mit der Compliance von AWS bezüglich der
Kreditkartenunternehmen (Payment Card Industry, PCI) und des Federal Information Security Management
Act (FISMA). Wie nachfolgend erläutert, befolgt AWS die FISMA Moderate-Standards und den PCI Data
Security Standard. Diese PCI- und FISMA-Standards zeichnen sich durch strenge Vorschriften aus und
erfordern eine unabhängige Bescheinigung, dass AWS die veröffentlichten Standards befolgt.
2. Allgemeine Kontrollstandard-Compliance. Wenn ein AWS-Kunde eine breite Palette von
Kontrollzielen erfüllen muss, kann eine Überprüfung der Branchenzertifizierungen von AWS erfolgen.
AWS ist nach ISO 27001 zertifiziert, erfüllt somit einen weitreichenden Sicherheitsstandard und befolgt
bewährte Methoden zum Aufrechterhalten einer sicheren Umgebung. Durch Befolgen des PCI Data
Security Standard (PCI DSS) erfüllt AWS vielfältige Anforderungen an Kontrollen für Unternehmen, die
Kreditkartendaten verarbeiten. AWS befolgt die FISMA-Standards und bietet dadurch einen breite
Palette spezifischer Kontrollen, die von US-Bundesbehörden gefordert werden. Durch die Einhaltung
dieser allgemeinen Standards sind Kunden in umfassender Weise und eingehend über das Wesen der
vorhandenen Kontrollen und Sicherheitsprozesse informiert, die beim Compliance-Management
Berücksichtigung finden können.
Globale AWS-Regionen
Rechenzentren sind in Clustern in verschiedenen Regionen weltweit errichtet. Derzeit gibt es elf Regionen:
USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon),
EU (Frankfurt), EU (Irland), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), China
(Peking) und Südamerika (São Paulo).
Risiko- und Compliance-Programm von AWS
AWS stellt Informationen zu seinem Risiko- und Compliance-Programm bereit, damit Kunden AWS-Kontrollen
in ihr Überwachungs-Framework integrieren können. Mithilfe dieser Informationen können Kunden ein
vollstä
ndiges Kontroll- und Überwachungs-Framework dokumentieren, in dem AWS eine wichtige Rolle
einnimmt.
Risikomanagement
Die Geschäftsleitung von AWS hat einen strategischen Unternehmensplan entwickelt, der die Risikoerkennung
sowie die Implementierung von Kontrollen zur Verringerung und Bewältigung von Risiken vorsieht. Die
Geschäftsleitung von AWS bewertet den strategischen Unternehmensplan mindestens halbjährlich neu. Dabei
muss die Geschäftsleitung Risiken innerhalb ihrer Zuständigkeitsbereiche erkennen und angemessene
Maßnahmen für den Umgang mit solchen Risiken umsetzen.
Zusätzlich wird die Kontrollumgebung von AWS verschiedenen internen und externen Risikoanalysen
unterzogen. Die Compliance- und Sicherheitsteams von AWS haben ein Framework für die
Informationssicherheit und dazugehörige Richtlinien entwickelt. Es basiert auf dem COBIT-Framework
(Control Objectives for Information and related Technology). Darin sind die ISO 27002-Kontrollfunktionen
wirksam integriert, die auf dem zertifizierbaren ISO 27001-Framework, den AICPA Trust Services-Prinzipien
(American Institute of Certified Public Accountants), dem Regelwerk PCI DSS v3.1 und der National Institute of Standards
and Technology (NIST)-Publikation 800-53 Rev 3 (Recommended Security Controls for Federal Information
Systems) basieren. AWS pflegt die Sicherheitsrichtlinien, führt Sicherheitsschulungen für Mitarbeiter durch
und prüft die Anwendungssicherheit. Im Rahmen dieser Überprüfungen wird die Vertraulichkeit, Integrität
und Verfügbarkeit von Daten sowie die Einhaltung der Richtlinien für die Informationssicherheit bewertet.
Seite 6 von 93
Dezember 2015
In regelmäßigen Abständen überprüft das Sicherheitsteam von AWS alle mit dem Internet verbundenen IPAdressen von Service-Endpunkten auf Schwachstellen (Instances von Kunden werden nicht untersucht). Das
AWS-Sicherheitsteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen beheben
können.
Zusätzlich
werden
regelmäßig
unabhängige
externe
Sicherheitsfirmen
mit
einer
Schwachstellenüberprüfung beauftragt. Die Ergebnisse und Empfehlungen dieser Überprüfungen werden
kategorisiert und an die Geschäftsleitung von AWS weitergeleitet. Diese Untersuchungen werden zum Erhalten
der Integrität und Funktionsfähigkeit der zugrunde liegenden AWS-Infrastruktur durchgeführt. Sie sind nicht
dazu gedacht, die kundeneigenen Untersuchungen auf Schwachstellen zu ersetzen, die notwendig sind, um die
jeweils geltenden Compliance-Anforderungen zu erfüllen. Kunden können die Berechtigung zur Durchführung
von Untersuchungen der eigenen Cloud-Infrastruktur beantragen, sofern sich diese Untersuchungen auf die
Instances des Kunden beschränken und nicht gegen die Richtlinien zur angemessenen Nutzung von AWS
verstoßen. Eine erweiterte Genehmigung für solche Untersuchungen kann mit dem Formular AWS
Vulnerability/Penetration Testing beantragt werden.
Kontrollumgebung
AWS verwaltet eine umfassendes Kontrollumgebung, zu der Richtlinien, Prozesse und Kontrollaktivitäten
gehören, die verschiedene Funktionen der gesamten Kontrollumgebung von Amazon nutzen. Diese
Kontrollumgebung dient der sicheren Bereitstellung der AWS-Serviceangebote. Die gemeinsame
Kontrollumgebung umfasst die Personen, Prozesse und Technologien, die benötigt werden, um eine Umgebung
einzurichten und zu verwalten, welche die Betriebseffektivität des Kontroll-Frameworks von AWS unterstützt.
AWS hat maßgebliche Cloud-spezifische Kontrollen, die von führenden Cloud Computing-Branchengremien
definiert wurden, in das AWS-Kontroll-Framework integriert. AWS verfolgt ständig, welche Vorschläge diese
Branchengremien hinsichtlich empfehlenswerter Methoden machen, mit deren Hilfe Kunden bei der
Verwaltung ihrer Kontrollumgebung besser unterstützt werden können.
Die Kontrollumgebung von Amazon beginnt mit der Führungsebene des Unternehmens. Geschäftsleitung und
leitende Angestellte spielen bei der Bestimmung der Firmenphilosophie und Grundwerte des Unternehmens
eine entscheidende Rolle. Jeder Mitarbeiter muss den Verhaltenskodex des Unternehmens befolgen, der in
regelmäßigen Schulungen vermittelt wird. Compliance-Überprüfungen erfolgen, damit Mitarbeiter die
vorgegebenen Richtlinien verstehen und befolgen.
Die Organisationsstruktur von AWS schafft einen Rahmen für die Planung, Ausführung und Kontrolle des
Geschäftsbetriebs. Im Rahmen der Organisationsstruktur werden Rollen und Zuständigkeiten zugewiesen, um
eine geeignete Stellenbesetzung, betriebliche Effizienz und Aufgabentrennung sicherzustellen. Die
Geschäftsleitung hat Mitarbeitern in Schlüsselpositionen wichtige Kompetenzen eingeräumt und angemessene
Berichtslinien für sie vorgesehen. Als Teil des Verifizierungsprozesses des Unternehmens für Einstellungen
werden Ausbildung, bisherige Arbeitsverhältnisse und in manchen Fällen Hintergrundprüfungen einbezogen,
soweit dies durch Arbeitnehmergesetze und -regelungen im Hinblick auf die Position des Mitarbeiters und die
Zugriffsebene auf AWS-Einrichtungen angemessen ist. Neue Mitarbeiter werden in ihrer Einstellungs- und
Integrationsphase von Amazon strukturiert mit den Tools, Prozessen, Systemen, Richtlinien und Verfahren des
Unternehmens vertraut gemacht.
Informationssicherheit
AWS hat ein formelles Informationssicherheitsprogramm zum Schutz der Vertraulichkeit, Integrität und
Verfügbarkeit von Kundensystemen und -daten in Kraft gesetzt. AWS veröffentlicht ein Whitepaper zum
Thema Sicherheit, das auf der öffentlichen Website verfügbar ist und in dem erklä
rt wird, wie AWS Kunden
beim Schutz ihrer Daten helfen kann.
Seite 7 von 93
Dezember 2015
AWS-Zertifizierungen, -Programme, -Berichte und
Bescheinigungen von Drittanbietern
AWS arbeitet mit externen Zertifizierungsstellen und unabhängigen Prüfern zusammen, um Kunden mit
umfassenden Informationen zu Richtlinien, Prozessen und Kontrollen zu versorgen, die von AWS definiert und
umgesetzt werden.
CJIS
AWS erfüllt den Criminal Justice Information Services (CJIS)-Standard des FBI. Wir schließen CJISSicherheitsabkommen mit unseren Kunden, die alle erforderlichen Mitarbeiterüberprüfungen gemäßder
CJIS-Sicherheitsrichtlinien erlauben.
Strafverfolgungsbehörden (und Partner, die CJI verwalten) nutzen die Vorteile der AWS-Services, um die
Sicherheit und den Schutz der CJI Daten zu verbessern. Sie nutzen dazu die erweiterten Sicherheits-Services
und Sicherheitsfunktionen von AWS, wie Aktivitätsprotokollierung (AWS CloudTrail), Verschlüsselung von
Daten während der Übertragung und in Ruhe (bei S3 die Verschlüsselung auf dem Server mit der Option, einen
eigenen Schlüssel zu verwenden), umfassende Schlüsselverwaltung und Schlüsselschutz (AWS Key
Management Service und CloudHSM) sowie integrierte Rechteverwaltung (IAM-Identitätsmanagement
per Verbund, Multifaktor-Authentifizierung).
AWS hat eine Criminal Justice Information Services (CJIS)-Arbeitsmappe im Format einer
Sicherheitsplanvorlage erstellt, die auf die CJIS-Richtlinienbereiche ausgerichtet ist. Zusätzlich wurde ein
CJIS-Whitepaper entwickelt, um Kunden auf ihrem Weg in die Cloud zu unterstützen.
Besuchen Sie das CJIS-Portal unter: https://aws.amazon.com/compliance/cjis/
CSA
2011 hat die Cloud Security Alliance (CSA) STAR gestartet, eine Initiative, um die Transparenz der
Sicherheitsverfahren bei Cloud-Anbietern zu fördern. Die CSA Security Trust & Assurance Registry
(STAR) ist eine kostenlose, öffentlich zugängliche Datenbank, die Sicherheitskontrollen der verschiedenen
Cloud Computing-Angebote dokumentiert und den Benutzern helfen kann, die Sicherheit von Cloud-Anbietern
zu beurteilen, mit denen sie derzeit arbeiten oder eine Zusammenarbeit erwägen. AWS ist bei CSA STAR
registriert und hat den CAIQ-Fragenkatalog (Consensus Assessments Initiative Questionnaire) der CSA
(Cloud Security Alliance) beantwortet. Dieser von der CSA veröffentlichte Fragenkatalog bietet eine
Möglichkeit zur Angabe und Dokumentation der Sicherheitskontrollen im Angebot „Infrastructure as a
Service“ von AWS. Der Fragebogen enthält 298 Fragen, die ein Cloud-Nutzer oder Cloud-Prüfer einem CloudAnbieter eventuell stellen möchte.
Siehe: Anhang A: CSA Consensus Assessments Initiative – Fragebogen v3.0.1
Cyber Essentials Plus
Cyber Essentials Plus ist ein von der britischen Regierung und der Industrie unterstütztes
Zertifizierungssystem, das in Großbritannien eingeführt wurde, damit Organisationen darlegen können, dass
ihre Betriebssicherheit gegenüber bekannten Angriffen aus dem Internet gewährleistet ist.
Seite 8 von 93
Dezember 2015
Es umfasst die grundlegenden Kontrollen, die AWS implementiert, um das Risiko von allgemeinen
internetbasierten Bedrohungen zu mindern, und liegt im Rahmen des Programms „10 Steps to Cyber
Security“ der britischen Regierung. Es wird von der Industrie unterstützt, einschließlich der Federation of
Small Businesses, der Confederation of British Industry und einer Reihe von Versicherungsgesellschaften, die
Anreize für Unternehmen bieten, die diese Zertifizierung besitzen.
Cyber Essentials legt die erforderlichen technischen Kontrollen fest. Das zugehörige Sicherungs-Framework
zeigt, wie der unabhängige Sicherungsprozess funktioniert. Für die Cyber Essentials Plus-Zertifizierung ist eine
jä
hrliche externe Bewertung durch einen akkreditierten Gutachter erforderlich. Aufgrund des regionalen
Charakters der Zertifizierung ist der Geltungsbereich der Zertifizierung auf die Region EU (Irland) beschränkt.
DoD SRG, Stufen 2 und 4
Der Security Requirements Guide (SRG)-Leitfaden für Cloud Computing des Verteidigungsministerium
der USA (Department of Defense, DoD) bietet einen formalisierten Bewertungs- und Zulassungsprozess für
Cloud Service-Anbieter (Cloud Service Provider, CSPs) zur Erlangung einer vorläufigen DoD-Autorisierung, die
anschließend von DoD-Kunden genutzt werden kann. Eine vorläufige SRG-Autorisierung umfasst eine
wiederverwendbare Zertifizierung, die unsere Einhaltung der DoD Standards bescheinigt. Damit kann ein
DoD-Auftragnehmer eines seiner Systeme schneller für den Betrieb auf AWS überprüfen und autorisieren
lassen. AWS verfügt derzeit über vorläufige Autorisierungen der SRG-Stufen 2 und 4.
Zusätzliche Informationen zu den Sicherheitskontrollen der Stufen 2, 4, 5 und 6 finden Sie unter
http://iase.disa.mil/cloud_security/Pages/index.aspx.
Besuchen Sie das DoD-Portal unter: https://aws.amazon.com/compliance/dod/
FedRAMP SM
AWS ist ein zugelassener Anbieter von Cloud-Services für das Federal Risk and Authorization Management
Program (FedRAMPsm). AWS wurde durch eine von FedRAMPsm autorisierte Third-Party Assessment
Organization (3PAO) geprüft und hat zwei ATO-Genehmigungen (Agency Authority to Operate) vom USGesundheitsministerium erhalten, nachdem die Einhaltung der FedRAMPsm-Anforderungen auf der mittleren
Sicherheitsstufe nachgewiesen wurde. Alle US-Bundesbehörden können die im FedRAMPsm-Repository
gespeicherten Agentur-ATO-Pakete verwenden, um AWS für ihre Anwendungen und Arbeitslasten zu
bewerten, Autorisierungen für die Verwendung von AWS bereitzustellen und Arbeitslasten in die AWSUmgebung zu übertragen. Die beiden FedRAMPsm-Agentur-ATOs umfassen sämtliche Regionen der USA (die AWS GovCloud
(US)-Region und die AWS US East/West-Regionen).
Die folgenden Services fallen unter die Zulassung für die zuvor genannten Regionen:




Amazon Redshift Amazon Redshift ist ein schneller, vollständig verwalteter Data Warehouse-Service
für Datenmengen im Petabyte-Bereich, mit dem Sie im Zusammenspiel mit Ihren vorhandenen
Business Intelligence-Tools alle Ihre Daten einfach und wirtschaftlich analysieren können.
Amazon Elastic Compute Cloud (Amazon EC2) Amazon EC2 bietet anpassbare Rechenkapazität in der
Cloud. Der Service ist darauf ausgelegt, Cloud Computing für Entwickler zu erleichtern.
Amazon Simple Storage Service (S3) Amazon S3 bietet eine einfache Web-Service-Schnittstelle zum
Speichern und Abrufen einer beliebigen Datenmenge zu jeder Zeit und von jedem Ort im Internet aus.
Amazon Virtual Private Cloud (VPC) Amazon VPC ermöglicht die Bereitstellung eines logisch isolierten
Bereichs in AWS, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk
ausführen können.
Seite 9 von 93


Dezember 2015
Amazon Elastic Block Store (EBS) Amazon EBS bietet hochverfügbare, zuverlässige und berechenbare
Speicher-Volumes, die mit einer ausgeführten Amazon EC2-Instance verbunden und als Gerä
t zur
Verfügung gestellt werden können.
AWS Identity and Access Management (IAM) Mit IAM können Sie den Zugriff auf AWS-Services und Ressourcen für Ihre Benutzer sicher steuern. Mithilfe von IAM können Sie AWS-Benutzer und Gruppen anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen
zulassen oder verweigern.
Weitere Informationen zur AWS FedRAMPsm-Compliance finden Sie in den häufig gestellten Fragen zu AWS
FedRAMPsm unter https://aws.amazon.com/compliance/fedramp/
FERPA
Das US-Bundesgesetz The Family Educational Rights and Privacy Act (FERPA) (20 U.S.C. §1232g; 34
CFR Part 99) wurde zum Schutz der Ausbildungsdaten von Schülern erlassen. Das Gesetz gilt für alle Schulen,
die Mittel aus einem Programm des US-Bildungsministeriums erhalten. FERPA gibt Eltern bestimmte Rechte
in Bezug auf die Ausbildungsdaten ihrer Kinder. Diese Rechte gehen an die Schüler über, wenn sie das Alter
von 18 Jahren erreichen oder eine höhere Schule als die Highschool besuchen. Schüler mit derartigen Rechten
werden „berechtigte Schüler“ genannt.
AWS ermöglicht berechtigten Entitäten und deren Geschäftspartnern, die FERPA unterliegen, die Nutzung der
sichere AWS-Umgebung, um geschützt Ausbildungsinformationen zu verarbeiten, zu pflegen und zu speichern.
AWS bietet außerdem ein Whitepaper mit Schwerpunkt FERPA für Kunden, die mehr darüber erfahren
möchten, wie AWS zur Verarbeitung und Speicherung von Ausbildungsdaten genutzt werden kann.
Das Whitepaper „FERPA Compliance on AWS“ beschreibt, wie Unternehmen AWS nutzen können, um die
Einhaltung der FERPA-Compliance zu erleichtern:
https://d0.awsstatic.com/whitepapers/compliance/AWS_FERPA_Whitepaper.pdf
FIPS 140-2
Die Veröffentlichung 140-2 des Federal Information Processing Standard (FIPS) ist ein
Sicherheitsstandard der US-Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule
angegeben werden, die vertrauliche Informationen schützen. Um Kunden mit FIPS 140-2-Anforderungen zu
unterstützen, werden SSL-Terminierungen auf AWS GovCloud (US) mit FIPS 140-2-validierter Hardware
ausgeführt. AWS arbeitet mit AWS GovCloud (US)-Kunden zusammen, um ihnen die Informationen
bereitzustellen, die sie beim Compliance-Management mit der AWS GovCloud (US)-Umgebung benötigen.
FISMA und DIACAP
AWS ermöglicht es US-Bundesbehörden, die langfristige Einhaltung des Federal Information Security
Management Act (FISMA) zu erreichen. Die AWS-Infrastruktur wurde von unabhängigen Prüfern für
verschiedene Regierungssysteme im Rahmen ihres Genehmigungsprozesses für Systeminhaber bewertet.
Zahlreiche Zivilbehörden und Abteilungen des Verteidigungsministeriums haben erfolgreich
Sicherheitsautorisierungen für auf AWS gehostete Systeme gemäßdem Risk Management Framework-Prozess
(RMF) erhalten, der in NIST 800-37 und dem Zertifizierungs- und Akkreditierungsprozess für
Informationssicherheit des Verteidigungsministeriums (DoD Information Assurance Certification and
Accreditation Process, (DIACAP) festgelegt ist.
Seite 10 von 93
Dezember 2015
HIPAA
AWS ermöglicht Körperschaften, die dem Health Insurance Portability and Accountability Act (HIPAA) der
USA unterliegen, sowie ihren Geschäftspartnern, geschützte patientenbezogene Daten zu verarbeiten, zu
warten und zu speichern; AWS schließt mit solchen Kunden Verträge über eine Geschäftspartnerschaft ab.
AWS bietet außerdem ein Whitepaper mit Schwerpunkt auf HIPAA für Kunden, die mehr darüber erfahren
möchten, wie AWS zur Verarbeitung und Speicherung von Patientendaten genutzt werden kann. Das
Whitepaper Architecting for HIPAA Security and Compliance on Amazon Web Services zeigt auf, wie
Unternehmen AWS einsetzen können, um die Compliance mit HIPAA and Health Information Technology for
Economic and Clinical Health (HITECH) zu unterstützen.
Kunden können jeden AWS-Service in einem Konto nutzen, das als HIPAA-Konto ausgewiesen ist, sollten PHI
jedoch nur in den HIPAA-konformen Services speichern und übertragen, die in den BAA definiert sind. Es gibt
bisher folgende neun HIPAA-fähige Services:









Amazon DynamoDB
Amazon Elastic Block Store (EBS)
Amazon Elastic Cloud Compute (EC2)
Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon Glacier
Amazon Redshift
Amazon Relational Database Service (Amazon RDS), wenn nur MySQL- und Oracle-Engines verwendet
werden
Amazon Simple Storage Service (S3)
AWS befolgt ein standardbasiertes Risikomanagementprogramm, um sicherzustellen, dass die HIPAAkonformen Services die spezifischen Sicherheits-, Kontroll- und Verwaltungsprozesse unterstützen, die gemäß
HIPAA erforderlich sind. Indem unsere Kunden diese Services nutzen, um PHI zu speichern und zu
verarbeiten, können sie und AWS die HIPAA-Anforderungen erfüllen, die für unser dienstprogrammbasiertes
Betriebsmodell gelten. AWS priorisiert je nach Kundennachfrage neue geeignete Services bzw. fügt solche hinzu.
Weitere Informationen finden Sie in den häufig gestellten Fragen zur HIPAA Compliance unter
https://aws.amazon.com/compliance/hipaa-compliance/
Architekturen entwerfen im Hinblick auf HIPAA-Sicherheit und Compliance auf Amazon Web Services:
https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
IRAP
Das Information Security Registered Assessors Program (IRAP) ermöglicht Kunden der australischen
Regierung zu bestätigen, dass angemessene Kontrollen vorhanden sind, und dient zur Bestimmung des
geeigneten Verantwortlichkeitsmodells für die im Information Security Manual (ISM) festgelegten
Anforderungen der australischen Sicherheitsbehörde (Australian Signals Directorate, ASD).
Amazon Web Services verfügt über ein unabhängiges Gutachten, das bestätigt, dass für die AWS-Region
Sydney alle geeigneten ISM-Kontrollen für die Verarbeitung, Speicherung und Übertragung von Daten der
Klassifizierungsstufe Unclassified (DLM) vorhanden sind.
Häufig gestellte Fragen zur IRAP-Compliance:
Seite 11 von 93
Dezember 2015
https://aws.amazon.com/compliance/irap/
Weitere Informationen finden Sie unter Anhang B: AWS-Übereinstimmung mit den
Sicherheitsüberlegungen zum Cloud Computing (Cloud Computing Security Considerations)
des Australian Signals Directorate (ASD)
ISO 9001
AWS hat eine ISO 9001-Zertifizierung erhalten. Die ISO 9001-Zertifizierung von AWS unterstützt direkt
diejenigen Kunden, die ihre qualitätsgeprüften IT-Systeme in der AWS-Cloud entwickeln und betreiben oder
sie in die Cloud übertragen. Kunden können die Compliance-Berichte von AWS als Beleg für ihre eigenen ISO
9001-Programme und für branchenspezifische Qualitätsprogramme nutzen, etwa GxP in Biowissenschaften,
ISO 13485 für medizinische Geräte, AS9100 in Luft- und Raumfahrt und ISO/TS 16949 im Automobilsektor.
AWS-Kunden, die für ihr Qualitätssystem keine Anforderungen zu erfüllen haben, profitieren dennoch von der
zusätzlichen Gewissheit und Transparenz, die eine Zertifizierung gemäßISO 9001 bietet.
Die Zertifizierung nach ISO 9001 umfasst das Qualitätsmanagementsystem eines bestimmten Umfang der
AWS-Dienste, Betriebsregionen (unten) und Services, einschließlich:


































AWS CloudFormation
AWS Cloud Hardware Security Model (HSM)
Amazon CloudFront
AWS CloudTrail
AWS Direct Connect
AWS Directory Service
Amazon DynamoDB
Amazon EC2 VM Import/Export
AWS Elastic Beanstalk
Amazon EC2 Container Service (ECS)
Amazon Elastic File System (EFS)
Amazon ElastiCache
Amazon Glacier
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
Amazon Redshift
Amazon Relational Database Service (RDS)
AWS Route 53
Amazon SimpleDB
Amazon Simple Email Service (SES)
Amazon Simple Queue Service (SQS)
AWS Storage Gateway
Amazon Simple Workflow Service (SWF)
Amazon Virtual Private Cloud (VPC)
AWS WAF – Web Application Firewall
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
Die zugrunde liegende physische Infrastruktur und die AWS-Verwaltungsumgebung
Seite 12 von 93
Dezember 2015
Die Zertifizierung gemäßISO 9001 von AWS gilt für folgende AWS-Regionen: USA Ost (Nord-Virginia), USA
West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA), Südamerika (São Paulo), EU (Irland), EU
(Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney) und Asien-Pazifik (Tokio).
ISO 9001:2008 ist eine weltweite Norm für das Qualitätsmanagement von Produkten und Dienstleistungen.
Die Norm 9001 umreißt ein Qualitätsmanagementsystem auf der Grundlage von acht Prinzipien, die vom
technischen Ausschuss für Qualitätsmanagement und Qualitätssicherung der Internationalen Organisation für
Normung (International Organization for Standardization – ISO) definiert wurde. Dazu gehören die Folgenden:








Kundenorientierung
Führerschaft
Einbeziehung von Personen
Prozessorientierte Verfahrensweise
Systemorientierter Managementansatz
Kontinuierliche Verbesserung
Sachbezogene Entscheidungsfindung
Lieferantenbeziehungen zum gegenseitigen Nutzen
Die ISO 9001-Zertifizierung für AWS kann heruntergeladen werden unter
https://d0.awsstatic.com/certifications/iso_9001_certification.pdf
AWS bietet weitere Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach ISO 9001
unter https://aws.amazon.com/compliance/iso-9001-faqs/
ISO 27001
AWS verfügt über die ISO 27001-Zertifizierung für sein Informationssicherheits-Managementsystems (ISMS).
Die Zertifizierung gilt für die Infrastruktur, die Rechenzentren und Services von AWS einschließlich:






















AWS CloudFormation
Amazon CloudFront
AWS CloudTrail
Amazon DynamoDB
AWS Direct Connect
AWS Cloud Hardware Security Model (HSM)
Amazon ElastiCache
Amazon Glacier
Amazon Redshift
AWS Route 53
Seite 13 von 93












Dezember 2015
Amazon SimpleDB
AWS Storage Gateway
AWS WAF – Web Application Firewall
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
Die zugrunde liegende physische Infrastruktur (einschließlich GovCloud) und die AWSVerwaltungsumgebung
ISO 27001/27002 ist ein weit verbreiteter globaler Sicherheitsstandard, der Anforderungen und bewährte
Methoden für eine systematische Vorgehensweise zur Verwaltung von Unternehmens- und Kundendaten
beschreibt und auf regelmäßigen Risikobewertungen basiert, die an sich ständig ändernde
Bedrohungsszenarien angepasst sind. Um die Zertifizierung zu erhalten, muss ein Unternehmen zeigen, dass es
über einen systematischen und kontinuierlichen Ansatz für den Umgang mit Informationssicherheitsrisiken
verfügt, die die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten bedrohen.
Diese Zertifizierung unterstreicht das Engagement von Amazon, Sicherheitskontrollen und -praktiken
transparent zu machen.
Die Zertifizierung gemäßISO 27001 von AWS gilt für folgende AWS-Regionen: USA Ost (Nord-Virginia), USA
West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA), Südamerika (São Paulo), EU (Irland), EU
(Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney) und Asien-Pazifik (Tokio).
https://d0.awsstatic.com/certifications/iso_27001_global_certification.pdf
AWS bietet weitere Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach ISO
27001 unter https://aws.amazon.com/compliance/iso-27001-faqs/
ISO 27017
ISO 27017 ist der neueste Verhaltenskodex der ISO (International Organization for Standardization,
Internationale Organisation für Normung). Es handelt sich um eine Leitlinie für
Informationssicherheitskontrollen speziell bei Cloud-Services.









Amazon CloudFront
Amazon DynamoDB
Amazon Elastic Compute Cloud (EC2)
Amazon ElastiCache
Amazon Glacier
Seite 14 von 93
























Dezember 2015
Amazon Redshift
Amazon Route 53
Amazon SimpleDB
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
AWS Storage Gateway
AWS WAF (Web Application Firewall)
Elastic Load Balancing
VM Import/Export
ISO 27018
ISO 27018 ist der erste internationale Verhaltenskodex, der sich auf den Schutz personenbezogener Daten in
der Cloud konzentriert. Er basiert auf der ISO-Norm 27002 für Informationssicherheit und bietet
Implementierungsleitlinien für ISO 27002-Kontrollen bezüglich personenbezogener Informationen
(Personally Identifiable Information (PII)) in einer öffentliche Cloud. Er bietet zudem eine Reihe von
zusätzlichen Kontrollen und die damit verbundenen Leitlinien für PII Schutzanforderungen in einer
öffentlichen Cloud, die nicht durch die bestehende ISO 27002-Richtlinie abgedeckt sind.








Amazon CloudFront
Amazon DynamoDB
Amazon ElastiCache
Seite 15 von 93

























Dezember 2015
Amazon Glacier
Amazon Redshift
Amazon Route 53
Amazon SimpleDB
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
AWS Storage Gateway
AWS WAF (Web Application Firewall)
Elastic Load Balancing
VM Import/Export
ITAR
Die AWS GovCloud (US)-Region unterstützt die Einhaltung der US International Traffic in Arms
Regulations (ITAR, Regelungen des internationalen Waffenhandels). Als Teil der Verwaltung eines
umfangreichen Programms zur Einhaltung von ITAR müssen Unternehmen, die den Exportregelungen von
ITAR unterliegen, unbeabsichtigte Exporte kontrollieren, indem der Zugriff auf geschützte Daten auf Personen
aus den USA und der physische Standort dieser Daten auf die USA beschränkt wird. Die von AWS GovCloud
(USA) bereitgestellte Umgebung befindet sich physisch in den USA. Der Zugriff durch AWS-Personal ist auf
Personen aus den USA beschränkt. Daher können qualifizierte Unternehmen durch ITAR geschützte Artikel
und Daten übertragen, verarbeiten und speichern. Die Umgebung AWS GovCloud (USA) wurde durch einen
unabhängigen Dritten geprüft, um sicherzustellen, dass die ordnungsgemäßen Kontrollen zur Unterstützung
der Exportregelungsprogramme von Kunden vorhanden sind.
Seite 16 von 93
Dezember 2015
MPAA
Die Motion Picture Association of America (MPAA) hat bewährte Methoden für die sichere Speicherung,
Verarbeitung und Bereitstellung geschützter Medien und Inhalte erarbeitet
(http://www.fightfilmtheft.org/facility-security-program.html). Medienunternehmen nutzen diese bewährten
Methoden als Möglichkeit zum Bewerten von Risiken und Sicherheit ihrer Inhalte und Infrastruktur. AWS hat
die Befolgung bewährter Methoden von MPAA unter Beweis gestellt und die AWS-Infrastruktur erfüllt
sämtliche geltenden MPAA-Infrastrukturkontrollen. Wenngleich die MPAA keine „Zertifizierung“ bietet,
können Kunden aus der Medienbranche AWS MPAA-Dokumentation zur Verbesserung ihrer Risikoanalyse
und Überprüfung von MPAA-Inhalten in AWS benutzen.
Weitere Detail finden Sie auf der MPAA-Seite von AWS unter
https://aws.amazon.com/compliance/mpaa/
MTCS Tier 3-Zertifizierung
Multi-Tier Cloud Security (MTCS) eine Norm für das Sicherheitsmanagement (SPRING SS 584: 2013) aus
Singapur, die auf den ISMS-Standards (Information Security Management System Standards) gemäßISO
27001/02 beruht. Für diese Zertifizierung muss AWS Folgendes durchführen:
• Systematisches Bewerten unsere Informationssicherheitsrisiken unter Berücksichtigung der Auswirkungen
von Bedrohungen und Schwachstellen des Unternehmens
• Entwerfen und Implementieren einer umfassenden Gruppe von Informationssicherheitskontrollen und
anderen Formen des Risikomanagements bezüglich der Risiken für Unternehmen und die Architektur
• Anwenden eines übergreifenden Verwaltungsvorgangs, um laufend sicherzustellen, dass die
Informationssicherheitskontrollen unseren Bedürfnissen nach Informationssicherheit entsprechen
Besuchen Sie das MTCS-Portal unter
https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/
NIST
Im Juni 2015 hat das National Institute of Standards and Technology (NIST) die Richtlinie 800-171, „Final
Guidelines for Protecting Sensitive Government Information Held by Contractors“ veröffentlicht. Diese
Richtlinie gilt für den Schutz von kontrollierten, aber unklassifizierten Informationen (Controlled Unclassified
Information, CUI) auf Systemen, die nicht im Besitz von US-Behörden sind.
AWS entspricht bereits diesen Richtlinien, sodass Kunden sofort mit NIST 800-171 konform sein können.
NIST 800-171 beschreibt eine Teilmenge der NIST 800-53-Anforderungen, denen AWS bereits gemäßder
Überprüfung nach dem FedRAMP-Programm entspricht. Die FedRAMP Moderate-Richtlinie für
Sicherheitskontrollen ist strenger als die in Kapitel 3 von 800-171 empfohlenen Anforderungen und umfasst
beträchtlich mehr Sicherheitskontrollen, als für FISMA Moderate-Systeme erforderlich sind, die CUI-Daten
schützen. Eine detaillierte Zuordnung finden Sie in der NIST Special Publication 800-171 ab Seite D2 (das
ist Seite 37 in der PDF-Datei).
Seite 17 von 93
Dezember 2015
PCI DSS Stufe 1
AWS erfüllt die Anforderungen von Stufe 1 des Datensicherheitsstandards (Data Security Standard, DSS) der
Zahlungs- und Kreditkartenbranche (Payment Card Industry, PCI). Kunden können ihre Anwendungen auf
unserer PCI-konformen Technologieinfrastruktur für die Speicherung, Verarbeitung und Übermittlung von
Kreditkartendaten in der Cloud ausführen. Im Februar 2013 hat das PCI Security Standards Council die PCI
DSS Cloud Computing Guidelines herausgegeben. Diese Leitlinien bieten Kunden, die eine Datenumgebung für
Karteninhaber betreiben, Anleitungen zum Einrichten von PCI DSS-Kontrollen in der Cloud. AWS hat die PCI
DSS Cloud Computing-Leitlinien in das AWS PCI-Compliance-Paket für Kunden integriert. Das AWS PCI
Compliance-Paket umfasst die AWS PCI Attestation of Compliance (AoC), die bestätigt, dass AWS die
Standards für Dienstanbieter der Stufe 1 gemäßPCI DSS Version 3.1 erfüllt, und die AWS PCI Responsibility
Summary, in der erläutert wird, wie sich AWS und seine Kunden die Zuständigkeiten für Compliance in der
Cloud teilen.
Für folgende Services gilt PCI DSS der Stufe 1:
























Auto Scaling
AWS CloudFormation
Amazon CloudFront
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
Amazon DynamoDB
Amazon Glacier
Amazon Redshift
Amazon Route 53
Amazon SimpleDB
Amazon Simple Workflow Service SWF
Die zugrunde liegende physische Infrastruktur (einschließlich GovCloud) und die AWSVerwaltungsumgebung
Welche Services und Regionen aktuell unter die AWS PCI DSS-Zertifizierung der Stufe 1 fallen, kann
eingesehen werden unter
https://aws.amazon.com/compliance/pci-dss-level-1-faqs/
Seite 18 von 93
Dezember 2015
SOC 1/ISAE 3402
Amazon Web Services veröffentlicht den Bericht „Service Organization Controls 1 (SOC 1), Type II“. Die
Prüfung für diesen Bericht wird in Übereinstimmung mit den folgenden Standards ausgeführt: „American
Institute of Certified Public Accountants (AICPA): AT 801“ (früher SSAE 16) und „International Standards for
Assurance Engagements No. 3402“ (ISAE 3402). Dieser zwei Standards abdeckende Bericht hat zum Ziel, eine
breite Palette finanzieller Prüfanforderungen von Prüfstellen in den USA und internationalen Prüfstellen zu
erfüllen. Der SOC 1-Bericht bescheinigt, dass die Kontrollziele von AWS angemessen ausgearbeitet wurden und
dass die einzelnen, zum Schutz der Kundendaten definierten Kontrollen effektiv umgesetzt werden. Dieser
Bericht ersetzt den Prüfbericht „Statement on Auditing Standards Nr. 70 (SAS 70) Type II“.
Die AWS SOC 1-Kontrollziele werden hier erläutert. Im Bericht selbst sind die Kontrollaktivitäten, die alle diese
Ziele unterstützen, sowie die Ergebnisse der Testverfahren der einzelnen Kontrollen des unabhängigen Prüfers
angegeben.
Zielbereich
Sicherheitsorganisation
Mitarbeiterkonten
Zielbeschreibung
Durch Kontrollen wird in angemessener Weise sichergestellt, dass Richtlinien für die
Informationssicherheit in Kraft gesetzt und in der gesamten Organisation vermittelt
wurden.
Durch Kontrollen wird in angemessener Weise sichergestellt, dass Verfahren so
eingerichtet wurden, dass Benutzerkonten von Amazon-Mitarbeitern zeitgerecht
hinzugefügt, geändert und gelöscht sowie regelmä
ßig überprüft werden.
Logische Sicherheit
Durch Kontrollen wird in angemessener Weise sichergestellt, dass Richtlinien und
Mechanismen eingerichtet sind, mit denen unerlaubter Zugriff auf die Daten von interner
und externer Stelle beschränkt wird und dass der Zugriff auf die Daten eines Kunden vom
Zugriff auf die Daten anderer Kunden getrennt ist.
Sicherer Umgang mit
Daten
Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenverarbeitung
zwischen dem Ausgangspunkt des Kunden und dem Speicherort von AWS sicher und
ordnungsgemäßzugeordnet ist.
Physische Sicherheit
und
Schutzvorkehrungen
für die Umgebung
Durch Kontrollen wird in angemessener Weise sichergestellt, dass der physische Zugriff
auf die Rechenzentren auf autorisiertes Personal beschränkt ist und dass Mechanismen
zum Minimieren der Auswirkungen einer Fehlfunktion oder eines physischen Ausfalls
der Computer- und Rechenzentrumsanlagen eingerichtet sind.
Änderungsverwaltung
Durch Kontrollen wird in angemessener Weise sichergestellt, dass Änderungen
(einschließlich bei Notfällen/Abweichungen von der Routine und Konfigurationen) an
den vorhandenen IT-Ressourcen protokolliert, autorisiert, getestet, genehmigt und
dokumentiert werden.
Integrität,
Verfügbarkeit und
Redundanz von Daten
Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenintegrität in
allen Phasen – von der Übermittlung über die Speicherung bis hin zur Verarbeitung –
gewährleistet ist.
Umgang mit Vorfällen
Durch Kontrollen wird in angemessener Weise sichergestellt, dass Systemvorfälle
aufgezeichnet, untersucht und behoben werden.
Seite 19 von 93
Dezember 2015
Bei den SOC 1-Berichten liegt der Schwerpunkt auf Kontrollen einer Serviceorganisation, die bei einer
Überprüfung der Bilanzen eines Unternehmens voraussichtlich relevant sind. Da der Kundenstamm von AWS
ebenso breit gefächert ist wie die Nutzung von AWS-Services, hängt die Anwendbarkeit von Kontrollen von
Kundenbilanzen vom jeweiligen Kunden ab. Deshalb deckt der AWS SOC 1-Bericht bestimmte wichtige
Kontrollen ab, die während einer Bilanzprüfung voraussichtlich erforderlich sind. Zugleich wird eine breite
Palette allgemeiner IT-Kontrollen abgedeckt, um eine Vielzahl von Nutzungs- und Prüfszenarien zu
berücksichtigen. Dies ermöglicht Kunden die Nutzung der AWS-Infrastruktur zum Speichern und Verarbeiten
kritischer Daten einschließlich derjenigen, die für den Bilanzberichtsprozess wesentlich sind. AWS bewertet die
Auswahl dieser Kontrollen regelmäßig neu, um Kundenfeedback und die Nutzung dieses wichtigen
Prüfberichts zu berücksichtigen.
AWS arbeitet fortlaufend am SOC 1-Bericht und wird den Prozess regelmäßiger Prüfungen fortsetzen. Der SOC
1-Bericht umfasst Folgendes:


























AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
Amazon DynamoDB
Amazon Elastic Beanstalk
Amazon ElastiCache
Amazon Elastic Load Balancing (ELB)
Amazon Glacier
Amazon Redshift
Amazon Route 53
Amazon SimpleDB
Amazon Simple Workflow (SWF)
AWS Storage Gateway
Amazon Workspaces
Seite 20 von 93
Dezember 2015
SOC 2
Zusätzlich zum SOC 1-Bericht (Service Organization Controls) veröffentlicht AWS einen SOC-Bericht, Typ II.
Der SOC 2-Bericht ist ähnlich wie der SOC 1-Bericht eine Bescheinigung, für die die Bewertung der
Kontrollfunktionen auf die Kriterien der American Institute of Certified Public Accountants (AICPA) Trust
Services Principles ausgeweitet wird. Diese Grundsätze bestimmen für Serviceanbieter wie AWS maßgebliche
Kontrollfunktionen für die Praxis hinsichtlich Sicherheit, Verfügbarkeit, Integrität der Verarbeitung,
Vertraulichkeit und Datenschutz. Der AWS SOC 2-Bericht ist eine Bewertung der Entwurfs- und
Betriebseffektivität von Kontrollfunktionen, die die Kriterien der Sicherheits- und Verfügbarkeitsgrundsätze in
den Trust Services Principles-Kriterien der AICPA erfüllen. Dieser Bericht bietet mehr Transparenz
hinsichtlich der AWS-Sicherheits- und Verfügbarkeitseinstellungen basierend auf einem vordefinierten
Branchenstandard für bewährte Methoden und unterstreicht ferner den unbedingten Willen von AWS,
Kundendaten zu schützen. Der SOC 2-Bericht deckt die gleichen Services ab wie der SOC 1-Bericht.
Erläuterungen zu den abgedeckten Services finden Sie oben in der SOC 1-Beschreibung.
SOC 3
AWS veröffentlicht einen Bericht Service Organization Controls 3 (SOC 3). Der SOC 3-Bericht ist eine
öffentlich verfügbare Zusammenfassung des AWS SOC 2-Berichts. Der Bericht umfasst die Auffassung des
externen Prüfers hinsichtlich des Einsatzes der Kontrollen (basierend auf den im SOC 2-Bericht
eingeschlossenen AICPA’s Security Trust Principles), die Bestätigung der AWS-Führung bezüglich der
Wirksamkeit der Kontrollen und einen Überblick über die AWS-Infrastruktur und -Services. Der AWS SOC 3Bericht schließt alle AWS-Rechenzentren weltweit ein, deren Services diesen Vorschriften unterliegen. Dieser
Bericht ermöglicht Kunden eine Bestätigung, dass AWS eine externe Prüfbescheinigung erhalten hat, ohne den
Prozess der Beantragung eines SOC 2-Berichts durchlaufen zu müssen. Der SOC 3-Bericht deckt die gleichen
Services ab wie der SOC 1-Bericht. Erläuterungen zu den abgedeckten Services finden Sie oben in der SOC 1Beschreibung. Den AWS SOC 3-Bericht können Sie hier aufrufen:
Wichtige Compliance-Fragen und AWS
In diesem Abschnitt werden allgemeine AWS-spezifische Fragen zur Compliance beim Cloud Computing
behandelt. Diese allgemeinen Compliance-Fragen sind ggf. bei der Überprüfung des Betriebs in einer Cloud
Computing-Umgebung von Interesse und können die Anstrengungen von AWS-Kunden beim
Kontrollmanagement unterstützen.
Nr. Fragen zum CloudComputing
Informationen zu AWS
1
Für den in AWS bereitgestellten Teil kontrolliert AWS die physischen
Komponenten der jeweiligen Technologie. Der Kunde übernimmt die
Zuständigkeit und Kontrolle für alle anderen Komponenten,
einschließlich Verbindungspunkte und Übertragungen. Um Kunden
besser zu veranschaulichen, welche Kontrollen vorhanden sind und wie
effektiv diese sind, veröffentlicht AWS einen SOC 1 Type II-Bericht zu den
für EC2, S3 und VPC definierten Kontrollen sowie detaillierte Angaben zu
den Kontrollen der physischen Sicherheit und Umgebung. Diese
Kontrollen sind mit einem hohen Grad an Spezifität definiert, der die
Anforderungen der meisten Kunden erfüllen sollte. AWS-Kunden, die
eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können
ein Exemplar des SOC 1 Type II-Berichts anfordern.
Zuständigkeit für
Kontrollen. Wer ist für
welche Kontrollen in der
Infrastruktur zuständig, die
in der Cloud bereitgestellt
ist?
Seite 21 von 93
Dezember 2015
2
Überprüfung der IT. Wie
kann eine Überprüfung des
Cloud-Anbieters erfolgen?
Die Überprüfung der meisten Ebenen und Kontrollen oberhalb der
physischen Kontrollen liegt weiter in der Zuständigkeit des Kunden. Die
Definition der von AWS definierten logischen und physischen Kontrollen
ist im SOC 1 Type II-Bericht dokumentiert. Dieser Bericht steht Auditund Compliance-Teams zur Prüfung zur Verfügung. Die AWSZertifizierung nach ISO 27001 und andere Zertifizierungen können
ebenfalls von Prüfern geprüft werden.
3
Compliance mit SarbanesOxley (SOX). Wie wird
SOX-Compliance erreicht,
wenn SOX unterliegende
Systeme in der Umgebung
des Cloud-Anbieters
bereitgestellt werden?
Wenn ein Kunde Finanzdaten in der AWS-Cloud verarbeitet, stellen
Prüfer des Kunden ggf. fest, dass einige AWS-Systeme den SarbanesOxley (SOX)-Vorschriften unterliegen. Die Prüfer des Kunden müssen
selbständig bestimmen, ob SOX-Vorschriften gelten. Da die meisten
logischen Zugriffskontrollen vom Kunden verwaltet werden, ist der Kunde
am ehesten in der Lage zu bestimmen, ob seine Kontrollmaßnahmen
geltende Normen erfüllen. Wenn die SOX-Prüfer spezifische
Informationen zu den physischen Kontrollen von AWS wünschen, können
sie Bezug auf den SOC 1 Type II-Bericht von AWS nehmen, in dem die
Kontrollen von AWS detailliert beschrieben werden.
4
Compliance mit HIPAA.
Können bei einer
Bereitstellung in der
Umgebung des CloudAnbieters HIPAA-Vorgaben
erfüllt werden?
HIPAA-Vorschriften gelten für den AWS-Kunden und unterliegen seiner
Zuständigkeit. Die AWS-Plattform lässt die Bereitstellung von Lösungen
zu, die branchenspezifische Zertifizierungsvorgaben wie HIPAA erfüllen.
Kunden können AWS-Services nutzen, um für einen Sicherheitsgrad zu
sorgen, der die Vorschriften zum Schutz elektronischer Patientenakten
auf jeden Fall erfüllt. Kunden haben in AWS beispielsweise Anwendungen
für das Gesundheitswesen erstellt, die den Sicherheits- und
Datenschutzregeln von HIPAA entsprechen. AWS bietet auf seiner
Website weitere Informationen zur Compliance mit HIPAA, so z. B. ein
Whitepaper zu diesem Thema.
5
Compliance mit GLBA.
Können bei einer
Bereitstellung in der
Umgebung des CloudAnbieters GLBAZertifizierungsvorgaben
erfüllt werden?
Die meisten GLBA-Vorgaben unterliegen der Kontrolle des AWS-Kunden.
AWS bietet Kunden Möglichkeiten zum Schützen von Daten, Verwalten
von Berechtigungen und Erstellen GLBA-konformer Anwendungen in der
AWS-Infrastruktur. Wenn Kunden sich vergewissern möchten, ob
physische Sicherheitskontrollen effektiv arbeiten, können sie den
Anforderungen entsprechend Bezug auf den AWS SOC 1 Type II-Bericht
nehmen.
6
Compliance mit USBundesvorschriften. Kann
eine US-Bundesbehörde bei
einer Bereitstellung in der
Umgebung des CloudAnbieters Sicherheits- und
Datenschutzvorschriften
erfüllen?
US-Bundesbehörden können eine Reihe von Standards einhalten wie z. B.
den Federal Information Security Management Act (FISMA) von 2002,
Federal Risk and Authorization Management Program (FedRAMPsm), den
Federal Information Processing Standard (FIPS) Publication 140-2 und
die International Traffic in Arms Regulations (ITAR). Compliance
bezüglich anderer Gesetze und Statuten kann auch in Abhängigkeit von
den Anforderungen sichergestellt sein, die in den anzuwendenden
Rechtsvorschriften festgelegt sind.
Seite 22 von 93
Dezember 2015
7
Speicherort der Daten.
Wo sind Kundendaten
gespeichert?
AWS-Kunden geben an, in welcher Region sich ihre Daten und Server
physisch befinden sollen. Die Datenreplikation für S3-Datenobjekte
erfolgt innerhalb des regionalen Clusters, in dem die Daten gespeichert
sind, und die Daten werden nicht in andere Rechenzentrums-Cluster in
anderen Regionen repliziert. AWS-Kunden geben an, in welcher Region
sich ihre Daten und Server physisch befinden sollen. AWS verschiebt
Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden
aus den ausgewählten Regionen, es sei denn, dies wäre erforderlich, um
Gesetze oder Vorschriften einzuhalten. Derzeit gibt es elf Regionen: USA
Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien),
AWS GovCloud (USA) (Oregon), EU (Frankfurt), EU (Irland), AsienPazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), China
(Peking) und Südamerika (São Paulo).
8
E-Discovery. Erfüllt der
Cloud-Anbieter die
Anforderungen des Kunden
hinsichtlich der EDiscovery-Verfahren und Vorgaben?
AWS stellt die Infrastruktur. Die Kunden verwalten alle anderen
Komponenten einschließlich Betriebssystem, Netzwerkkonfiguration und
installierte Anwendungen. Es liegt für den Fall eines Rechtsverfahrens in
der Zuständigkeit des Kunden, elektronische Dokumente, die in AWS
gespeichert oder verarbeitet werden, zu identifizieren, zu sammeln, zu
verarbeiten, zu analysieren und vorzulegen. Auf Anfrage arbeitet AWS ggf.
mit Kunden zusammen, die bei Rechtsverfahren die Unterstützung von
AWS benötigen.
9
Rechenzentrumsbesuche.
Lässt der Cloud-Anbieter
Besuche von Rechenzentren
zu?
Nein. Aufgrund der Tatsache, dass in unseren Rechenzentren viele
Kunden gehostet werden, lässt AWS keine Rechenzentrumsbesuche durch
Kunden zu, da damit das Risiko besteht, dass eine dritte Partei physischen
Zugriff auf die Daten vieler Kunden hat. Zur Erfüllung dieser
Kundenanforderung überprüft ein unabhängiger und kompetenter Prüfer
das Vorhandensein und den Einsatz von Kontrollen als Teil unseres SOC 1
Type II-Berichts. Durch diese weitreichend akzeptierte Bescheinigung
durch einen Dritten erhalten Kunden eine unabhängige Sicht auf die
Wirksamkeit der vorhandenen Kontrollen. AWS-Kunden, die eine
Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein
Exemplar des SOC 1 Type II-Berichts anfordern. Unabhängige Prüfungen
der physischen Sicherheit von Rechenzentren gehören zum ISO 27001Audit, der PCI-Bewertung, dem ITAR-Audit und den Testprogrammen
der FedRAMPsm.
10
Zugriff durch Dritte. Dürfen
Dritte auf die
Rechenzentren des CloudAnbieters zugreifen?
AWS kontrolliert streng den Zugriff auf Rechenzentren, selbst bei
internen Mitarbeitern. Dritte erhalten nur Zutritt zu AWS-Rechenzentren,
wenn dies explizit durch den zuständigen Manager des jeweiligen AWSRechenzentrums gemäßder AWS-Zutrittsrichtlinie genehmigt ist. Im SOC
1 Type II-Bericht finden Sie die für den physischen Zutritt und die
Zutrittsgenehmigung für Rechenzentren geltenden Kontrollen sowie
weitere Kontrollen.
Seite 23 von 93
Dezember 2015
11
Privilegierte Aktionen.
Werden privilegierte
Aktionen überwacht und
kontrolliert?
Vorhandene Kontrollen begrenzen den Zugriff auf Systeme und Daten
und sorgen dafür, dass der Zugriff auf Systeme und Daten eingeschränkt
ist und überwacht wird. Darüber hinaus sind Kundendaten und ServerInstances standardmäßig logisch von anderen Kunden isoliert. Die
Zutrittskontrolle für berechtigte Benutzer wird von einem unabhängigen
Prüfer im Rahmen der SOC 1-, ISO 27001-, PCI-, ITAR- und FedRAMPsmAudits bei AWS überprüft.
12
Zugriff durch
Unternehmensangehörige.
Wie geht der CloudAnbieter mit dem Risiko
eines unangemessenen
Zugriffs durch
Unternehmensangehörige
auf Kundendaten und anwendungen um?
AWS hat bestimmte SOC 1-Kontrollen eingerichtet, die sich auf das Risiko
eines unangemessenen Zugriffs durch Unternehmensangehörige
beziehen, und die öffentlichen Zertifizierungs- und ComplianceInitiativen, die in diesem Dokument behandelt werden, befassen sich mit
dem Zugriff durch Unternehmensangehörige. Bei sämtlichen
Zertifizierungen und Drittanbieterbescheinigungen werden präventive
und nachträglich aufdeckende Kontrollen des logischen Zugriffs
überprüft. Darüber hinaus konzentrieren sich regelmäßige
Risikobewertungen darauf, wie der Zugriff durch
Unternehmensangehörige kontrolliert und überwacht wird.
13
Mehrere Mandanten. Ist
die Trennung der Daten
verschiedener Kunden
sicher umgesetzt?
Die AWS-Umgebung ist eine virtualisierte Umgebung für mehrere
Mandanten. AWS hat Sicherheitsverwaltungsprozesse, PCI-Kontrollen
und andere Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten
der einzelnen Kunden voneinander getrennt werden. AWS-Systeme sind
so konzipiert, dass Kunden daran gehindert werden, auf physische Hosts
oder Instances zuzugreifen, die ihnen nicht zugewiesen sind, indem eine
Filterung durch die Virtualisierungssoftware erfolgt. Diese Architektur
wurde von einem unabhängigen PCI Qualified Security Assessor (QSA)
bestätigt und hält alle Anforderungen der im April 2015 veröffentlichten
PCI DSS Version 3.1 ein.
Beachten Sie, dass AWS auch Einzelmandantenoptionen bietet. Dedicated
Instances sind Amazon EC2-Instances, die innerhalb Ihrer Amazon
Virtual Private Cloud (Amazon VPC) gestartet werden und nur zur
Ausführung der Hardware eines einzigen Kunden dienen. Mithilfe von
Dedicated Instances kommen Sie in den vollen Genuss der Vorteile der
Amazon VPC und AWS-Cloud, während Ihre Amazon EC2-Instances auf
Hardware-Ebene isoliert werden.
14
Hypervisor-Schwachstellen.
Hat der Cloud-Anbieter
bekannte HypervisorSchwachstellen beseitigt?
Amazon EC2 nutzt derzeit eine stark angepasste Version des XenHypervisors. Der Hypervisor wird regelmäßig von internen und externen
Expertenteams auf neue und vorhandene Schwachstellen und
Angriffsmöglichkeiten geprüft und eignet sich gut für die Aufrechterhaltung
einer strikten Trennung zwischen virtuellen Gastmaschinen. Im Verlauf
von Begutachtungen und Überprüfungen wird der Xen-Hypervisor von
AWS regelmäßig von unabhängigen Prüfern beurteilt. Im AWSWhitepaper zur Sicherheit finden Sie weitere Informationen zum XenHypervisor und zur strikten Trennung von Instances.
Seite 24 von 93
Dezember 2015
15
Umgang mit
Schwachstellen. Werden
Patches ordnungsgemäßin
Systeme eingespielt?
AWS ist zuständig für das Einspielen von Patches in Systeme, die für die
Bereitstellung von Services für die Kunden genutzt werden, z. B.
Hypervisor und Netzwerkdienste. Dies erfolgt gemäßAWS-Richtlinien
sowie ISO 27001-, NIST- und PCI-Vorgaben. Kunden obliegt die Kontrolle
ihrer eigenen Gastbetriebssysteme, Software und Anwendungen. Sie sind
demzufolge für das Einspielen von Patches in ihre eigenen Systeme selbst
verantwortlich.
16
Verschlüsselung.
Unterstützen die
bereitgestellten Services
eine Verschlüsselung?
Ja. AWS erlaubt Kunden die Nutzung ihrer eigenen
Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich
S3, EBS, SimpleDB und EC2. IPsec-Tunnel zu VPC sind ebenfalls
verschlüsselt. Amazon S3 bietet Kunden als Option auch die serverseitige
Verschlüsselung an. Kunden können auch Verschlüsselungsmethoden
anderer Anbieter nutzen. Weitere Informationen finden Sie im AWSWhitepaper zur Sicherheit.
17
Rechte an Daten. Welche
Rechte werden dem CloudAnbieter an Kundendaten
eingeräumt?
Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden.
AWS geht beim Schutz der Kundendaten auf Nummer Sicher und achtet
sorgfältig darauf, welche Vollstreckungsanforderungen zu erfüllen sind.
AWS zögert nicht, Verfügungen von Strafverfolgungsbehörden
anzufechten, wenn das Unternehmen der Meinung ist, die Verfügungen
seien ohne solide Grundlage.
18
Datenisolierung. Trennt der
Cloud-Anbieter
Kundendaten auf
angemessene Weise?
Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es
strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten der
strikten Trennung von Kundendaten. Amazon S3 bietet erweiterte
Datenzugriffskontrollen. Weitere Informationen zur Sicherheit
bestimmter Datenservices finden Sie im AWS-Whitepaper zur Sicherheit.
19
Zusammengesetzte
Services. Bietet der CloudAnbieter seinen Service im
Zusammenspiel mit CloudServices anderer Anbieter
an?
AWS arbeitet nicht mit anderen Cloud-Anbietern zusammen, um Kunden
AWS-Services zu bieten.
20
Physische und
Umgebungskontrollen.
Werden diese Kontrollen
vom angegebenen CloudAnbieter übernommen?
Ja. Siehe hierzu den entsprechenden Abschnitt im SOC 1 Type II-Bericht.
Zudem sind aufgrund weiterer von AWS unterstützter Zertifikate, wie ISO
27001 und FedRAMPsm, bewährte Methoden für physische und
Umgebungskontrollen erforderlich.
21
Schutz auf Client-Seite.
Erlaubt der Cloud-Anbieter
Kunden die Absicherung
und Verwaltung des
Zugriffs von Clients wie PCs
und mobilen Geräten?
Ja. AWS erlaubt Kunden die Verwaltung von Client- und mobilen
Anwendungen entsprechend ihren Anforderungen.
22
Serversicherheit. Erlaubt
der Cloud-Anbieter Kunden
die Absicherung ihrer
virtuellen Server?
Ja. AWS erlaubt Kunden die Implementierung ihrer eigenen
Sicherheitsarchitektur. Im AWS-Whitepaper zur Sicherheit finden Sie
weitere Details zur Server- und Netzwerksicherheit.
Seite 25 von 93
Dezember 2015
23
Identitäts- und
Zugriffsverwaltung. Bietet
der Service Funktionen für
die Identitäts- und
Zugriffsverwaltung?
AWS bietet verschiedene Funktionen für die Identitäts- und
Zugriffsverwaltung, die Kunden das Verwalten von Benutzeridentitäten,
das Zuweisen von Anmeldeinformationen, das Organisieren von
Benutzern in Gruppen und das Verwalten von Benutzerberechtigungen
zentral ermöglichen. Auf der AWS-Website finden Sie weitere
Informationen.
24
Geplante Ausfallzeiten für
Wartungen. Wird der
Kunde benachrichtigt, wenn
Systeme zu
Wartungszwecken
heruntergefahren werden?
AWS muss Systeme für regelmäßige Wartungs- und System-PatchAufgaben nicht offline schalten. Die internen Wartungs- und SystemPatching-Vorgänge bei AWS haben in der Regel keine Auswirkungen auf
Kunden. Die Wartung der Instances selbst ist Aufgabe des Kunden.
25
Skalierbarkeit. Erlaubt der
Anbieter Kunden eine
Skalierung, die über den
Ursprungsvertrag
hinausgeht?
Die AWS-Cloud zeichnet sich durch Verteilung, hohe Sicherheit und
Ausfallsicherheit aus und bietet Kunden ein enormes Skalierungspotenzial.
Kunden können ihre Bereitstellung vergrößern oder verkleinern und
zahlen stets nur, was sie nutzen.
26
Verfügbarkeit von Services.
Verpflichtet sich der
Anbieter zu einem hohen
Grad an Verfügbarkeit?
In seinen Service Level Agreements (SLA) verpflichtet sich AWS zu hohen
Verfügbarkeitsgraden. Für Amazon EC2 verpflichtet sich AWS
beispielsweise zu einer Betriebszeit von 99,95 % im Jahr der
Serviceleistung. Bei Amazon S3 beträgt die mindestens zugesagte
Betriebszeit 99.9 %. Sollten diese Verfügbarkeitszeiten nicht eingehalten
werden, erfolgen Servicegutschriften.
27
DDoS-Angriffe (Distributed
Denial Of Service). Welche
Schutzvorkehrungen bietet
der Anbieter gegen DDoSAngriffe?
Das AWS-Netzwerk bietet umfassenden Schutz vor üblichen NetzwerkSicherheitsproblemen. Darüber hinaus kann der Kunde zusätzliche
Sicherheitsmaßnahmen implementieren. Im AWS-Whitepaper zur
Sicherheit finden Sie weitere Informationen zu diesem Thema und auch
eine Erläuterung von DDoS-Angriffen.
28
Portierbarkeit von Daten.
Können die bei einem
Service-Anbieter
gespeicherten Daten auf
Kundenwunsch exportiert
werden?
AWS ermöglicht Kunden das Verschieben von Daten zwischen ihrem
eigenen und AWS-Speicher den Anforderungen entsprechend. Der AWS
Import/Export-Service für S3 beschleunigt das Verschieben großer
Datenmengen in und aus AWS mithilfe tragbarer Speichergeräte für den
Transport.
29
Aufrechterhaltung des
Geschäftsbetriebs durch
den Service-Anbieter. Bietet
der Service-Anbieter ein
Programm zur
Aufrechterhaltung des
Geschäftsbetriebs?
AWS bietet ein Programm zur Aufrechterhaltung des Geschäftsbetriebs.
Ausführliche Informationen finden Sie im AWS-Whitepaper zur
Sicherheit.
30
Betriebskontinuität auf
Kundenseite. Erlaubt der
Service-Anbieter Kunden
die Implementierung eines
Plans zur
Betriebskontinuität?
AWS bietet Kunden die Möglichkeit der Implementierung eines
zuverlässigen Plans zur Betriebskontinuität, einschließlich häufiger
Sicherungen von Server-Instances, Replikation zur Datenredundanz und
sich über mehrere Regionen/Availability Zones erstreckender
Bereitstellungsarchitekturen.
Seite 26 von 93
Dezember 2015
31
Lebensdauer von Daten.
Bestimmt der Service die
Lebensdauer von Daten?
Amazon S3 bietet eine Speicherinfrastruktur mit hoher Beständigkeit.
Objekte werden auf mehreren Gerä
ten an mehreren Standorten einer
Amazon S3-Region redundant gespeichert. Nach der Speicherung
bewahrt Amazon S3 die Beständigkeit von Objekten durch schnelle
Erkennung und Behebung etwaiger Redundanzverluste. Amazon S3
überprüft außerdem regelmäßig die Integrität der gespeicherten Daten
anhand von Prüfsummen. Wenn Datenbeschädigungen festgestellt
werden, erfolgt eine Reparatur mittels redundanter Daten. In S3
gespeicherte Daten sind auf eine Beständigkeit von 99,999999999 % und
eine Verfügbarkeit von Objekten von 99,99 % über einen Zeitraum von
einem Jahr ausgelegt.
32
Sicherungskopien.
Ermöglicht der Service
Sicherungen auf Band?
AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über
ihren eigenen Service-Anbieter für Bandsicherungen. AWS bietet
allerdings keinen Bandsicherungsservice an. Der Amazon S3-Service ist
mit einer Wahrscheinlichkeit von Datenverlusten auf nahezu 0 %
ausgelegt. Die Beständigkeit von Datenobjektkopien an mehreren
Standorten wird mittels redundanter Datenspeicherung erreicht.
Informationen zur Beständigkeit und Redundanz von Daten finden Sie
auf der AWS-Website.
33
Preiserhöhungen. Darf der
Service-Anbieter seine
Preise unangemeldet
erhöhen?
AWS zeichnet sich durch häufige Preissenkungen aus, da die Kosten zum
Bereitstellen dieser Services mit der Zeit sinken. In den vergangen Jahren
hat AWS seine Preise stets reduziert.
34
Nachhaltigkeit. Bietet der
Service-Anbieter ein
langfristiges
Nachhaltigkeitspotenzial?
AWS ist ein führender Cloud-Anbieter und ein langfristiges
Strategieprojekt von Amazon.com. AWS hat ein sehr hohes langfristiges
Nachhaltigkeitspotenzial.
Kontakt mit AWS
Kunden können die von unseren externen Prüfern erstellten Berichte und ausgestellten Zertifizierungen sowie
weitere Informationen über AWS Compliance anfordern, indem sie sich an AWS Sales and Business
Development wenden. Der Vertreter leitet Kunden je nach Art ihrer Anfrage an das entsprechende Team
weiter. Weitere Informationen zur AWS-Compliance finden Sie auf der Website AWS-Compliance. Sie können
Fragen auch direkt an [email protected] senden.
Seite 27 von 93
Dezember 2015
Anhang A: CSA Consensus Assessments Initiative – Fragebogen
v3.0.1
Die Cloud Security Alliance (CSA) ist eine „gemeinnützige Organisation mit dem Ziel der Förderung der
Befolgung bewährter Methoden zum Gewährleisten von Sicherheit beim Cloud Computing und zum
Informieren über die Einsatzmöglichkeiten von Cloud Computing zum Absichern aller anderen Formen der
Datenverarbeitung“. [Referenz: https://cloudsecurityalliance.org/about/] eine große Vielzahl von ITSicherheitsexperten, Unternehmen und Verbänden beteiligen sich an diesem Projekt, damit die Ziele der
Organisation erreicht werden.
Der Fragenkatalog der CSA Consensus Assessments Initiative umfasst verschiedene Fragen, die Cloud-Nutzer
und/oder -Begutachter ggf. einem Cloud-Anbieter stellen. Dazu zählen eine Reihe von Fragen zu Sicherheit,
Kontrolle und Prozessen, die anschließend für eine breite Palette von Zwecken genutzt werden können, z. B.
Bei der Auswahl des Cloud-Anbieters und der Sicherheitsbewertung. AWS hat diesen Fragenkatalog wie folgt
beantwortet:
Kontrollgruppe
Anwendungs- und
Schnittstellensicherheit
Anwendungssicherheit
Anwendungs- und
Anforderungen für Zugriff
durch Kunden
Seite 28 von 93
CID
Consensus Assessments-Fragen
Antwort von AWS
AIS01.1
Befolgen Sie branchenübliche
Standards (BSIMM-Benchmarks [Build
Security in Maturity Model], Open
Group ACS Trusted Technology
Provider Framework, NIST usw.) zum
Integrieren von Sicherheit in Ihren
System-/SoftwareEntwicklungslebenszyklus?
Der Systementwicklungsprozess von AWS orientiert
sich an branchenweit bewährten Methoden.
Darunter fallen formale Design-Überprüfungen
durch das Sicherheitsteam von AWS, die
Modellierung von Bedrohungen und die Ausführung
von Risikoanalysen. Weitere Details finden Sie im
„AWS Cloud-Sicherheits-Whitepaper“.
AIS01.2
Verwenden Sie vor der Freigabe für die
Produktion ein automatisiertes Tool zur
Quellcodeanalyse zum Erkennen von
Sicherheitslücken im Code?
AIS01.3
Führen Sie vor der Freigabe für die
Produktion eine manuelle
Quellcodeanalyse zum Erkennen von
Sicherheitslücken im Code durch?
AIS01.4
Vergewissern Sie sich, dass alle Ihre
Softwarelieferanten branchenübliche
Standards hinsichtlich Sicherheit bei
der System-/Software-Entwicklung
befolgen?
AIS01.5
(Nur SaaS) Überprüfen Sie Ihre
Anwendungen auf Sicherheitslücken
und behandeln Sie alle Probleme vor
der Freigabe für die Produktion?
AIS02.1
Werden alle identifizierten Sicherheits-,
vertraglichen und gesetzlichen
Vorgaben für den Kundenzugriff
vertraglich geregelt, bevor Kunden
Zugriff auf Daten, Ressourcen und
Informationssysteme gewährt wird?
AIS02.2
Sind alle Anforderungen und
Vertrauensstufen für den Kundenzugriff
definiert und dokumentiert?
AWS verfügt über interne Verfahren zur Verwaltung
der Neuentwicklung von Ressourcen. Weitere
Details finden Sie in der Norm ISO 27001 in Anhang
A, Abschnitt 14. AWS wurde von einem
unabhängigen Prüfer geprüft und hat als Nachweis
der Befolgung der Norm ISO 27001 eine
entsprechende Zertifizierung erhalten.
AWS-Kunden sind dafür verantwortlich, dass ihre
Nutzung von AWS in Übereinstimmung mit
geltenden Gesetzen und Vorschriften erfolgt. AWS
vermittelt seinen Kunden die Sicherheits- und
Kontrollumgebung anhand von branchenüblichen
Zertifizierungen und Bestätigungen durch
unabhängige Dritte, durch Whitepapers (erhältlich
unter http://aws.amazon.com/compliance) sowie
durch die direkte Bereitstellung von
Zertifizierungen, Berichten und anderen geeigneten
Dokumenten.
Kontrollgruppe
Anwendungs- und
Datenintegrität
Anwendungs- und
Datensicherheit und integrität
CID
AIS03.1
AIS04.1
Dezember 2015
Antwort von AWS
Sind Routinen für die Integrität der
Ein- und Ausgabe von Daten
(d. h. Abstimmungs- und
Bearbeitungsüberprüfungen) für
Anwendungsschnittstellen und
Datenbanken implementiert, um
manuelle oder systemgesteuerte
Verarbeitungsfehler oder
Datenbeschädigungen zu verhindern?
Die in AWS-SOC-Berichten beschriebenen
Datenintegritätskontrollen sorgen in allen Phasen
der Datenverwendung (Übertragung, Speicherung
und Verarbeitung) für Datenintegrität.
Wurde Ihre
Datensicherheitsarchitektur unter
Verwendung eines Industriestandards
(z. B. CDSA, MULITSAFE, Trusted
Cloud Architectural Standard,
FedRAMP, CAESARS) entworfen?
Die Datensicherheitsarchitektur von AWS wurde
unter Berücksichtigung der in der Branche
führenden Praktiken entwickelt.
Darüber hinaus finden Sie in der Norm ISO 27001 in
Anhang A, Abschnitt 14 weitere Informationen. AWS
wurde von einem unabhängigen Prüfer geprüft und
hat als Nachweis der Befolgung der Norm ISO 27001
eine entsprechende Zertifizierung erhalten.
Details zu diesen von AWS verwendeten Praktiken
finden Sie in AWS-Zertifikaten, Berichten und
Whitepapers unter
http://aws.amazon.com/compliance.
Prüfung von Sicherheit
und Compliance
Prüfungsplanung
AAC01.1
Haben Sie Prüfungsberichte in einem
strukturierten, in der Branche üblichen
Format (z. B. CloudAudit/A6 URI
Ontology, CloudTrust, SCAP/CYBEX,
GRC XML, ISACA's Cloud Computing
Management Audit/Assurance Program
usw.) erstellt?
AWS hat bestimmte Branchenzertifizierungen und
unabhängige Drittanbieterbescheinigungen erhalten
und stellt AWS-Kunden bestimmte Zertifizierungen,
Berichte und andere relevante Dokumente direkt zur
Verfügung.
und Compliance
Unabhängige Prüfungen
AAC02.1
Erlauben Sie Mandanten Einsicht in
Ihre SOC2/ISO 27001-Berichte oder in
ähnliche Prüfberichte und
Zertifizierungen von Drittanbietern?
AAC02.2
Führen Sie regelmäßige
Netzwerkpenetrationstests Ihrer CloudService-Infrastruktur gemäß
branchenüblicher bewährter Methoden
und Anleitungen durch?
AWS stellt Kunden mit einer
Vertraulichkeitsvereinbarung Bescheinigungen von
Drittanbietern, Zertifizierungen, Service
Organization Controls (SOC)-Berichte und andere
relevante Compliance-Berichte direkt zur
Verfügung.
Seite 29 von 93
AAC02.3
Führen Sie regelmäßige
Anwendungspenetrationstests Ihrer
Cloud-Service-Infrastruktur gemäß
AAC02.4
Führen Sie regelmäßige interne
Überprüfungen gemäß
AAC02.5
Führen Sie regelmäßige externe
Überprüfungen gemäß
AAC02.6
Werden Mandanten die Ergebnisse von
Penetrationstests auf Antrag vorgelegt?
AAC02.7
Werden die Ergebnisse interner und
externer Überprüfungen Mandanten
auf Antrag vorgelegt?
Die AWS ISO 27001-Zertifizierung kann hier
heruntergeladen werden:
http://d0.awsstatic.com/certifications/iso_27001_g
lobal_certification.pdf.
Der AWS SOC 3-Bericht kann heruntergeladen
werden unter
https://d0.awsstatic.com/whitepapers/compliance/
soc3_amazon_web_services.pdf.
In regelmäßigen Abständen überprüft das
Sicherheitsteam von AWS alle mit dem Internet
verbundenen IP-Adressen von Service-Endpunkten
auf Schwachstellen (Instances von Kunden werden
nicht untersucht). Das AWS-Sicherheitsteam
benachrichtigt die betroffenen Parteien, damit diese
erkannte Schwachstellen beheben können.
Zusätzlich werden regelmäßig unabhängige externe
Sicherheitsfirmen mit einer
Schwachstellenüberprüfung beauftragt. Ergebnisse
und Empfehlungen, die aus diesen Bewertungen
resultieren, werden kategorisiert und an die AWSGeschäftsführung weitergeleitet.
Kontrollgruppe
und Compliance
Regulatorische
Anforderungen an das
Informationssystem
CID
AAC02.8
Verfügen Sie über ein internes
Überprüfungsprogramm, das eine
funktionsübergreifende Prüfung der
Beurteilungen ermöglicht?
AAC03.1
Haben Sie die Möglichkeit,
Kundendaten dergestalt logisch so zu
segmentieren oder zu verschlüsseln,
dass Daten nur für einen einzelnen
Mandaten generiert werden können,
ohne unbeabsichtigterweise auf Daten
eines anderen Mandanten zuzugreifen?
AAC03.2
Können Sie die Daten eines bestimmten
Kunden nach einem Systemausfall oder
nach Datenverlust wiederherstellen?
Dezember 2015
Antwort von AWS
Zusätzlich erfolgen regelmäßig interne und externe
Prüfungen und Risikobewertungen für die AWSKontrollumgebung. AWS beauftragt externe
Zertifizierungsgremien und unabhängige Prüfer mit
dem Prüfen und Testen der gesamten AWSKontrollumgebung.
Für alle von AWS im Auftrag von Kunden
gespeicherten Daten gibt es strenge Sicherheits- und
Kontrollfunktionen zum Gewährleisten der strikten
Trennung von Kundendaten. Kontrolle und Besitz
der eigenen Daten verbleiben bei den Kunden,
weshalb diese für die etwaige Verschlüsselung ihrer
Daten zuständig sind. AWS erlaubt Kunden die
Nutzung ihrer eigenen Verschlüsselungsmethoden
für nahezu sämtliche Services, einschließlich S3,
EBS, SimpleDB und EC2. IPsec-Tunnel zu VPC sind
ebenfalls verschlüsselt. Darüber hinaus können
Kunden AWS Key Management Systems (KMS)
nutzen, um Chiffrierschlüssel zu erstellen und zu
kontrollieren (siehe
https://aws.amazon.com/kms/). Weitere Details
finden Sie im „AWS Cloud-Sicherheits-Whitepaper“
unter http://aws.amazon.com/security
AWS erlaubt Kunden das Anlegen eigener
Sicherungen auf Band über ihren eigenen ServiceAnbieter für Bandsicherungen. AWS bietet
allerdings keinen Bandsicherungsservice an. Die
Services Amazon S3 und Glacier sind so ausgelegt,
dass die Wahrscheinlichkeit von Datenverlusten bei
nahezu 0 Prozent liegt. Die Beständigkeit von
Datenobjekten wird mittels redundanter
Datenspeicherung erreicht, was der Speicherung an
mehreren Datenstandorten entspricht.
Informationen zur Beständigkeit und Redundanz
von Daten finden Sie auf der AWS-Website.
Betriebskontinuitätsmanagement und
betriebliche
Seite 30 von 93
AAC03.3
Können Sie die Speicherung von
Kundendaten auf bestimmte Länder
oder geografische Standorte
beschränken?
AWS-Kunden können angeben, in welcher Region
sich ihre Daten physisch befinden sollen. AWS
verschiebt Daten von Kunden nicht ohne vorherige
Benachrichtigung des Kunden aus den ausgewählten
Regionen, es sei denn, dies wä
re erforderlich, um
Gesetze oder Vorschriften einzuhalten. Derzeit gibt
es elf Regionen: USA Ost (Nord-Virginia), USA West
(Oregon), USA West (Nordkalifornien), AWS
GovCloud (USA) (Oregon), EU (Irland), EU
(Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik
(Tokio), Asien-Pazifik (Sydney), China (Peking) und
Südamerika (São Paulo).
AAC03.4
Verfügen Sie über ein Programm, das
Änderungen der regulatorischen
Anforderungen in der relevanten
Rechtsprechung überwacht, Ihr
Sicherheitsprogramm an Änderungen
gesetzlicher Bestimmungen anpasst
und die Compliance mit den relevanten
regulatorischen Anforderungen
sicherstellt?
AWS überwacht relevante gesetzliche, vertragliche
und regulatorische Anforderungen.
Bieten Sie Mandanten geografisch
ausfallsichere Hosting-Optionen?
Rechenzentren sind in Clustern in verschiedenen
Regionen weltweit errichtet. AWS bietet den Kunden
ein Höchstmaßan Flexibilität. Es stehen ihnen
BCR01.1
Weitere Details finden Sie in Anhang 18 der Norm
ISO 27001. AWS wurde von einem unabhä
ngigen
Prüfer geprüft und hat als Nachweis der Befolgung
der Norm ISO 27001 eine entsprechende
Zertifizierung erhalten.
Kontrollgruppe
Systemstabilität
Betriebskontinuitätsplanung
CID
BCR01.2
Bieten Sie Mandanten mit
Infrastruktur-Service eine FailoverMöglichkeit zu anderen Anbietern?
Dezember 2015
Antwort von AWS
mehrere geografische Regionen und mehrere
Availability Zones innerhalb jeder dieser Regionen
zur Verfügung, um Instances anzulegen und Daten
zu speichern. Kunden sollten ihre AWS-Nutzung so
gestalten, dass mehrere Regionen und Availability
Zones genutzt werden.
Weitere Details finden Sie im „AWS CloudSicherheits-Whitepaper“ unter
http://aws.amazon.com/security.
Betriebskontinuitätsman
agement und betriebliche
Systemstabilität
Betriebskontinuitätstests
BCR02.1
Werden Betriebskontinuitätspläne in
geplanten Abständen oder bei
wesentlichen Organisations- oder
Umgebungsänderungen getestet, um
ihre Effektivität laufend
sicherzustellen?
Die AWS-Richtlinien und -Pläne zur
Betriebskontinuität wurden in Übereinstimmung
mit ISO 27001-Normen entwickelt und getestet.
AWS-Kunden geben an, in welcher Region sich ihre
Daten und Server physisch befinden sollen. AWS
Regionen, es sei denn, dies wä
re erforderlich, um
Gesetze oder Vorschriften einzuhalten. Weitere
Details finden Sie im den SOC-Berichten von AWS.
Kunden können außerdem ihren Netzwerkpfad zu
AWS-Anlagen auswählen, so z. B. auch Pfade über
dedizierte, private Netzwerke, in denen der Kunden
das Routing des Datenverkehrs steuert.
Weitere Details zu AWS und Betriebskontinuität
finden Sie in der Norm ISO 27001 in Anhang A,
Abschnitt 17.
Systemstabilität
Stromversorgung/Telekomm
unikation
BCR03.1
Stellen Sie Mandanten Dokumentation
zu den Transportrouten ihrer Daten
zwischen Ihren Systemen zur
Verfügung?
BCR03.2
Können Mandanten bestimmen, wie
ihre Daten transportiert werden und
durch welche juristischen
Zuständigkeitsbereiche?
Betriebskontinuitätsmanage
ment und betriebliche
Systemstabilität
Dokumentation
BCR04.1
Stehen Dokumente über das
Informationssystem (z. B.
Administrator- und
Benutzerhandbücher,
Architekturdiagramme usw.) befugten
Mitarbeitern zur Verfügung, um
sicherzustellen, dass Konfiguration,
Installation und Betrieb des
Informationssystems ordnungsgemäß
erfolgen?
Die Dokumentation für das Informationssystem
steht AWS-Mitarbeitern intern auf der IntranetWebsite von Amazon zur Verfügung. Weitere Details
finden Sie im „AWS Cloud-Sicherheits-Whitepaper“
unter http://aws.amazon.com/security/.
Ist physischer Schutz gegen Schäden
aufgrund natürlicher Ereignisse und
Katastrophen sowie vorsätzlicher
Angriffe vorgesehen und konzipiert und
stehen Gegenmaßnahmen bereit?
AWS-Rechenzentren verfügen über physischen
Schutz gegen Umweltrisiken. Der physische Schutz
von AWS gegen Umweltrisiken wurde von einem
unabhängigen Prüfer bestätigt und als in
Übereinstimmung mit bewährten Methoden gemäß
ISO 27002 zertifiziert.
Systemstabilität
Umweltrisiken
BCR05.1
Siehe ISO 27001, Anhang A, Abschnitt 12.
Siehe ISO 27001, Anhang A, Abschnitt 11.
Systemstabilität
Anlagenstandort
BCR06.1
Befinden sich Rechenzentren an Orten,
an denen Umweltrisiken
(Überschwemmungen, Wirbelstürme,
Erdbeben, Orkane usw.) wahrscheinlich
sind bzw. häufig auftreten?
AWS-Rechenzentren verfügen über physischen
Schutz gegen Umweltrisiken. Der physische Schutz
von AWS gegen Umweltrisiken wurde von einem
unabhängigen Prüfer bestätigt und als in
Übereinstimmung mit bewährten Methoden gemäß
ISO 27002 zertifiziert. Siehe ISO 27001, Anhang A,
Abschnitt 11.
Systemstabilität
Anlagenwartung
BCR07.1
Umfasst Ihre Cloud-Lösung bei
Verwenden einer virtuellen
Infrastruktur unabhängige Funktionen
für Hardware-Wiederherstellung und
Recovery?
Mithilfe der EBS Snapshot-Funktionalität können
Kunden Images virtueller Maschinen jederzeit
erstellen und wiederherstellen. Kunden können ihre
AMIs exportieren und diese lokal oder bei einem
anderen Anbieter nutzen (wofür ggf.
Seite 31 von 93
Kontrollgruppe
Systemstabilität
Stromausfälle in Anlagen
CID
BCR07.2
Bieten Sie bei Verwenden einer
virtuellen Infrastruktur Mandanten die
Möglichkeit, eine virtuelle Maschine
zeitpunktbezogen wiederherzustellen?
BCR07.3
Ermöglichen Sie bei Verwenden einer
virtuellen Infrastruktur das
Herunterladen von Images virtueller
Maschinen und Portieren zu einem
neuen Cloud-Anbieter?
BCR07.4
Werden dem Kunden bei Verwenden
einer virtuellen Infrastruktur Images
virtueller Maschinen so zur Verfügung
gestellt, dass der Kunde diese Images
an seinem eigenen standortexternen
Speicherort replizieren kann?
BCR07.5
Bietet Ihre Cloud-Lösung hardware/softwareunabhängige
Wiederherstellungsfunktionen?
BCR08.1
Sind Sicherheitsmechanismen und
Redundanzen vorhanden, um Anlagen
gegen Serviceunterbrechungen zu
schützen (z. B. Strom- und
Netzwerkausfälle)?
Dezember 2015
Antwort von AWS
Softwarelizenzeinschränkungen gelten). Weitere
Details finden Sie im „AWS Cloud-SicherheitsWhitepaper“ unter
AWS-Anlagen sind in Einklang mit der Norm DIN
ISO/IEC 27001 gegen Serviceunterbrechungen
geschützt. AWS wurde von einem unabhä
ngigen
Auditor geprüft und hat als Nachweis der Befolgung
der Norm DIN ISO/IEC 27001 eine entsprechende
Der SOC-Bericht von AWS bietet weitere Details zu
den vorhandenen Kontrollen zum Minimieren der
Auswirkungen einer Fehlfunktion oder einer
physischen Katastrophe auf Computer- und
Rechenzentrumsanlagen.
Weitere Informationen finden Sie außerdem im
AWS Cloud-Sicherheits-Whitepaper unter
Systemstabilität
Analyse von Auswirkungen
Systemstabilität
Richtlinien
BCR09.1
Versorgen Sie Mandanten laufend mit
transparenten Berichten zu Ihrer
Erfüllung von Service Level Agreements
(SLAs)?
BCR09.2
Stellen Sie Ihren Mandanten auf
Standards basierende Metriken zur
Informationssicherheit (CSA, CAMM
usw.) zur Verfügung?
BCR09.3
Versorgen Sie Kunden laufend mit
transparenten Berichten zu Ihrer
Erfüllung von SLAs?
BCR10.1
Stehen allen Mitarbeitern zur
angemessenen Erfüllung von
Serviceaufgaben entsprechend
definierte Richtlinien und Verfahren
zur Verfügung?
AWS CloudWatch ermöglicht die Überwachung der
AWS-Cloud-Ressourcen und der Anwendungen, die
Kunden in AWS ausführen. Unter
aws.amazon.com/cloudwatch finden Sie weitere
Details. AWS veröffentlicht außerdem in seiner
Übersicht zum Servicestatus stets neueste
Informationen zur Verfügbarkeit seiner Services.
Siehe status.aws.amazon.com.
Richtlinien und Verfahren wurden vom AWS-Team
für Sicherheit gemäßden Standards NIST 800-53,
DIN ISO/IEC 27001, DIN ISO/IEC 27017, DIN
ISO/IEC 27018, ISO 9001 und den PCI DSSVorgaben festgelegt.
Weitere Details finden Sie im AWS-Whitepaper
„Risiko und Compliance“ unter
Seite 32 von 93
Dezember 2015
Kontrollgruppe
CID
Antwort von AWS
Systemstabilität
Aufbewahrungsrichtlinien
BCR11.1
Verfügen Sie über technische
Kontrollmöglichkeiten zum Erzwingen
der Datenaufbewahrungsrichtlinien von
Mandanten?
BCR11.2
Verfügen Sie über ein dokumentiertes
Verfahren zum Beantworten von
Anfragen nach Mandantendaten von
Behörden oder Dritten?
AWS ermöglicht Kunden das Löschen ihrer Daten.
Kontrolle und Besitz der eigenen Daten verbleiben
allerdings bei den AWS-Kunden, weshalb sie für das
Verwalten der Datenaufbewahrung gemäßihren
Anforderungen zuständig sind. Weitere
Informationen finden Sie im AWS CloudSicherheits-Whitepaper unter
AWS geht beim Schutz der Kundendaten auf
Nummer Sicher und achtet sorgfältig darauf, welche
gesetzlichen Vorschriften einzuhalten sind. AWS
zögert nicht, Verfügungen von
Strafverfolgungsbehörden anzufechten, wenn das
Unternehmen der Meinung ist, die Verfügungen
seien ohne solide Grundlage. Weitere Informationen
finden Sie unter
https://aws.amazon.com/compliance/data-privacyfaq/.
Änderungskontrolle &
Konfigurationsverwaltung
Neuentwicklung/Beschaffung
Ausgelagerte
Entwicklungsaufgaben
BCR11.4
Haben Sie Sicherungs- und
Redundanzmechanismen
implementiert, um die Einhaltung von
behördlichen, gesetzlichen,
vertraglichen oder geschäftlichen
Anforderungen sicherzustellen?
BCR11.5
Testen Sie Ihre Sicherungs- oder
Redundanzmechanismen mindestens
einmal im Jahr?
CCC01.1
Gibt es Richtlinien und Verfahren für
die Genehmigung seitens der
Geschäftsführung zur Entwicklung oder
Beschaffung neuer Anwendungen,
Systeme, Datenbanken,
Infrastrukturkomponenten, Services,
betrieblicher Abläufe und Anlagen?
CCC01.2
Steht eine Dokumentation mit
Beschreibungen der Installation,
Konfiguration und der Verwendung von
Produkten, Services und Funktionen
zur Verfügung?
CCC02.1
Gibt es Kontrollen, die sicherstellen,
dass bei der gesamten SoftwareEntwicklung Qualitätsstandards befolgt
werden?
CCC02.2
Seite 33 von 93
Gibt es Kontrollen, die sicherstellen,
dass bei ausgelagerten SoftwareEntwicklungsaufträgen Schwachstellen
im Quellcode erkannt werden?
Die Sicherungs- und Redundanzmechanismen von
AWS wurden in Übereinstimmung mit DIN ISO/IEC
27001-Normen entwickelt und getestet. Weitere
Informationen zu den Sicherungs- und
Redundanzmechanismen von AWS finden Sie in der
DIN ISO/IEC 27001-Norm im Anhang A,
Abschnitt 12 und im AWS SOC 2-Bericht.
Richtlinien und Verfahren wurden vom AWS-Team
für Sicherheit gemäßden Standards NIST 800-53,
DIN ISO/IEC 27001, DIN ISO/IEC 27017, DIN
ISO/IEC 27018, ISO 9001 und den PCI DSSVorgaben festgelegt.
Unabhängig davon, ob Sie sich gerade erst mit AWS
vertraut machen oder fortgeschrittener Benutzer
sind, finden Sie nützliche Informationen über
Amazon Web Services – von Einführungen bis hin
zu erweiterten Funktionen – in der AWSDokumentation auf unserer Website unter
https://aws.amazon.com/documentation/.
AWS lagert die Entwicklung von Software generell
nicht aus. AWS berücksichtigt Qualitätsstandards im
Rahmen seiner Systementwicklungsprozesse.
Weitere Details finden Sie in Anhang A, Abschnitt 12
der Norm DIN ISO/IEC 27001. AWS wurde von
einem unabhängigen Auditor geprüft und hat als
Nachweis der Befolgung der Norm DIN ISO/IEC
27001 eine entsprechende Zertifizierung erhalten.
Kontrollgruppe
Qualitätstests
CID
CCC03.1
Stellen Sie Ihren Mandanten
Dokumentation zur Verfügung, in der
Ihr Qualitätssicherungsprozess
beschrieben wird?
CCC03.2
Steht eine Dokumentation zur
Verfügung, die bekannte Probleme mit
bestimmten Produkten/Services
beschreibt?
CCC03.3
Bestehen Richtlinien und Verfahren,
um gemeldete Bugs und
Sicherheitslücken für Produkt- und
Serviceangebote zu sichten und zu
beheben?
CCC03.4
Gibt es Mechanismen, um
sicherzustellen, dass alle Debuggingund Testcodeelemente aus den
veröffentlichten Softwareversionen
entfernt werden?
Dezember 2015
Antwort von AWS
AWS ist nach der Norm DIN ISO/IEC 9001
zertifiziert. Diese Zertifizierung ist eine unabhängige
Validierung des Qualitätssystems von AWS und
bestätigt, dass die Aktivitäten von AWS den
Anforderungen der Norm DIN ISO/IEC 9001
entspricht.
Mit Sicherheitsmitteilungen von AWS werden die
Kunden über Sicherheits- und
Datenschutzereignisse informiert. Die Kunden
können den RSS Feed für Sicherheitsmitteilungen
von AWS auf unserer Website abonnieren. Siehe
aws.amazon.com/security/security-bulletins/.
AWS veröffentlicht außerdem in seiner Übersicht
zum Servicestatus stets neueste Informationen zur
Verfügbarkeit seiner Services. Siehe
status.aws.amazon.com.
Der Systementwicklungsprozess von AWS orientiert
sich an branchenweit bewährten Methoden.
Darunter fallen formale Design-Überprüfungen
durch das Sicherheitsteam von AWS, die
Modellierung von Bedrohungen und die Ausführung
von Risikoanalysen. Weitere Informationen finden
Sie im Whitepaper „Amazon Web Services –
Übersicht über Sicherheitsverfahren“.
In der Norm DIN ISO/IEC 27001 finden Sie
außerdem in Anhang A, Abschnitt 14 weitere Details.
AWS wurde von einem unabhängigen Auditor
geprüft und hat als Nachweis der Befolgung der
Norm DIN ISO/IEC 27001 eine entsprechende
Konfigurationsverwaltun
g
Installation nicht
autorisierter Software
CCC04.1
Produktionsänderungen
CCC05.1
Seite 34 von 93
Gibt es Kontrollen zum Einschränken
und Überwachen der Installation nicht
autorisierter Software auf Ihren
Systemen?
Das AWS-Programm sowie dessen Prozesse und
Verfahren in Bezug auf Schadsoftware sind in
Einklang mit der Norm DIN ISO/IEC 27001.
Bieten Sie Mandanten Dokumentation
mit Beschreibungen Ihrer Verfahren für
das Management von
Produktionsänderungen und ihrer
Rollen/Rechte/Zuständigkeiten darin?
Der SOC-Bericht von AWS bietet eine Übersicht
über die eingerichteten Kontrollen für das
Änderungsmanagement in der AWS-Umgebung.
Weitere Details finden Sie in Anhang A, Abschnitt 12
der Norm DIN ISO/IEC 27001. AWS wurde von
einem unabhä
ngigen Auditor geprüft und hat als
Darüber hinaus finden Sie in der Norm DIN
ISO/IEC 27001 in Anhang A, Abschnitt 14 weitere
Details. AWS wurde von einem unabhängigen
Kontrollgruppe
Datensicherheit &
Verwaltung des
Lebenszyklus von Daten
Klassifizierung
Seite 35 von 93
Dezember 2015
CID
DSI01.1
Verfügen Sie über eine Möglichkeit zum
Identifizieren virtueller Maschinen über
Richtlinien-Tags/Metadaten (Tags
können beispielsweise genutzt werden,
um das Gastbetriebssystem daran zu
hindern, Daten im falschen Land zu
laden/instanziieren/transportieren)?
Virtuelle Maschinen werden Kunden im Rahmen
des EC2-Service zugewiesen. Kunden behalten die
Kontrolle darüber, welche Ressourcen genutzt
werden und wo sich diese befinden. Auf der AWSWebsite (http://aws.amazon.com) finden Sie
weitere Details.
Antwort von AWS
DSI01.2
Verfügen Sie über eine Möglichkeit zum
Identifizieren von Hardware über
RichtlinienTags/Metadaten/Hardware-Tags (z. B.
TXT/TPM, VN-Tag)?
AWS bietet die Möglichkeit, EC2-Ressourcen mit
Tags zu versehen. EC2-Tags sind ein Typ von
Metadaten, der verwendet werden kann, um
benutzerfreundliche Namen zu erstellen, die
Durchsuchbarkeit zu optimieren und die
Koordination zwischen mehreren Benutzern zu
verbessern. Die AWS Management Console
unterstützt ebenfalls das Arbeiten mit Tags.
DSI01.3
Verfügen Sie über eine Möglichkeit, den
geografischen Standort eines Systems
als Authentifizierungsfaktor zu nutzen?
AWS bietet die Möglichkeit des auf der IP-Adresse
basierenden bedingten Benutzerzugriffs. Kunden
können Bedingungen hinzufügen, um zu steuern,
wie Benutzer AWS nutzen, z. B. Tageszeiten, ihre
Quell-IP-Adresse oder Anforderung von SSL.
DSI01.4
Können Sie auf Anfrage den physischen
Standort des Speichers der Daten eines
Mandanten angeben?
DSI01.5
Können Sie den physischen Standort
des Speichers der Daten eines
Mandanten vorab angeben?
AWS bietet den Kunden die Flexibilität, Instances
und Daten in mehreren geografischen Regionen zu
speichern. AWS-Kunden geben an, in welcher
Region sich ihre Daten und Server physisch
befinden sollen. AWS verschiebt Daten von Kunden
nicht ohne vorherige Benachrichtigung des Kunden
aus den ausgewählten Regionen, es sei denn, dies ist
erforderlich, um Gesetze oder Vorschriften
einzuhalten. Derzeit gibt es elf Regionen: USA Ost
(Nord-Virginia), USA West (Oregon), USA West
(Nordkalifornien), AWS GovCloud (USA) (Oregon),
EU (Irland), EU (Frankfurt), Asien-Pazifik
(Singapur), Asien-Pazifik (Tokio), Asien-Pazifik
(Sydney), China (Peking) und Südamerika (São
Paulo).
DSI01.6
Befolgen Sie einen strukturierten
Standard für die Schriftgutverwaltung
(z. B. DIN ISO 15489, Oasis XML
Catalog Specification, CSA-Anleitung
für Datentypen)?
AWS-Kunden behalten die Kontrolle über ihre
eigenen Daten und können zum Erfüllen ihrer
Anforderungen einen strukturierten Standard für
die Schriftgutverwaltung implementieren.
DSI01.7
Ermöglichen Sie Mandanten das
Bestimmen akzeptabler geografischer
Standorte für das Routing von Daten
oder die Instanziierung von
Ressourcen?
AWS bietet den Kunden die Flexibilität, Instances
und Daten in mehreren geografischen Regionen zu
speichern. AWS-Kunden geben an, in welcher
Region sich ihre Daten und Server physisch
befinden sollen. AWS verschiebt Daten von Kunden
nicht ohne vorherige Benachrichtigung des Kunden
aus den ausgewählten Regionen, es sei denn, dies ist
erforderlich, um Gesetze oder Vorschriften
einzuhalten. Derzeit gibt es elf Regionen: USA Ost
(Nord-Virginia), USA West (Oregon), USA West
(Nordkalifornien), AWS GovCloud (USA) (Oregon),
EU (Irland), EU (Frankfurt), Asien-Pazifik
(Singapur), Asien-Pazifik (Tokio), Asien-Pazifik
(Sydney), China (Peking) und Südamerika (São
Paulo).
Kontrollgruppe
Datensicherheit &
Verwaltung des
Datenbestand/-verkehr
Datensicherheit &
Verwaltung des
E-Commerce-Transaktionen
Dezember 2015
CID
Antwort von AWS
DSI02.1
Inventarisieren, dokumentieren und
pflegen Sie den Datenverkehr für
Daten, die innerhalb der Anwendungen
und Infrastrukturnetzwerk und systeme (dauerhaft oder temporär)
gespeichert sind?
DSI02.2
Können Sie sicherstellen, dass keine
Daten über einen definierten
geografischen Standort hinaus migriert
werden?
Regionen, es sei denn, dies ist erforderlich, um
DSI03.1
Bieten Sie Mandanten offene
Verschlüsselungsmethoden (3.4ES, AES
usw.) zum Schutz ihrer Daten, sobald
diese in öffentlichen Netzwerken
übertragen werden müssen (z. B. im
Internet)?
DSI03.2
Setzen Sie offene
Verschlüsselungsmethoden immer
dann ein, wenn Ihre
Infrastrukturkomponenten über
öffentliche Netzwerke kommunizieren
müssen (z. B. bei der Replikation von
Daten aus einer Umgebung in eine
andere über das Internet)?
Sämtliche APIs von AWS sind über durch SSH
geschützte Endpunkte zugänglich, die für eine
Serverauthentifizierung sorgen. AWS erlaubt
Kunden die Nutzung ihrer eigenen
Verschlüsselungsmethoden für nahezu sämtliche
Services, einschließlich S3, EBS, SimpleDB und EC2.
IPsec-Tunnel zu VPC sind ebenfalls verschlüsselt.
Darüber hinaus können Kunden AWS Key
Management Systems (KMS) nutzen, um
Verschlüsselungsschlüssel zu erstellen und zu
https://aws.amazon.com/kms/). Kunden können
auch Verschlüsselungsmethoden anderer Anbieter
nutzen.
Weitere Informationen finden Sie im AWS CloudSicherheits-Whitepaper unter
Datensicherheit &
Verwaltung des
Richtlinien für
Verarbeitung/Benennung/Si
cherheit
DSI04.1
Gibt es Richtlinien und Verfahren für
die Benennung, Verarbeitung und
Sicherheit von Daten und Objekten, die
Daten enthalten?
DSI04.2
Sind Mechanismen für die
Benennungsvererbung für Objekte
implementiert, die als Sammelcontainer
für Daten fungieren?
Datensicherheit &
Verwaltung des
Nicht für die
Produktionsumgebung
vorgesehene Daten
DSI05.1
Verfügen Sie über Verfahren, die
sicherstellen, dass Produktionsdaten
nicht in andere Umgebungen als in die
Produktionsumgebung repliziert oder in
diesen verwendet werden?
bei den AWS-Kunden. AWS ermöglicht Kunden das
Entwickeln und Pflegen von Produktions- und
anderen Umgebungen. Kunden sind dafür
zuständig, dass ihre Produktionsdaten nicht in
andere Umgebungen repliziert werden.
Datensicherheit &
Verwaltung des
Besitz/Verwaltung
DSI06.1
Werden die Pflichten hinsichtlich der
Datenverwaltung definiert, zugewiesen,
dokumentiert und kommuniziert?
bei den AWS-Kunden. Weitere Informationen
finden Sie im AWS-Kundenvertrag.
Datensicherheit &
Verwaltung des
Sicheres dauerhaftes Löschen
DSI07.1
Unterstützen Sie das sichere Löschen
(z. B.
Entmagnetisieren/kryptografisches
Löschen) archivierter und gesicherter
Daten gemäßden Vorgaben des
Mandanten?
Wenn die Lebensdauer eines Speichergeräts zu Ende
geht, führt AWS einen speziellen Prozess zur
Außerbetriebnahme durch, damit Kundendaten
nicht an unbefugte Personen gelangen. AWS
verwendet die in DoD 5220.22-M („National
Industrial Security Program Operating Manual“)
oder in NIST 800-88 („Guidelines for Media
Seite 36 von 93
bei den AWS-Kunden, die zum Erfüllen ihrer
Anforderungen Richtlinien und Verfahren für die
Benennung und Verarbeitung implementieren
können.
Kontrollgruppe
CID
DSI07.2
Verfügen Sie über ein veröffentlichtes
Verfahren zum Beenden der
Servicevereinbarung einschließlich
Zusicherung der Bereinigung von
Mandantendaten aus allen EDVRessourcen, sobald ein Kunde Ihre
Umgebung verlassen oder eine
Ressource freigegeben hat?
Dezember 2015
Antwort von AWS
Sanitation“) beschriebenen Verfahren, um Daten im
Zuge der Außerbetriebnahme dauerhaft zu löschen.
Falls eine Hardwarekomponente nicht mithilfe
dieser Verfahren außer Betrieb genommen werden
kann, wird das Gerät entmagnetisiert oder gemäß
den branchenüblichen Verfahren zerstört. Weitere
Informationen finden Sie im AWS CloudSicherheits-Whitepaper unter
Amazon EBS-Volumes werden Ihnen als
unformatierte Block-Geräte präsentiert, die vor ihrer
Freigabe zur Verwendung gelöscht wurden. Das
Löschen findet unmittelbar vor der erneuten
Verwendung statt, damit Sie sichergehen können,
dass der Löschvorgang abgeschlossen wurde. Wenn
Sie Verfahren verwenden, die erfordern, dass alle
Daten unter Verwendung einer bestimmten
Methode gelöscht werden, wie zum Beispiel die in
DoD 5220.22-M („National Industrial Security
Program Operating Manual”) oder NIST 800-88
(„Guidelines for Media Sanitization”) dargestellten
Methoden, können Sie dies mit Amazon EBS
einrichten. Sie sollten vor dem Formatieren des
Volumes einen speziellen Löschvorgang
durchführen, damit das Volume Ihren festgelegten
Anforderungen entspricht.
Die Verschlüsselung von sensiblen Daten ist im
Allgemeinen eine bewährte Methode für die
Sicherheit. AWS bietet die Möglichkeit zur
Verschlüsselung von EBS-Volumes und deren
Snapshots mit AES-256. Die Verschlüsselung findet
auf den Servern statt, auf denen die EC2 Instances
gehostet werden. Die Datenverschlüsselung wird
durchgeführt, wenn die Daten zwischen EC2
Instances und dem EBS-Speicher verschoben
werden. Damit dies effizient und mit niedriger
Latenz durchgeführt werden kann, steht die EBSVerschlüsselungsfunktion nur auf den
leistungsstärkeren Instance-Typen von EC2 zur
Verfügung (z. B. M3, C3, R3, G2).
Sicherheit des
Rechenzentrums
Komponentenmanagement
Seite 37 von 93
DCS01.1
Verfügen Sie über ein vollständiges
Inventar aller ihrer kritischen
Komponenten einschließlich dem
jeweiligem Zuständigen?
DCS01.2
Verfügen Sie über eine vollständige
Aufstellung aller ihrer Beziehungen mit
wichtigen Lieferanten?
In Übereinstimmung mit DIN ISO/IEC 27001Normen werden AWS-Hardwarekomponenten vom
AWS-Personal mit AWS-eigenen
Inventarverwaltungstools einem Zuständigen
zugewiesen, nachverfolgt und überwacht. Das AWSTeam für Beschaffung pflegt Beziehungen mit allen
AWS-Lieferanten in der Lieferkette.
In der Norm DIN ISO/IEC 27001 finden Sie in
Anhang A, Abschnitt 8 weitere Details. AWS wurde
von einem unabhängigen Auditor geprüft und hat
als Nachweis der Befolgung der Norm DIN ISO/IEC
Dezember 2015
Kontrollgruppe
CID
Antwort von AWS
Sicherheit des
Rechenzentrums
Kontrollierte Zugangspunkte
DCS02.1
Sind physische Sicherheitsmaßnahmen
(z. B. Zäune, Mauern, Barrieren,
Wärter, Sperren, elektronische
Überwachung, physische
Authentifizierungsmechanismen,
Empfangsschalter und Bewacher)
vorhanden?
Zu den physischen Sicherheitsmaßnahmen zählen
u. a. Vorkehrungen wie Zäune, Mauern,
Sicherheitspersonal, Videoüberwachung,
Einbruchmeldeanlagen und andere elektronische
Systeme. Die AWS SOC-Berichte enthalten
zusätzliche Details zu den spezifischen
Kontrollmaßnahmen, die von AWS durchgeführt
werden. In der Norm DIN ISO/IEC 27001 finden Sie
in Anhang A, Abschnitt 11 weitere Informationen.
Sicherheit des
Rechenzentrums
Identifizierung von Geräten
DCS03.1
Wird eine automatische Identifizierung
von Geräten als Methode zur
Bestätigung der Integrität der
Verbindungsauthentifizierung
basierend auf dem bekannten
Gerätestandort genutzt?
AWS führt die Identifizierung von Geräten in
Einklang mit der Norm DIN ISO/IEC 27001 durch.
zur Verfügung, in der Szenarien
beschrieben werden, bei denen Daten
ggf. von einem physischen Standort zu
einem anderen verschoben werden?
(z. B. standortexterne Sicherungen,
Failover für Betriebskontinuität,
Replikation)
Gesetze oder Vorschriften einzuhalten.
Können Sie Mandanten Nachweise
vorlegen, die Ihre Richtlinien und
Verfahren für das
Komponentenmanagement und die
Wiederverwendung von Anlagen
belegen?
Zu den AWS-Prozessen gehört in Übereinstimmung
mit den DIN ISO/IEC 27001-Normen ein Verfahren
für die Außerbetriebnahme von Speichergeräten, die
das Ende ihrer Nutzungsdauer erreicht haben. Bei
diesem Verfahren wird sichergestellt, dass
Kundendaten nur autorisierten Personen
preisgegeben werden. AWS verwendet die in DoD
5220.22-M („National Industrial Security Program
Operating Manual“) oder in NIST 800-88
(„Guidelines for Media Sanitation“) beschriebenen
Verfahren, um Daten im Zuge der
Außerbetriebnahme dauerhaft zu löschen. Falls eine
Hardwarekomponente nicht mithilfe dieser
Verfahren außer Betrieb genommen werden kann,
wird das Gerät entmagnetisiert oder gemäßden
branchenüblichen Verfahren zerstört.
Sicherheit des
Rechenzentrums
Standortexterne
Autorisierung
Sicherheit des
Rechenzentrums
Standortexterne Anlagen
DCS04.1
DCS05.1
Seite 38 von 93
Kontrollgruppe
Sicherheit des
Rechenzentrums
Richtlinien
CID
Dezember 2015
Antwort von AWS
DCS06.1
Können Sie nachweisen, dass
Richtlinien, Standards und Verfahren
zum Gewährleisten einer sicheren
Arbeitsumgebung in Büros, Räumen,
Anlagen und Sicherheitsbereichen
befolgt werden?
AWS beauftragt externe Zertifizierungsgremien und
unabhängige Prüfer mit dem Prüfen und Validieren
der Einhaltung sämtlicher ComplianceRahmenwerke. Der AWS SOC-Bericht bietet weitere
Details zu den spezifischen physischen
Sicherheitskontrollmaßnahmen von AWS. In der
Norm DIN ISO/IEC 27001 finden Sie in Anhang A,
Abschnitt 11 weitere Details. AWS wurde von einem
unabhängigen Auditor geprüft und hat als Nachweis
der Befolgung der Norm DIN ISO/IEC 27001 eine
DCS06.2
Können Sie nachweisen, dass Ihr
Personal und beteiligte Dritte im
Hinblick auf Ihre dokumentierten
Richtlinien, Standards und Verfahren
geschult wurden?
In Übereinstimmung mit der Norm DIN ISO/IEC
27001 nehmen alle AWS-Mitarbeiter regelmäßig an
einer Schulung zur Informationssicherheit teil. Die
Teilnahme muss bestätigt werden. ComplianceÜberprüfungen erfolgen regelmäßig, damit
Mitarbeiter die vorgegebenen Richtlinien verstehen
und befolgen. Weitere Informationen finden Sie im
AWS Cloud-Sicherheits-Whitepaper unter
Zertifizierung erhalten. Weitere Informationen
finden Sie zudem in den SOC 1- und SOC 2Berichten von AWS.
Sicherheit des
Rechenzentrums
Autorisierung für
Sicherheitsbereich
DCS07.1
Ermöglichen Sie Mandanten,
anzugeben, welche Ihrer geografischen
Standorte ihre Daten durchlaufen
dürfen (zum Erfüllen rechtlicher
Aspekte hinsichtlich des Orts, an dem
Daten gespeichert werden bzw. an dem
auf sie zugegriffen wird)?
AWS-Kunden geben an, in welcher Region sich ihre
Daten physisch befinden sollen. AWS verschiebt
Daten von Kunden nicht ohne vorherige
Sicherheit des
Rechenzentrums
Zugang unbefugter Personen
DCS08.1
Werden Eingangs- und
Ausgangspunkte wie beispielsweise
Servicebereiche und andere Punkte, an
denen nicht befugtes Personal das
Betriebsgelände betreten kann,
überwacht, kontrolliert und von der
Datenspeicherung und -verarbeitung
isoliert?
Sicherheit des
Rechenzentrums
Benutzerzugriff
DCS09.1
Beschränken Sie den physischen Zugriff
auf Informationskomponenten und
Funktionen durch Benutzer und
Supportmitarbeiter?
Der physische Zugang wird durch professionelles
Sicherheitspersonal streng kontrolliert, sowohl an
der Geländegrenze als auch an den
Gebäudeeingängen. Dabei werden unter anderem
Videoüberwachung, Einbruchmeldeanlagen und
andere elektronische Vorrichtungen eingesetzt.
Autorisierte Mitarbeiter müssen mindestens
zweimal eine Zwei-Faktor-Authentifizierung
durchlaufen, bevor sie die Rechenzentrumsebenen
betreten dürfen. Physische Zugangspunkte zu
Serverstandorten werden von CCTV-Kameras
gemäßder AWS Data Center Physical Security Policy
aufgezeichnet.
Die physischen Sicherheitsmechanismen von AWS
werden von unabhängigen, externen Auditoren
während der Prüfungen bezüglich der Compliance
mit SOC, PCI DSS, ISO 27001 und FedRAMP
überprüft.
Seite 39 von 93
Kontrollgruppe
Verwaltung von
Verschlüsselungsschlüsseln
Berechtigung
CID
EKM
-01.1
Sind Richtlinien für die
Schlüsselverwaltung vorhanden, mit
denen Schlüssel an identifizierbare
Eigentümer gebunden werden?
Dezember 2015
Antwort von AWS
AWS gibt Ihnen die Möglichkeit, für nahezu alle
Services einschließlich S3, EBS und EC2 Ihren
eigenen Verschlüsselungsmechanismus zu
verwenden. VPC-Sitzungen sind ebenfalls
verschlüsselt. Darüber hinaus können Kunden AWS
Key Management Systems (KMS) nutzen, um
https://aws.amazon.com/kms/).
AWS erstellt und verwaltet intern kryptographische
Schlüssel für die in der AWS-Infrastruktur
erforderliche Verschlüsselung. Zur Erstellung, zum
Schutz und zur Verteilung symmetrischer Schlüssel
wird ein von AWS entwickelter Verschlüsselungsund Anmeldungsmanager verwendet. Damit wird
Folgendes gesichert und verteilt: AWSAnmeldeinformationen, die für Hosts,
öffentliche/private RSA-Schlüssel und X.509Zertifizierungen benötigt werden.
Die kryptografischen Prozesse von AWS werden
regelmäßig von unabhängigen Auditoren auf
Erfüllung der Anforderungen von SOC, PCI DSS,
ISO 27001 und FedRAMP geprüft.
Verwaltung von
Schlüsselgenerierung
EKM
-02.1
Ermöglichen Sie das Erstellen
mandantenbezogener eindeutiger
Verschlüsselungsschlüssel?
EKM
-02.2
Können Sie Verschlüsselungsschlüssel
im Auftrag von Mandanten verwalten?
EKM
-02.3
Verfügen Sie über Verfahren zur
Schlüsselverwaltung?
AWS erlaubt Kunden die Nutzung ihrer eigenen
Services, einschließlich S3, EBS und EC2. IPsecTunnel zu VPC sind ebenfalls verschlüsselt. Darüber
hinaus können Kunden AWS Key Management
Systems (KMS) nutzen, um
https://aws.amazon.com/kms/). Weitere Details zu
KMS finden Sie in den SOC-Berichten von AWS.
EKM
-02.4
Dokumentieren Sie die
Eigentümerschaft jeder einzelnen Phase
im Lebenszyklus von
Verschlüsselungsschlüssel?
Weitere Informationen finden Sie im AWSWhitepaper „Übersicht über die
Sicherheitsprozesse“ unter
EKM
-02.5
Setzen Sie zur Verwaltung von
Verschlüsselungsschlüssel
Drittanbieter-/Open-Source/firmeneigene Rahmenwerke ein?
AWS erstellt und verwaltet intern kryptographische
erforderliche Verschlüsselung. AWS erstellt, steuert
und verteilt symmetrische kryptografische Schlüssel
mithilfe NIST-zugelassener
Schlüsselverwaltungstechnologie und -prozesse im
AWS-Informationssystem. Zur Erstellung, zum
Seite 40 von 93
Kontrollgruppe
Verwaltung von
Verschlüsselung
CID
EKM
-03.1
Verschlüsseln Sie in Ihrer Umgebung
(auf Datenträgern/Speicher) abgelegte
Mandantendaten?
EKM
-03.2
Setzen Sie eine Verschlüsselung ein, um
Daten und Images virtueller Maschinen
während des Transports durch oder
zwischen Netzwerken und HypervisorInstances zu schützen?
Dezember 2015
Antwort von AWS
Services, einschließlich S3, EBS und EC2. IPsecTunnel zu VPC sind ebenfalls verschlüsselt. Darüber
Weitere Informationen finden Sie im AWSWhitepaper „Übersicht über die
Sicherheitsprozesse“ unter
Verwaltung von
Verschlüsselungsschlüss
eln
Speicher und Zugriff
EKM
-03.3
Unterstützen Sie von Mandanten
generierte Verschlüsselungsschlüssel
oder erlauben Sie Mandanten die
Verschlüsselung von Daten mit einer
Identität ohne Zugriff auf ein PublicKey-Zertifikat (z. B. identitätsbasierte
Verschlüsselung)?
EKM
-03.4
Ist eine Dokumentation vorhanden, in
der Ihre Richtlinien, Verfahren und
Leitlinien für die
Verschlüsselungsverwaltung festgelegt
und definiert werden?
EKM
-04.1
Verfügen Sie über eine für Plattformen
und Daten geeignete Verschlüsselung,
die offene/validierte Formate und
Standardalgorithmen verwendet?
EKM
-04.2
Werden Ihre Verschlüsselungsschlüssel
vom Cloud-Nutzer oder einem
vertrauenswürdigen
Schlüsselverwaltungsanbieter gewartet?
EKM
-04.3
Speichern Sie
Verschlüsselungsschlüssel in der
Cloud?
EKM
-04.4
Verfügen Sie über getrennte Aufgaben
für die Schlüsselverwaltung und die
Schlüsselverwendung?
Services, einschließlich S3, EBS und EC2. Darüber
AWS erstellt und verwaltet kryptographische
erforderliche Verschlüsselung. AWS erstellt, steuert
und verteilt symmetrische kryptografische Schlüssel
mithilfe NIST-zugelassener
Schlüsselverwaltungstechnologie und -prozesse im
AWS-Informationssystem. Zur Erstellung, zum
Seite 41 von 93
Kontrollgruppe
Überwachung und
Risikomanagement
Basisanforderungen
Überwachung und
Risikomanagement
Risikobewertungen
Überwachung und
Risikomanagement
Aufsichtsführung des
Managements
Seite 42 von 93
Dezember 2015
CID
Antwort von AWS
GRM
-01.1
Haben Sie Basiswerte für die
Informationssicherheit aller
Komponenten Ihrer Infrastruktur (z. B.
Hypervisors, Betriebssysteme, Router,
DNS-Server) dokumentiert?
GRM
-01.2
Haben Sie eine Möglichkeit, fortlaufend
zu überwachen, ob Ihre Infrastruktur
Ihre Basiswerte zur
Informationssicherheit einhält und
entsprechende Berichte zu erstellen?
In Übereinstimmung mit DIN ISO/IEC 27001Normen verwendet AWS Systembasiswerte für
kritische Komponenten. In der Norm DIN ISO/IEC
27001 finden Sie in Anhang A in den Abschnitten 14
und 18 weitere Details. AWS wurde von einem
GRM
-01.3
Ermöglichen Sie Ihren Kunden die
Bereitstellung ihres eigenen
vertrauenswürdigen Abbilds einer
virtuellen Maschine, um die Einhaltung
ihrer eigenen internen Standards zu
gewährleisten?
GRM
-02.1
Bieten Sie Statusdaten zur
Sicherheitskontrolle, um Mandanten
die Implementierung einer
fortlaufenden branchenüblichen
Überwachung zu ermöglichen (die eine
laufende Überwachung Ihres
physischen und logischen
Kontrollstatus durch den Mandanten
zulässt)?
AWS veröffentlicht Berichte von unabhängigen
Auditoren und Zertifizierungsstellen, um Kunden
mit umfassenden Informationen zu Richtlinien,
Prozessen und Kontrollen zu versorgen, die von
AWS definiert wurden und umgesetzt werden. Die
entsprechenden Zertifizierungen und Berichte
können AWS-Kunden zur Verfügung gestellt
werden. Eine fortlaufende Überwachung logischer
Kontrollen kann durch Kunden in ihren eigenen
Systemen erfolgen.
GRM
-02.2
Nehmen Sie mindestens einmal im Jahr
Risikobewertungen in Verbindung mit
den Anforderungen der
Datenüberwachung vor?
27001 unterhält AWS ein umfassendes Programm
für das Management und die Entschärfung von
Risiken. Darüber hinaus verfügt AWS über eine
Zertifizierung nach DIN ISO/IEC 27018. Die
Übereinstimmung mit der Norm DIN ISO/IEC
27018 zeigt Kunden, dass AWS über ein
Kontrollsystem verfügt, das speziell auf den
Datenschutz seiner Inhalte ausgerichtet ist. Weitere
Informationen finden Sie in den häufig gestellten
Fragen zur Compliance von AWS mit DIN ISO/IEC
27018 unter
http://aws.amazon.com/compliance/iso-27018faqs/.
GRM
-03.1
Sind Ihre Führungskräfte in den
Bereichen Technik, Business und
Geschäftsleitung für sich und ihre
Mitarbeiter zuständig für die
Sensibilisierung für und Einhaltung von
Sicherheitsrichtlinien, Verfahren und
Normen, die für ihren und den
Zuständigkeitsbereich der Mitarbeiter
relevant sind?
Die Kontrollumgebung von Amazon setzt auf der
Führungsebene des Unternehmens ein. Die
Geschäftsleitung und die leitenden Angestellten
spielen bei der Bestimmung der Firmenphilosophie
und bei der Festlegung der Grundwerte des
Unternehmens eine entscheidende Rolle. Jeder
Mitarbeiter muss den Verhaltenskodex des
Unternehmens befolgen, der in regelmäßigen
Schulungen vermittelt wird. ComplianceÜberprüfungen erfolgen, damit Mitarbeiter die
vorgegebenen Richtlinien verstehen und befolgen.
Weitere Details finden Sie im AWS-Whitepaper
„Risiko und Compliance“ unter
Kunden können ein eigenes Abbild ihrer virtuellen
Maschine bereitstellen. Mit VM Import können
Kunden auf einfache Weise Abbilder virtueller
Maschinen aus Ihrer vorhandenen Umgebung in
Amazon EC2 Instances importieren.
Dezember 2015
Kontrollgruppe
CID
Antwort von AWS
Überwachung und
Risikomanagement
Managementprogramm
GRM
-04.1
mit einer Beschreibung Ihres
Managementprogramms zur
Informationssicherheit zur Verfügung?
GRM
-04.2
Überprüfen Sie Ihr
Managementprogramm zur
Informationssicherheit mindestens
einmal im Jahr?
AWS stellt seinen Kunden die Dokumentation zur
DIN ISO/IEC 27001-Zertifizierung zur Verfügung.
Die DIN ISO/IEC 27001-Zertifizierung konzentriert
sich vor allem auf das AWS-ISMS und bewertet,
inwieweit die internen AWS-Prozesse dem ISOStandard entsprechen. Die Zertifizierung wird erst
vergeben, nachdem ein unabhängiger, externer
Auditor eine Bewertung der AWS-Prozesse und Kontrollen durchgeführt und bestätigt hat, dass
diese den DIN ISO/IEC 27001Zertifizierungsstandard erfüllen. Weitere
Informationen finden Sie in den häufig gestellten
Fragen zur Compliance von AWS mit DIN ISO/IEC
27001 unter
http://aws.amazon.com/compliance/iso-27001faqs/.
Überwachung und
Risikomanagement
Managementunterstützung/beteiligung
GRM
-05.1
Stellen Sie sicher, dass Ihre Lieferanten
Ihre Richtlinien für
Informationssicherheit und
Datenschutz befolgen?
Überwachung und
Risikomanagement
Richtlinien
GRM
-06.1
Stimmen Ihre Richtlinien für
Datenschutz mit Branchennormen
(DIN ISO/IEC 27001, ISO-22307,
CoBIT usw.) überein?
GRM
-06.2
Gibt es Vereinbarungen, um
sicherzustellen, dass Ihre Lieferanten
Ihre Richtlinien für
Datenschutz befolgen?
GRM
-06.3
Überwachung und
Risikomanagement
Richtliniendurchsetzung
Können Sie nachweisen, dass Ihre
Kontrollen, Architektur und Prozesse
Vorschriften und/oder Normen
ordnungsgemäßentsprechen?
GRM
-06.4
Legen Sie offen, welche Kontrollen,
Standards, Zertifizierungen bzw.
Vorschriften Sie erfüllen?
GRM
-07.1
Gilt eine formelle Richtlinie für
Disziplinar- oder Sanktionsmaßnahmen
für Mitarbeiter, die gegen
Sicherheitsrichtlinien oder -verfahren
verstoßen?
GRM
-07.2
Ist Mitarbeitern bekannt, welche
Maßnahmen ggf. bei einem Verstoß
aufgrund der Richtlinien und Verfahren
erfolgen?
AWS hat einen Rahmen für die
Informationssicherheit und Richtlinien festgelegt
und hat das zertifizierbare Framework DIN ISO/IEC
27001 mithilfe der DIN ISO/IEC 27002-Kontrollen,
der American Institute of Certified Public
Accountants (AICPA) Trust Services Principles, dem
PCI DSS v3.1 und der Veröffentlichung 800-53 Rev
3 (Recommended Security Controls for Federal
Information Systems) des National Institute of
Standards and Technology (NIST) integriert.
AWS verwaltet Beziehungen mit Dritten gemäßden
Standards der Norm DIN ISO/IEC 27001.
Die AWS-Anforderungen an Dritte werden von
unabhängigen, externen Auditoren während der
Prüfungen bezüglich der Compliance mit PCI DSS,
ISO 27001 und FedRAMP überprüft.
Informationen über die Compliance-Programme von
AWS werden auf unserer Website unter
http://aws.amazon.com/compliance/ veröffentlicht.
AWS bietet Mitarbeitern eine Schulung in Sachen
Sicherheit und Sicherheitsrichtlinien, um sie mit
ihren Rollen und Zuständigkeiten hinsichtlich der
Informationssicherheit vertraut zu machen.
Mitarbeiter, die gegen Amazon-Standards oder Vorschriften verstoßen, werden einer Untersuchung
unterzogen, auf die die entsprechende
Disziplinarmaßnahme folgt (z. B. Verwarnung,
Leistungsplan, Suspendierung und/oder
Kündigung).
http://aws.amazon.com/security. In der Norm DIN
ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 7
weitere Details. AWS wurde von einem
Seite 43 von 93
Kontrollgruppe
Überwachung und
Risikomanagement
Auswirkungen von
Richtlinienänderungen
Überwachung und
Risikomanagement
Richtlinienüberprüfungen
Überwachung und
Risikomanagement
Bewertungen
Überwachung und
Risikomanagement
Programm
Dezember 2015
CID
Antwort von AWS
GRM
-08.1
Führen die Ergebnisse von
Risikobewertungen zu Aktualisierungen
von Sicherheitsrichtlinien, Verfahren,
Standards und Kontrollen, um zu
gewährleisten, dass diese maßgeblich
und wirkungsvoll bleiben?
Aktualisierungen von Sicherheitsrichtlinien,
Verfahren, Standards und Kontrollen von AWS
erfolgen jährlich in Übereinstimmung mit der Norm
DIN ISO/IEC 27001.
GRM
-09.1
Benachrichtigen Sie Mandanten, wenn
Sie wesentliche Änderungen an Ihren
Richtlinien für Informationssicherheit
und/oder Datenschutz vornehmen?
GRM
-09.2
Nehmen Sie mindestens einmal pro
Jahr Überprüfungen Ihrer Datenschutzund Sicherheitsrichtlinien vor?
Das AWS Cloud-Sicherheits-Whitepaper und das
Whitepaper „Risiko und Compliance“ unter
http://aws.amazon.com/security bzw.
http://aws.amazon.com/compliance werden
regelmäßig mit den Änderungen an den AWSRichtlinien aktualisiert.
Die SOC-Berichte von AWS enthalten Details zu den
Überprüfungen der Datenschutz- und
Sicherheitsrichtlinien.
GRM
-10.1
Sind formelle Risikobewertungen im
Einklang mit dem unternehmensweit
geltenden Rahmenwerk und erfolgen
diese mindestens jährlich oder in
geplanten Abständen zur Bestimmung
der Wahrscheinlichkeit und
Auswirkungen aller erkannten Risiken
mithilfe qualitativer und quantitativer
Methoden?
GRM
-10.2
Werden die Wahrscheinlichkeit und
Auswirkungen von immanenten und
Restrisiken unter Berücksichtigung
sämtlicher Risikokategorien
(z. B. Prüfergebnisse, Analyse auf
Bedrohungen und Schwachstellen
und Compliance mit Vorschriften)
unabhängig bestimmt?
GRM
-11.1
Ist ein dokumentiertes,
unternehmensweites Programm zum
Risikomanagement vorhanden?
GRM
-11.2
Stellen Sie eine Dokumentation Ihres
unternehmensweiten
Risikomanagementprogramms zur
Verfügung?
Weitere Informationen finden Sie in der Norm DIN
ISO/IEC 27001. AWS wurde von einem
27001 hat AWS ein umfassendes Programm für das
Management und die Entschä
rfung von Risiken
entwickelt.
Weitere Details zum AWS-Rahmenwerk zum
Risikomanagement finden Sie im AWS-Whitepaper
„Risiko und Compliance” unter
27001 unterhält AWS ein umfassendes Programm
für das Management und die Entschärfung von
Risiken.
Die Geschäftsleitung von AWS hat einen
strategischen Unternehmensplan entwickelt, der die
Risikoerkennung sowie die Implementierung von
Kontrollen zur Verringerung und Bewältigung von
Risiken vorsieht. Die Geschäftsleitung von AWS
bewertet den strategischen Unternehmensplan
mindestens halbjährlich neu. Aufgrund dieses Plans
muss die Geschäftsleitung Risiken innerhalb ihrer
Zuständigkeitsbereiche erkennen und angemessene
Maßnahmen für den Umgang mit solchen Risiken
umsetzen.
Das AWS-Rahmenwerk zum Risikomanagement
wird von unabhängigen, externen Auditoren
mit PCI DSS, ISO 27001 und FedRAMP überprüft.
Seite 44 von 93
Kontrollgruppe
Personalabteilung
Datenschutzverletzungen
Personalabteilung
Hintergrundüberprüfung
Personalabteilung
Mitarbeiterverträge
Personalabteilung
Mitarbeiterkündigung
Seite 45 von 93
CID
HRS01.1
Sind Systeme zur Überwachung auf
Datenschutzverletzungen und schnellen
Benachrichtigung von Mandanten
vorhanden, wenn der Schutz ihrer
Daten ggf. verletzt wurde?
HRS01.2
Entspricht Ihre Datenschutzrichtlinie
Branchenstandards?
HRS02.1
Werden alle Einstellungskandidaten,
Auftragnehmer und beteiligten
Drittparteien gemäßgeltenden
Gesetzen, Vorschriften, ethischen
Grundsätzen und Vertragsbedingungen
einer Hintergrundprüfung unterzogen?
HRS03.1
Schulen Sie Ihre Mitarbeiter für ihre
jeweilige Rolle und die Kontrollen der
Informationssicherheit, die sie erfüllen
müssen?
HRS03.2
Wie dokumentieren Sie die Bestätigung
von Schulungen, die Mitarbeiter
absolviert haben?
HRS03.3
Müssen alle Mitarbeiter
Vertraulichkeits- oder
Geheimhaltungsvereinbarungen als
Bedingung für die Einstellung zum
Schutz der Daten von
Kunden/Mandanten unterzeichnen?
HRS03.4
Ist die erfolgreiche und zeitnahe
Absolvierung des Schulungsprogramms
eine Voraussetzung dafür, Zugriff auf
Systeme mit vertraulichen Daten zu
erhalten und zu behalten?
HRS03.5
Werden die Mitarbeiter mindestens
einmal pro Jahr geschult und mit
Programmen zur Sensibilisierung
versorgt?
HRS04.1
Sind dokumentierte Richtlinien,
Verfahren und Leitlinien vorhanden,
um Änderungen der
Beschäftigungsverhältnisse und/oder
Kündigung zu überwachen?
Dezember 2015
Antwort von AWS
AWS-Kunden sind weiter für die Überwachung ihrer
eigenen Umgebung auf Datenschutzverletzungen
zuständig.
Der SOC-Bericht von AWS bietet eine Übersicht
über die vorhandenen Kontrollmaßnahmen zur
Überwachung der von AWS verwalteten Umgebung.
AWS führt gemäßgeltendem Recht im Rahmen
seiner Prüfpraktiken vor einer Einstellung
Untersuchungen auf Vorstrafen bei Mitarbeitern
durch, und zwar entsprechend der Position des
Mitarbeiters und seinem Grad des Zugangs zu AWSAnlagen.
Der SOC-Bericht von AWS bietet weitere Details zu
den vorhandenen Kontrollen zur
Hintergrundprüfung.
einer rollenabhängigen Schulung teil, die die
Sicherheitsschulung von AWS einschließt. Die
und befolgen. Weitere Details finden Sie in den
SOC-Berichten.
Alle Mitarbeiter, die an AWS-Systemen und Geräten arbeiten, müssen eine
Vertraulichkeitsvereinbarung unterzeichnen, bevor
ihnen der Zugang gewährt wird. Zusätzlich müssen
die Mitarbeiter bei der Einstellung die Acceptable
Use Policy und den Verhaltens- und Ethikkodex von
Amazon lesen und unterzeichnen.
Die AWS-Personalabteilung definiert interne zu
übernehmende Managementzuständigkeiten für die
Kündigung und Rollenänderung von Mitarbeitern
und Lieferanten.
Die AWS SOC-Berichte enthalten weitere Details.
Kontrollgruppe
CID
HRS04.2
Berücksichtigen die oben angegebenen
Verfahren und Leitlinien die zeitnahe
Aufhebung des Zugriffs und Rückgabe
der Geräte?
Dezember 2015
Antwort von AWS
Der Zugriff wird automatisch aufgehoben, sobald die
Akte eines Mitarbeiters aus dem
Personalmanagementsystem von Amazon gelöscht
wird. Sobald sich die Position eines Mitarbeiters
ändert, muss der fortgesetzte Zugriff dem
Mitarbeiter ausdrücklich genehmigt werden.
Andernfalls wird er automatisch aufgehoben. Die
SOC-Berichte von AWS enthalten weitere Details
zum Aufheben des Benutzerzugriffs. Darüber hinaus
finden sich im AWS-Whitepaper zur Sicherheit im
Abschnitt „Employee Lifecycle” weitere
Informationen.
Personalabteilung
Tragbare/Mobile Geräte
HRS05.1
Gibt es Richtlinien, Verfahren und
Maßnahmen für die strenge
Einschränkung des Zugriffs auf Ihre
vertraulichen Daten und
Mandantendaten über tragbare und
mobile Geräte (z. B. Laptops,
Mobiltelefone und persönliche digitale
Assistenten (PDAs)), die generell mit
einem höheren Risiko behaftet sind als
stationäre Geräte (wie DesktopComputer an den Standorten der
Anbieterorganisation)?
Die Kunden behalten die Kontrolle über und die
Verantwortung für ihre Daten und zugehörigen
Medienkomponenten. Es liegt im
Verantwortungsbereich des Kunden, die Sicherheit
der mobilen Geräte und den Zugriff auf die eigenen
Inhalte zu verwalten.
HRS06.1
Werden Vorgaben von
Geheimhaltungs- bzw.
Vertraulichkeitsvereinbarungen, die die
Anforderungen der Organisation an den
Datenschutz und betriebliche Details
wiedergeben, in regelmäßigen
Abständen dokumentiert und
überprüft?
Die Vertraulichkeitsvereinbarung von Amazon wird
vom Rechtsbeistand von Amazon verwaltet und
entsprechend den geschäftlichen Anforderungen
von AWS regelmäßig überarbeitet.
Personalabteilung
Rollen/Zuständigkeiten
HRS07.1
Stellen Sie Mandanten ein Dokument
mit der Rollendefinition zur Verfügung,
in dem Ihre administrativen
Zuständigen und die des Mandanten
herausgestellt werden?
Das AWS Cloud-Sicherheits-Whitepaper und das
Whitepaper „Risiko und Compliance“ enthalten
Details zu den Rollen und Zuständigkeiten von AWS
und denen seiner Kunden. Die Whitepaper sind
verfügbar unter: http://aws.amazon.com/security
und http://aws.amazon.com/compliance.
Personalabteilung
Zulässige Nutzung
HRS08.1
Stellen Sie Dokumentation zur etwaigen
Nutzung von oder den etwaigen Zugriff
auf Daten und Metadaten von
Mandanten zur Verfügung?
HRS08.2
Erfassen oder erstellen Sie Metadaten
zur Nutzung von Mandantendaten
mithilfe von
Untersuchungstechnologien
(Suchmaschinen usw.)?
AWS verfügt über eine formale Richtlinie für die
Zugriffskontrolle, die jährlich (oder bei größeren
Änderungen am System, die die Richtlinie betreffen)
überprüft und aktualisiert wird. Diese Richtlinie
beschreibt die Zielsetzung, den Umfang, die Rollen,
die Verantwortlichkeiten und das Engagement der
Unternehmensleitung. Bei AWS gilt das Konzept der
geringstmöglichen Rechte, bei dem den Benutzern
nur die Zugriffsrechte erteilt werden, die sie haben
müssen, um ihre Job-Funktionen auszuführen.
Personalabteilung
Vertraulichkeitsvereinbarungen
Seite 46 von 93
Kontrollgruppe
CID
HRS08.3
Bieten Sie Mandanten eine Möglichkeit,
den Zugriff auf ihre Daten/Metadaten
über Untersuchungstechnologien zu
deaktivieren?
Dezember 2015
Antwort von AWS
Weitere Informationen finden Sie in der Norm DIN
ISO/IEC 27001 und im Verhaltenskodex 27018.
Normen DIN ISO/IEC 27001 und ISO 27018 eine
Personalabteilung
Schulung/Sensibilisierung
Personalabteilung
Zuständigkeiten von
Benutzern
Personalabteilung
Arbeitsbereich
Seite 47 von 93
HRS09.1
Bieten oder ermöglichen Sie allen
Personen mit Zugriff auf
Mandantendaten ein formelles,
rollenbasiertes Schulungsprogramm zur
Sensibilisierung für Sicherheitsfragen
beim Cloud-Zugriff oder bei
Datenmanagementproblemen (z. B.
mehrere Mandanten, Nationalität,
Auswirkungen der Aufgabentrennung
im Cloud-Bereitstellungsmodell,
Interessenkonflikte)?
HRS09.2
Sind Administratoren und
Datenverwalter hinsichtlich ihrer
rechtlichen Zuständigkeiten mit Blick
auf Sicherheit und Datenintegrität
ordnungsgemäßgeschult?
HRS10.1
Werden Benutzer auf ihre
Zuständigkeiten beim Aufrechterhalten
der Sensibilisierung für und Einhaltung
von veröffentlichten
Sicherheitsrichtlinien, Verfahren,
Normen und geltenden Vorschriften
aufmerksam gemacht?
HRS10.2
Zuständigkeiten für die
Aufrechterhaltung einer sicheren
Arbeitsumgebung aufmerksam
gemacht?
HRS10.3
Zuständigkeiten für das sichere
Verlassen unbeaufsichtigter Anlagen
aufmerksam gemacht?
HRS11.1
Berücksichtigen Ihre Richtlinien und
Verfahren für die Datenverwaltung
Interessenkonflikte zwischen
Mandanten und Service Level?
HRS11.2
Sehen Ihre Richtlinien und Verfahren
zur Datenverwaltung eine
Überwachung auf Manipulationen oder
Softwareintegritätsfunktion für
unbefugte Zugriffe auf Mandantendaten
vor?
einer Schulung zur Informationssicherheit teil. Die
und befolgen.
Die Rollen und Verantwortlichkeiten von AWS
werden von unabhängigen, externen Auditoren
mit SOC, PCI DSS, ISO 27001 und FedRAMP
überprüft.
AWS hat weltweit mehrere Verfahren zur internen
Kommunikation eingeführt, um seinen Mitarbeitern
dabei zu helfen, ihre individuellen Funktionen und
Zuständigkeiten zu verstehen, und um wichtige
Ereignisse zeitgerecht zu kommunizieren. Hierzu
zählen Orientierungs- und Schulungsprogramme für
neu eingestellte Mitarbeiter sowie E-MailNachrichten und das Bereitstellen von
Informationen über das Intranet von Amazon. In
der Norm DIN ISO/IEC 27001 finden Sie in
Anhang A in den Abschnitten 7 und 8 weitere
Details. AWS wurde von einem unabhängigen
Zertifizierung erhalten. Weitere Informationen
finden Sie außerdem im AWS Cloud-SicherheitsWhitepaper unter http://aws.amazon.com/security.
Die AWS-Richtlinien für die Datenverwaltung
befolgen die Norm DIN ISO/IEC 27001. In der
Norm DIN ISO/IEC 27001 finden Sie in Anhang A
in den Abschnitten 8 und 9 weitere Details. AWS
wurde von einem unabhängigen Auditor geprüft und
hat als Nachweis der Befolgung der Norm DIN
ISO/IEC 27001 eine entsprechende Zertifizierung
erhalten. Die AWS SOC-Berichte bieten weitere
Details zu den spezifischen Kontrollmaßnahmen von
AWS zur Verhinderung des unautorisierten Zugriffs
auf AWS-Ressourcen.
Kontrollgruppe
Identity & Access
Management
Überwachen des Zugriffs
durch Tools
CID
HRS11.3
Sieht die Infrastruktur zur Verwaltung
virtueller Maschinen eine Überwachung
auf Manipulationen oder
Softwareintegritätsfunktion zum
Erkennen von Änderungen an der
Einrichtung/Konfiguration der
virtuellen Maschinen vor?
IAM01.1
Beschränken, protokollieren und
überwachen Sie den Zugriff auf Ihre
Systeme zur Verwaltung der
Informationssicherheit (z. B.
Hypervisors, Firewalls, Tools zur
Schwachstellenanalyse (Vulnerability
Scanner), Netzwerk-Sniffer, APIs)?
Dezember 2015
Antwort von AWS
AWS hat für alle Systeme und Geräte innerhalb des
AWS-Systems Ereigniskategorien ermittelt, die sich
durch Audits prüfen lassen. Service-Teams
konfigurieren die Auditfunktionen so, dass
sicherheitsrelevante Ereignisse fortlaufend gemäß
den Anforderungen aufgezeichnet werden. Die
Auditdaten enthalten eine Gruppe von
Datenelementen, die die erforderlichen
Analyseanforderungen unterstützen. Zusätzlich
stehen sie dem AWS-Sicherheitsteam oder anderen
relevanten Teams bei Bedarf zur Prüfung oder
Analyse und für die Behebung sicherheitsrelevanter
oder geschäftsschädigender Ereignisse zur
Verfügung.
In Übereinstimmung mit DIN ISO/IEC 27001Normen hat AWS formale Richtlinien und Verfahren
zum Bestimmen der Mindeststandards für den
logischen Zugriff auf AWS-Ressourcen definiert. In
den SOC-Berichten von AWS sind die
Kontrollmaßnahmen bei der Bereitstellung des
Zugriffs auf AWS-Ressourcen beschrieben.
Weitere Details finden Sie im AWS CloudSicherheits-Whitepaper unter
IAM01.2
Überwachen und protokollieren Sie den
privilegierten Zugriff
(Administratorebene) auf Ihre Systeme
zur Verwaltung der
Informationssicherheit?
AWS hat für alle Systeme und Geräte innerhalb des
AWS-Systems Ereigniskategorien ermittelt, die sich
durch Audits prüfen lassen. Service-Teams
konfigurieren die Auditfunktionen so, dass
sicherheitsrelevante Ereignisse fortlaufend gemäß
den Anforderungen aufgezeichnet werden. Das
Protokollspeichersystem ist dafür ausgelegt, einen
hoch skalierbaren und hoch verfügbaren Service zu
bieten, dessen Kapazität bei steigendem
Protokollspeicherbedarf automatisch erweitert wird.
Die Auditdaten enthalten eine Gruppe von
Datenelementen, die die erforderlichen
Analyseanforderungen unterstützen. Zusätzlich
stehen sie dem AWS-Sicherheitsteam oder anderen
relevanten Teams bei Bedarf zur Prüfung oder
Analyse und für die Behebung sicherheitsrelevanter
oder geschäftsschädigender Ereignisse zur
Verfügung.
Mitarbeiter des AWS-Teams erhalten automatisierte
Benachrichtigungen, wenn Fehler in überwachten
Prozessen auftreten. Dazu gehören unter anderem
Software- oder Hardwarefehler. Nach Erhalt einer
Fehlermeldung stellen die benachrichtigten
Mitarbeiter ein Fehlerticket aus und behandeln das
Problem, bis es gelöst ist.
Die Verfahren der AWS-Protokollierung und Überwachung werden regelmäßig von unabhängigen
Auditoren auf Erfüllung der Anforderungen von
SOC, PCI DSS, ISO 27001 und FedRAMP geprüft.
Seite 48 von 93
Kontrollgruppe
Dezember 2015
CID
Antwort von AWS
IAM02.1
Gibt es Kontrollen, die das zeitgerechte
Aufheben des Systemzugriffs
gewährleisten, sobald dieser nicht mehr
für geschäftliche Zwecke nötig ist?
Die SOC-Berichte von AWS enthalten weitere
Details zum Aufheben des Benutzerzugriffs. Darüber
hinaus finden sich im AWS-Whitepaper zur
Sicherheit im Abschnitt „Employee Lifecycle”
weitere Informationen.
IAM02.2
Stellen Sie Metriken bereit, um das
Tempo zu bestimmen, in dem Sie einen
Systemzugriff aufheben können, der
nicht mehr für geschäftliche Zwecke
benötigt wird?
Identity & Access
Management
Zugriff auf Diagnose/Konfigurations-Ports
IAM03.1
Nutzen Sie dedizierte sichere Netzwerke
zum Ermöglichen des
Verwaltungszugriffs auf Ihre CloudService-Infrastruktur?
Identity & Access
Management
Richtlinien und Verfahren
IAM04.1
Verwalten und speichern Sie die
Identität, einschließlich Zugriffsebene,
aller Mitarbeiter, die Zugriff auf die ITInfrastruktur haben?
Vorhandene Kontrollen begrenzen den Zugriff auf
Systeme und Daten und sorgen dafür, dass der
Zugriff auf Systeme und Daten entsprechend der
Zugriffsrichtlinie von AWS eingeschränkt und
überwacht wird. Darüber hinaus sind Kundendaten
und Server-Instances standardmäßig logisch von
anderen Kunden isoliert. Die Zugriffskontrollen für
berechtigte Benutzer werden von einem
unabhängigen Auditor im Rahmen der SOC-, ISO
27001-, PCI-, ITAR- und FedRAMP-Audits bei AWS
überprüft.
IAM04.2
Verwalten und speichern Sie die
Benutzeridentität, einschließlich
Zugriffsebene, aller Mitarbeiter, die
Zugriff auf das Netzwerk haben?
IAM05.1
Versehen Sie Mandanten mit einer
Dokumentation dazu, wie in Ihrem
Cloud-Service-Angebot die Trennung
von Aufgaben erfolgt?
Kunden behalten die Fähigkeit, die Aufgaben bei der
Verwaltung ihrer AWS-Ressourcen zu trennen.
IAM06.1
Gibt es Kontrollen zum Verhindern des
unbefugten Zugriffs auf den Quellcode
Ihrer Anwendungen, Programme und
Objekte? Ist gewährleistet, dass nur
befugte Personen Zugriff haben?
logischen Zugriff auf AWS-Ressourcen definiert. In
den SOC-Berichten von AWS sind die
IAM06.2
Gibt es Kontrollen zum Verhindern des
unbefugten Zugriffs auf den Quellcode
von Anwendungen, Programmen und
Objekten von Mandanten? Ist
gewährleistet, dass nur befugte
Personen Zugriff haben?
Weitere Informationen finden Sie im Whitepaper
„Amazon Web Services – Übersicht über
Sicherheitsverfahren” unter
IAM07.1
Bieten Sie bei mehrfachen
Funktionsausfällen eine Möglichkeit
der Notfallwiederherstellung?
AWS bietet den Kunden ein Höchstmaßan
Flexibilität. Es stehen ihnen mehrere geografische
Regionen und mehrere Availability Zones innerhalb
Identity & Access
Management
Benutzerzugriffsrichtlinie
Identity & Access
Management
Aufgabentrennung
Identity & Access
Management
Beschränkung des Zugriffs
auf Quellcode
Identity & Access
Management
Zugriff durch Dritte
Seite 49 von 93
Intern befolgt AWS die Norm DIN ISO/IEC 27001
für die Verwaltung der Aufgabentrennung. In der
Norm DIN ISO/IEC 27001 finden Sie in Anhang A,
Abschnitt 6.1 weitere Details. AWS wurde von einem
Kontrollgruppe
Dezember 2015
CID
IAM07.2
Überwachen Sie die Betriebskontinuität
bei vorgelagerten Anbietern im Falle
eines Ausfalls bei einem Anbieter?
IAM07.3
Verfügen Sie bei jedem Service, von
dem Sie abhängig sind, über mehr als
einen Anbieter?
IAM07.4
Bieten Sie Zugriff auf Übersichten zur
Betriebsredundanz und -kontinuität
auch für die Services, von denen Sie
abhängig sind?
IAM07.5
Bieten Sie Mandanten die Möglichkeit,
einen Systemausfall zu deklarieren?
IAM07.6
Bieten Sie Mandanten eine Möglichkeit
zum Auslösen eines Failovers?
IAM07.7
Geben Sie Ihren Mandanten Ihre Pläne
zu Betriebsredundanz und -kontinuität
bekannt?
Identity & Access
IAMManagement
08.1
Einschränkung/Autorisierung
des Benutzerzugriffs
IAM08.2
Dokumentieren Sie, wie der Zugriff auf
Mandantendaten gewährt und
genehmigt wird?
Identity & Access
Management
Autorisierung des
Benutzerzugriffs
IAM09.1
Stellt Ihre Geschäftsleitung die
Autorisierung und Beschränkungen für
den Benutzerzugriff (z. B. Mitarbeiter,
Zeitarbeitskräfte, Kunden (Mandanten),
Geschäftspartner und/oder
Lieferanten) bereit, bevor die Benutzer
auf Daten, eigene oder verwaltete
(physische und virtuelle)
Anwendungen, Infrastruktursysteme
und Netzwerkkomponenten zugreifen?
Im Rahmen des Workflowprozesses bei der
Einstellung werden im AWS-System für die
Personalverwaltung eindeutige Benutzerkennungen
erstellt. Mithilfe des Gerätebereitstellungsprozesses
werden eindeutige Kennungen für Geräte
sichergestellt. Für beide Prozesse ist die
Genehmigung eines Managers erforderlich, damit
ein Benutzerkonto oder ein Gerät erstellt werden
kann. Erste Authentifikatoren werden dem Benutzer
persönlich zugestellt oder dem Gerät im Rahmen
des Bereitstellungsprozesses zugewiesen. Interne
Benutzer können ihrem Konto öffentliche SSHSchlüssel zuordnen. Im Rahmen des
Kontoerstellungsprozesses werden dem
Anfragesteller nach der Überprüfung seiner
Identität Authentifikatoren für das Systemkonto zur
Verfügung gestellt.
IAM09.2
Stellen Sie auf Anfrage Benutzerzugriff
(z. B. Mitarbeiter, Zeitarbeitskräfte,
Kunden (Mandanten), Geschä
ftspartner
und/oder Lieferanten) auf Daten,
eigene oder verwaltete (physische und
virtuelle) Anwendungen,
Infrastruktursysteme und
Netzwerkkomponenten bereit?
AWS hat bestimmte Kontrollen eingerichtet, die sich
auf das Risiko eines unangemessenen Zugriffs durch
Unternehmensangehörige beziehen. Bei sämtlichen
Zertifizierungen und Drittanbieterbescheinigungen
werden präventive und nachträglich aufdeckende
Kontrollen des logischen Zugriffs überprüft.
Darüber hinaus konzentrieren sich regelmäßige
Risikobewertungen darauf, wie der Zugriff durch
Unternehmensangehörige kontrolliert und
überwacht wird.
Seite 50 von 93
Verfügen Sie über eine Möglichkeit, um
zum Zweck der Zugriffskontrolle
Klassifizierungsmethoden für Anbieterund Mandantendaten aufeinander
abzustimmen?
Antwort von AWS
jeder dieser Regionen zur Verfügung, um Instances
anzulegen und Daten zu speichern. Jede dieser
Availability Zones ist als unabhängige Ausfallzone
angelegt. Bei einem Funktionsausfall wird der
Kundendatenverkehr von dem vom Ausfall
betroffenen Bereich zu einem anderen umgeleitet.
Weitere Details finden Sie in den SOC-Berichten von
AWS. Außerdem enthält DIN ISO/IEC 27001,
Anhang A, Abschnitt 15 zusätzliche Informationen.
bei den AWS-Kunden. Vorhandene Kontrollen
begrenzen den Zugriff auf Systeme und Daten und
sorgen dafür, dass der Zugriff auf Systeme und
Daten eingeschränkt ist und überwacht wird.
Darüber hinaus sind Kundendaten und ServerInstances standardmäßig logisch von anderen
Kunden isoliert. Die Zugriffskontrollen für
berechtigte Benutzer werden von einem
unabhängigen Auditor im Rahmen der SOC-, ISO
27001-, PCI-, ITAR- und FedRAMP-Audits bei AWS
überprüft.
Kontrollgruppe
Identity & Access
Management
Überprüfungen des
Benutzerzugriffs
Identity & Access
Management
Aufhebung des
Benutzerzugriffs
CID
IAM10.1
Führen Sie mindestens jährlich eine
Überprüfung der Berechtigungen aller
Systembenutzer und Administratoren
(mit Ausnahme der Benutzer, die von
Ihren Mandanten verwaltet werden)
durch?
IAM10.2
Werden sämtliche Abhilfe- und
Bescheinigungsmaßnahmen
aufgezeichnet, falls Benutzer mit
ungeeigneten Berechtigungen gefunden
werden?
IAM10.3
Stellen Sie Ihren Mandanten Berichte
zu Abhilfe- und
Bescheinigungsmaßnahmen für
Benutzerberechtigungen zur Verfügung,
wenn ein unangemessener Zugriff auf
Mandantendaten zugelassen wurde?
Erfolgt bei einer etwaigen Änderung des
Status von Mitarbeitern,
Auftragnehmern, Kunden,
Geschäftspartnern oder anderen
beteiligten Dritten eine zeitgerechte
Außerbetriebnahme, Aufhebung oder
Änderung des Benutzerzugriffs auf
Systeme, Informationskomponenten
und Daten der Organisation?
IAM11.1
IAM11.2
Identity & Access
Management
Benutzeranmeldeinformationen
IAM12.1
IAM12.2
IAM12.3
IAM12.4
Seite 51 von 93
Werden bei einer Änderung des
Benutzerzugriffstatus auch die
Kündigung des
Beschäftigungsverhältnisses, Vertrags
oder der Vereinbarung, eine Änderung
des Beschäftigungsverhältnisses oder
eine Versetzung innerhalb der
Organisation berücksichtigt?
Unterstützen Sie die Nutzung von bzw.
Integration mit bei Kunden
vorhandenen Lösungen für einmaliges
Anmelden bei Ihrem Service?
Nutzen Sie offene Standards zum
Delegieren von
Authentifizierungsmöglichkeiten an
Ihre Mandanten?
Unterstützen Sie
Identitätsverbundstandards (SAML,
SPML, WS-Federation usw.) als
Möglichkeit der
Authentifizierung/Autorisierung von
Benutzern?
Bieten Sie eine Funktion zur
Richtliniendurchsetzung (z. B. XACML)
zum Durchsetzen regionaler
gesetzlicher oder richtlinienbezogener
Einschränkungen beim
Benutzerzugriff?
Dezember 2015
Antwort von AWS
27001 werden sämtliche erteilten
Zugriffsberechtigungen regelmäßig überprüft. Eine
ausdrückliche erneute Genehmigung ist
erforderlich, andernfalls wird der Zugriff des
Mitarbeiters automatisch aufgehoben. In den SOCBerichten sind die für die Überprüfung des
Benutzerzugriffs spezifischen Kontrollen dargelegt.
Ausnahmen bei den Kontrollen der
Benutzerberechtigung sind in den SOC-Berichten
dokumentiert.
Der Zugriff wird automatisch aufgehoben, sobald die
Akte eines Mitarbeiters aus dem
Personalmanagementsystem von Amazon gelöscht
wird. Sobald sich die Position eines Mitarbeiters
ändert, muss der fortgesetzte Zugriff dem
Mitarbeiter ausdrücklich genehmigt werden.
Andernfalls wird er automatisch aufgehoben. Die
SOC-Berichte von AWS enthalten weitere Details
zum Aufheben des Benutzerzugriffs. Darüber hinaus
finden sich im AWS-Whitepaper zur Sicherheit im
Abschnitt „Employee Lifecycle” weitere
Informationen.
Der AWS-Service Identity and Access Management
(IAM) bietet einen Identitätsverbund mit der AWS
Management Console. Die MultifaktorAuthentifizierung ist eine optionale Funktion, die
Kunden nutzen können. Weitere Details finden Sie
auf der AWS-Website unter
http://aws.amazon.com/mfa.
unterstützt den Identitätsverbund für den
delegierten Zugriff auf die AWS Management
Console oder AWS-APIs. Mit dem Identitätsverbund
erhalten externe Identitäten (verbundene Benutzer)
sicheren Zugriff auf Ressourcen in Ihrem AWSKonto, ohne dass IAM-Benutzer erstellt werden
müssen. Diese externen Identitäten können von
Ihrem Unternehmensidentitätsanbieter (wie
Microsoft Active Directory oder vom AWS Directory
Service) oder von einem Web-Identitätsanbieter wie
Amazon Cognito, „Login with Amazon” (oder
Facebook oder Google) oder einem mit OpenID
Connect (OIDC) kompatiblen Anbieter kommen.
Kontrollgruppe
Identity & Access
Management
Zugriff auf Hilfsprogramme
Infrastruktur- &
Virtualisierungssicherheit
Prüfungsprotokollierung/
Erkennung von
Eindringversuchen
Seite 52 von 93
CID
IAM12.5
Verfügen Sie über ein
Identitätsmanagementsystem, das eine
sowohl rollen- als auch kontextbasierte
Berechtigung für Daten, d. h. eine
Klassifizierung von Daten für einen
Mandanten, ermöglicht?
IAM12.6
Bieten Sie Mandanten für den
Benutzerzugriff sehr sichere
(Multifaktor-)
Authentifizierungsoptionen (digitale
Zertifikate, Token, Biometrie usw.)?
IAM12.7
Erlauben Sie Mandanten die Nutzung
von Drittanbieterservices für den
Identitätsnachweis?
IAM12.8
Unterstützen Sie die
Richtliniendurchsetzung für Passwort(Mindestlänge, Alter, Verlauf,
Komplexität) und Kontosperrung
(Grenzwert für die Sperrung, Dauer der
Sperrung)?
IAM12.9
Können Mandanten/Kunden
Richtlinien für die Passwort- und
Kontosperrung für ihre Konten
definieren?
IAM12.10
Unterstützen Sie das Erzwingen von
Passwortänderungen bei der
Erstanmeldung?
IAM12.11
Sind Mechanismen vorhanden, um die
Sperrung von Konten aufzuheben
(z. B. Self-Service per E-Mail, definierte
Sicherheitsfragen, manuelles Aufheben
der Sperre)?
IAM13.1
Werden Hilfsprogramme zur
Verwaltung virtualisierter Partitionen
(z. B. zum Herunterfahren, Klonen
usw.) entsprechend eingeschränkt und
überwacht?
IAM13.2
Haben Sie Möglichkeiten zum
Erkennen direkter Angriffe auf die
virtuelle Infrastruktur (z. B. Shimming,
Blue Pill, Hyper Jumping usw.)?
IAM13.3
Werden Angriffe auf die virtuelle
Infrastruktur mithilfe technischer
Kontrollmaßnahmen verhindert?
IVS01.1
Sind Tools für Dateiintegrität (Host)
und zum Erkennen von
Eindringversuchen in das Netzwerk
(IDS) implementiert, um eine schnelle
Erkennung, Ursachenanalyse und
Reaktion auf Vorfälle zu erleichtern?
Dezember 2015
Antwort von AWS
ermöglicht Kunden, den Zugriff auf AWS-Services
und -Ressourcen für ihre Benutzer sicher zu steuern.
Weitere Informationen über IAM finden Sie auf der
Website unter https://aws.amazon.com/iam/. Die
AWS SOC-Berichte enthalten Details zu den
spezifischen Kontrollmaßnahmen, die von AWS
durchgeführt werden.
In Übereinstimmung mit DIN ISO/IEC 27001Normen werden Systemhilfsprogramme
entsprechend eingeschränkt und überwacht. Die
AWS SOC-Berichte enthalten Details zu den
durchgeführt werden.
Das AWS-Programm für die Reaktion auf Vorfälle
(Erkennung, Untersuchung, Reaktion) wurde in
Einklang mit der Norm DIN ISO/IEC 27001
entwickelt. Systemhilfsprogramme werden
entsprechend eingeschränkt und überwacht. Die
SOC-Berichte von AWS bietet weitere Details zu den
vorhandenen Kontrollmaßnahmen zur
Einschränkung des Systemzugriffs.
Kontrollgruppe
CID
IVS01.2
Ist der physische und logische
Benutzerzugriff auf Prüfprotokolle auf
autorisierte Mitarbeiter begrenzt?
IVS01.3
Können Sie nachweisen, dass Ihre
Kontrollen/Architektur/Prozesse
ordnungsgemäßauf Vorschriften und
Standards abgestimmt sind?
IVS01.4
Werden Prüfprotokolle zentral
gespeichert und aufbewahrt?
IVS01.5
Werden Prüfprotokolle regelmäßig auf
Sicherheitsereignisse hin überwacht
(z. B. mit automatisierten Tools)?
Dezember 2015
Antwort von AWS
In Übereinstimmung mit den DIN ISO/IEC 27001Normen nutzen AWS-Informationssysteme über
NTP (Network Time Protocol) synchronisierte
Systemuhren. AWS wurde von einem unabhängigen
AWS nutzt automatische Überwachungssysteme, um
ein Höchstmaßan Leistungsqualität und
Verfügbarkeit der Services zu gewährleisten. Sowohl
für den internen als auch für den externen Gebrauch
steht eine Reihe von Online-Tools für die
dynamische Überwachung zur Verfügung. Die
Systeme innerhalb von AWS sind umfassend
ausgestattet, um wichtige Betriebsmetriken
überwachen zu können. Alarmsignale werden
konfiguriert, damit das Betriebspersonal und die
Geschäftsleitung benachrichtigt werden, wenn für
die wichtigsten Betriebsgrößen die
Frühwarnschwellen aktiviert sind. Es wurde ein
Rufbereitschaftsdienst eingerichtet, sodass das
Personal stets erreichbar ist, um auf
Betriebsprobleme zu reagieren. Dazu gehört ein
Funkrufsystem, damit alle Alarme zuverlässig an das
Betriebspersonal weitergeleitet werden.
Infrastruktur- &
Änderungserkennung
Infrastruktur- &
Uhrsynchronisierung
IVS02.1
Werden alle Änderungen, die an
virtuellen Maschinenabbildern
vorgenommen werden, unabhängig von
ihrem Betriebszustand (z. B. inaktiv,
aus, in Betrieb) protokolliert und
gemeldet?
IVS02.2
Werden Änderungen an virtuellen
Maschinen oder das Verschieben eines
Abbilds und die darauf folgende
Validierung seiner Integrität den
Kunden unmittelbar durch
elektronische Methoden (z. B. Portale
oder Benachrichtigungen) mitgeteilt?
IVS03.1
Nutzen Sie ein synchronisiertes
Zeitserviceprotokoll (z. B. NTP), um für
alle Systeme einen gemeinsamen
Zeitbezug sicherzustellen?
Virtuelle Maschinen werden Kunden im Rahmen
des EC2-Service zugewiesen. Kunden behalten die
Kontrolle darüber, welche Ressourcen genutzt
werden und wo sich diese befinden. Auf der AWSWebsite (http://aws.amazon.com) finden Sie
weitere Details.
In Übereinstimmung mit den DIN ISO/IEC 27001Normen nutzen AWS-Informationssysteme über
NTP (Network Time Protocol) synchronisierte
Systemuhren.
Seite 53 von 93
Kontrollgruppe
Infrastruktur- &
Kapazitäts/Ressourcenplanung
Infrastruktur- &
Management –
Schwachstellenmanagement
Infrastruktur- &
Netzwerksicherheit
Seite 54 von 93
CID
Dezember 2015
Antwort von AWS
IVS04.1
Dokumentieren Sie den Grad der
Überbuchung von Systemen (Netzwerk,
Speicher, Arbeitsspeicher, E/A usw.)
und die entsprechenden Szenarien?
Details zu den AWS Service-Grenzen und der
Vorgehensweise zum Anfordern einer Erhöhung für
bestimmte Services finden Sie auf der AWS-Website
unter
http://docs.aws.amazon.com/general/latest/gr/aws
_service_limits.html.
IVS04.2
Schränken Sie die Nutzung der vom
Hypervisor gebotenen Funktionen zur
Überbuchung von Arbeitsspeicher ein?
IVS04.3
Werden bei Ihren
Systemkapazitätsanforderungen
aktuelle, geplante und erwartete
Kapazitätsanforderungen für alle
Systeme berücksichtigt, mit denen den
Mandanten Services bereitgestellt
werden?
AWS verwaltet Kapazitäts- und Nutzungsdaten in
Einklang mit der Norm DIN ISO/IEC 27001. AWS
wurde von einem unabhängigen Auditor geprüft und
hat als Nachweis der Befolgung der Norm DIN
ISO/IEC 27001 eine entsprechende Zertifizierung
erhalten.
IVS04.4
Wird die Systemleistung überwacht und
optimiert, um gesetzliche, vertragliche
und geschäftliche Anforderungen für
alle Systeme zu erfüllen, mit denen den
Mandanten Services bereitgestellt
werden?
IVS05.1
Entsprechen die Tools oder Services zur
Bewertung der Schwachstellen den
Virtualisierungtechnologien, die zum
Einsatz kommen (z. B.
virtualisierungsfähig)?
IVS06.1
Stellen Sie Mandanten im Rahmen
Ihres IaaS-Angebots Anleitungen zum
Erstellen einer geeigneten abgestuften
Sicherheitsarchitektur mithilfe Ihrer
virtualisierten Lösung zur Verfügung?
IVS06.2
Aktualisieren Sie
Netzwerkarchitekturdiagramme, die
Informationsflüsse zwischen
Sicherheitsdomänen/-zonen umfassen,
regelmäßig?
Amazon EC2 nutzt derzeit eine stark angepasste
Version des Xen-Hypervisors. Der Hypervisor wird
regelmäßig von internen und externen
Expertenteams auf neue und vorhandene
Schwachstellen und Angriffsmöglichkeiten geprüft
und eignet sich gut für die Aufrechterhaltung einer
strikten Trennung zwischen virtuellen
Gastmaschinen. Im Verlauf von Begutachtungen
und Überprüfungen wird der Xen-Hypervisor von
AWS regelmäßig von unabhängigen Auditoren
beurteilt.
Es werden regelmäßig interne und externe
Schwachstellen-Scans mit verschiedenen Tools auf
dem Host-Betriebssystem, der Webanwendung und
den Datenbanken in der AWS-Umgebung
durchgeführt. Die Schwachstellen-Scans und
Wiederherstellungsverfahren von AWS werden
regelmäßig auf die Erfüllung der Anforderungen mit
PCI DSS und FedRAMP geprüft.
Die AWS-Website
http://aws.amazon.com/documentation/ bietet in
einer Vielzahl von Whitepaper Anleitungen zum
Erstellen einer abgestuften Sicherheitsarchitektur.
Überwachungsgeräte für Netzwerkgrenzen
(Boundary Protection Devices) wenden Regelsätze,
Zugriffskontrolllisten (ACL, Access Control Lists)
und Konfigurationen an, um den Informationsfluss
zwischen Netzwerk-Fabrics sicherzustellen.
Kontrollgruppe
Infrastruktur- &
Härtung des Betriebssystems
und Basiskontrollen
CID
IVS06.3
Überprüfen Sie regelmäßig die Eignung
des zugelassenen Zugriffs/der
Konnektivität (z. B. Firewall-Regeln)
zwischen Sicherheitsdomänen/-zonen
im Netzwerk?
IVS06.4
Werden alle FirewallZugriffskontrolllisten mit
Geschäftszweck dokumentiert?
IVS07.1
Werden Betriebssysteme im Rahmen
des Basisstandards oder der
Basisvorlage mit technischen
Kontrollsystemen (d. h. Virenschutz,
Überwachen und Protokollieren der
Dateiintegrität) gehärtet, um nur die für
die geschäftlichen Anforderungen
notwendigen Ports, Protokolle und
Services bereitzustellen?
Dezember 2015
Antwort von AWS
Bei Amazon gibt es etliche Netzwerk-Fabrics. Diese
werden jeweils durch Geräte voneinander
abgegrenzt, die den Informationsfluss zwischen den
Fabrics steuern. Der Informationsfluss zwischen
Fabrics wird durch geprüfte
Autorisierungsmechanismen gesteuert. Es handelt
sich dabei um Zugriffskontrolllisten (ACL, Access
Control Lists), die auf diesen Geräten implementiert
sind. Diese Geräte steuern den Informationsfluss
zwischen Fabrics anhand der ACLs. ACLs werden
mithilfe des ACL-Manage-Tools von AWS definiert,
geprüft (von geeigneten Mitarbeitern), verwaltet
und bereitgestellt.
Amazon Information Security überprüft diese ACLs.
Der Informationsfluss zwischen Fabrics wird durch
bewährte Firewall-Regeln und geprüfte ACLs auf
spezifische Informationssystem-Services
beschränkt. Die Zugriffskontrolllisten und
Regelsätze werden überprüft, genehmigt und in
regelmäßigen Abständen (mindestens alle 24
Stunden) den Boundary Protection Devices
zugewiesen, um sicherzustellen, dass Regelsätze und
Zugriffskontrolllisten auf dem neusten Stand sind.
AWS Network Management wird regelmäßig von
unabhängigen Auditoren auf Erfüllung der
Anforderungen von SOC, PCI DSS, ISO 27001 und
FedRAMP geprüft.
AWS implementiert das Prinzip der geringsten
Rechte innerhalb der Infrastrukturkomponenten.
AWS unterbindet die Verwendung aller Ports und
Protokolle, die keinen speziellen geschäftlichen
Zweck erfüllen. AWS verfolgt konsequent den
Ansatz der minimalen Implementierung von nur
den Merkmalen und Funktionen, die für die
Verwendung des Geräts notwendig sind.
Netzwerkscans werden durchgeführt und unnötige
Ports oder Protokolle deaktiviert.
Infrastruktur- &
Produktions- und
Testumgebungen
IVS08.1
IVS08.2
IVS08.3
Seite 55 von 93
Ihres Saas- bzw. PaaS-Angebots
getrennte Umgebungen für
Produktions- und Testprozesse zur
Verfügung?
Ihres IaaS-Angebots Anleitungen zum
Erstellen geeigneter Produktions- und
Testumgebungen zur Verfügung?
Trennen Sie Produktions- und
Testumgebungen logisch und physisch
voneinander?
Es werden regelmäßig mit verschiedenen Tools
interne und externe Schwachstellen-Scans auf dem
Host-Betriebssystem, der Webanwendung und den
Datenbanken in der AWS-Umgebung vollzogen. Die
Schwachstellen-Scans und
Wiederherstellungsverfahren von AWS werden
regelmäßig auf die Erfüllung der Anforderungen mit
PCI DSS und FedRAMP geprüft.
AWS-Kunden haben weiterhin die Möglichkeit,
Produktions- und Testumgebungen zu erstellen und
zu verwalten, für die sie zuständig bleiben. Die
AWS-Website bietet Anleitungen zum Erstellen
einer Umgebung unter Einsatz von AWS-Services
(siehe http://aws.amazon.com/documentation/).
AWS-Kunden bleiben zur Erfüllung ihrer definierten
Vorgaben für das Management ihrer eigenen
Netzwerksegmentierung zuständig.
Kontrollgruppe
Infrastruktur- &
Segmentierung
CID
IVS09.1
IVS09.2
IVS09.3
Sind System- und
Netzwerkumgebungen durch eine
Firewall oder eine virtuelle Firewall
geschützt, damit die Anforderungen an
die Unternehmens- und
Kundensicherheit erfüllt sind?
Sind System- und
Firewall oder virtuelle Firewall
geschützt, um die Einhaltung der
gesetzlichen, behördlichen und
vertraglichen Anforderungen
sicherzustellen?
Sind System- und
Firewall oder virtuelle Firewall
geschützt, damit die Trennung von
Produktions- und Testumgebungen
gewährleistet ist?
Dezember 2015
Antwort von AWS
Intern befolgt die AWS-Netzwerk-Segmentierung
die DIN ISO/IEC 27001-Normen. In der Norm DIN
ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 13
weitere Details. AWS wurde von einem
IVS09.4
Sind System- und
Firewall oder eine virtuelle Firewall
geschützt, damit Schutz und die
Isolierung sensibler Daten
gewährleistet sind?
IVS10.1
Werden beim Migrieren von physischen
Servern, Anwendungen oder Daten
nach virtuellen Servern sichere und
verschlüsselte Kommunikationskanäle
eingesetzt?
AWS gibt Ihnen die Möglichkeit, für nahezu alle
Services einschließlich S3, EBS und EC2 Ihren
eigenen Verschlüsselungsmechanismus zu
verwenden. VPC-Sitzungen sind ebenfalls
verschlüsselt.
IVS10.2
Verwenden Sie beim Migrieren von
physischen Servern, Anwendungen oder
Daten nach virtuellen Servern ein von
Netzwerken auf Produktionsebene
getrenntes Netzwerk?
bei den AWS-Kunden. AWS ermöglicht Kunden das
Entwickeln und Pflegen von Produktions- und
anderen Umgebungen. Kunden sind dafür
zuständig, dass ihre Produktionsdaten nicht in
andere Umgebungen repliziert werden.
Infrastruktur- &
VMM-Sicherheit –
Hypervisor-Härtung
IVS11.1
Beschränken Sie den Zugriff der
Mitarbeiter auf alle HypervisorManagementfunktionen oder
Verwaltungskonsolen für Systeme, die
virtualisierte Systeme hosten, basierend
auf dem Prinzip der geringsten Rechte
und unterstützt durch technische
Kontrollinstanzen (z. B. .Zwei-FaktorAuthentifizierung, Prüfpfade, IPAdressenfilterung, Firewalls und über
TLS gekapselte Kommunikation mit
den Verwaltungskonsolen)?
Bei AWS gilt das Konzept der geringstmöglichen
Rechte, bei dem den Benutzern nur die
Zugriffsrechte erteilt werden, die sie haben müssen,
um ihre Job-Funktionen auszuführen. Wenn
Benutzerkonten erstellt werden, werden sie immer
mit dem geringsten Zugriffsrecht erstellt. Für
Zugriffsrechte über diesen geringsten
Berechtigungen muss eine entsprechende
Autorisierung erfolgen. Weitere Informationen über
die Zugriffskontrollen finden Sie in den SOCBerichten von AWS.
Infrastruktur- &
Funksicherheit
IVS12.1
Sind Richtlinien und Verfahren
definiert und Mechanismen
konfiguriert und implementiert, um die
WLAN-Umgebung zu schützen, und
nicht autorisierten WLANDatenverkehr einzuschränken?
Zum Schutz der AWS-Netzwerkumgebung sind
Richtlinien, Verfahren und Mechanismen definiert.
Infrastruktur- &
VM-Sicherheit – vMotionDatenschutz
Seite 56 von 93
Die Sicherheitskontrollen von AWS werden von
Prüfungen bezüglich der Compliance mit SOC, PCI
DSS, ISO 27001 und FedRAMP überprüft.
Kontrollgruppe
Infrastruktur- &
Netzwerkarchitektur
CID
IVS12.2
implementiert, um sicherzustellen, dass
WLAN-Sicherheitseinstellungen mit
sehr starker Verschlüsselung für die
Authentifizierung und Übertragung
aktiviert sind, die die
Standardeinstellungen der Hersteller
ersetzen? (Beispiele:
Verschlüsselungsschlüssel, Kennwörter,
SNMP Community-Zeichenfolgen)
IVS12.3
implementiert, um WLANNetzwerkumgebungen zu schützen und
das Vorhandensein nicht autorisierter
Netzwerkgeräte zu erkennen, um diese
angemessen schnell vom Netzwerk zu
trennen?
IVS13.1
Sind in Ihren
Netzwerkarchitekturdiagrammen
Umgebungen und Datenflüsse mit
hohem Risiko, die Auswirkungen auf
die Einhaltung von Vorschriften haben
können, klar erkennbar?
IVS13.2
Sind technische Maßnahmen und
tiefgreifende Vorbeugungsmaßnahmen
(z. B. Deep Packet Analysis, Drosselung
des Datenverkehrs und Blackholing) zur
Erkennung und zeitnahen Reaktion auf
netzwerkbasierte Angriffe in
Verbindung mit ungewöhnlichen
Mustern des ein- und ausgehenden
Datenverkehrs (z. B. Angriffe durch
MAC-Spoofing und ARP-Poisoning)
und/oder mit Distributed Denial Of
Service (DDoS)-Angriffen
implementiert?
Dezember 2015
Antwort von AWS
AWS-Kunden bleiben zur Erfüllung ihrer definierten
Vorgaben für das Management ihrer eigenen
Netzwerksegmentierung zuständig.
Intern befolgt die AWS-Netzwerk-Segmentierung
die Norm DIN ISO/IEC 27001. AWS wurde von
einem unabhängigen Auditor geprüft und hat als
In regelmäßigen Abständen überprüft das
Sicherheitsteam von AWS alle mit dem Internet
verbundenen IP-Adressen von Service-Endpunkten
auf Schwachstellen (Instances von Kunden werden
nicht untersucht). Das AWS-Sicherheitsteam
benachrichtigt die betroffenen Parteien, damit diese
erkannte Schwachstellen schließen können.
Zusätzlich werden regelmäßig unabhängige externe
Sicherheitsfirmen mit einer
Schwachstellenüberprüfung beauftragt. Ergebnisse
und Empfehlungen, die aus diesen Bewertungen
resultieren, werden kategorisiert und an die AWSGeschäftsführung weitergeleitet.
Zusätzlich erfolgen regelmäßig interne und externe
Risikobewertungen für die AWS-Kontrollumgebung.
AWS beauftragt externe Zertifizierungsgremien und
unabhängige Prüfer mit dem Prüfen und Testen der
gesamten AWS-Kontrollumgebung.
Kompatibilität und
Portabilität
APIs
Seite 57 von 93
IPY01
Veröffentlichen Sie eine Liste aller im
Service verfügbaren APIs mit der
Angabe, welche standardmäßig und
welche angepasst sind?
Die Sicherheitskontrollen von AWS werden von
Prüfungen bezüglich der Compliance mit SOC, PCI
DSS, ISO 27001 und FedRAMP überprüft.
Details zu APIs von AWS finden Sie auf der AWSWebsite unter
https://aws.amazon.com/documentation/.
Kontrollgruppe
CID
Kompatibilität und
Portabilität
Datenanforderung
IPY02
Sind unstrukturierte Kundendaten auf
Anfrage in einem branchenüblichen
Format (z. B. DOC, XLS oder PDF)
verfügbar?
Kompatibilität und
Portabilität
Richtlinien und rechtliche
Hinweise
IPY03.1
Stellen Sie Richtlinien und Verfahren
(d. h. Service Level Agreements) zur
Verfügung, die den Einsatz von APIs
im Hinblick auf die Kompatibilität
zwischen Ihrem Service und
Drittanbieteranwendungen regeln?
Dezember 2015
Antwort von AWS
logischen Zugriff auf AWS-Ressourcen definiert.
In den SOC-Berichten von AWS sind die
Weitere Details finden Sie im AWS CloudSicherheits-Whitepaper unter
IPY03.2
Stellen Sie Richtlinien und Verfahren
(d. h. Service Level Agreements) zur
Verfügung, die die Migration von
Anwendungsdaten nach und von Ihrem
Service regeln?
bei den Kunden. Die Kunden können nach eigenem
Ermessen entscheiden, wie sie Anwendungen und
Inhalte auf und außerhalb der Plattform von AWS
migrieren.
IPY04.1
Können Datenimport, -export und
Serviceverwaltung über sichere (z. B.
nicht Klartext und authentifiziert),
branchenweit akzeptierte,
standardisierte Netzwerkprotokolle
abgewickelt werden?
AWS ermöglicht Kunden das Verschieben von Daten
zwischen ihrem eigenen und AWS-Speicher den
Anforderungen entsprechend. Weitere
Informationen über Speicheroptionen finden Sie
unter http://aws.amazon.com/choosing-a-cloudplatform.
IPY04.2
Stellen Sie Kunden (Mandanten)
Dokumentation zu den relevanten
Kompatibilitäts- und
Portabilitätsnetzwerkprotokollstandard
s zur Verfügung?
IPY05.1
Verwenden Sie eine
branchenanerkannte
Virtualisierungsplattform und
standardmäßige
Virtualisierungsformate (z. B. OVF) zur
Sicherstellung der Kompatibilität?
IPY05.2
Dokumentieren Sie benutzerdefinierte
Änderungen an allen verwendeten
Hypervisors und allen
lösungsspezifischen
Virtualisierungszugängen, die für die
Kundenprüfung verfügbar sind?
Mobile Sicherheit
Anti-Malware
MOS
-01
Bieten Sie Anti-Malware-Schulungen
speziell für mobile Geräte im Rahmen
Ihrer Schulungen zur
Informationssicherheit an?
Verfahren in Bezug auf Antiviren-/AntiSchadsoftware sind in Einklang mit der Norm ISO
27001. Weitere Informationen finden Sie in der
Norm DIN ISO/IEC 27001 in Anhang A, Abschnitt 12.
Mobile Sicherheit
App Stores
MOS
-02
Dokumentieren und stellen Sie Listen
mit genehmigten App Stores für mobile
Geräte zur Verfügung, die auf
Unternehmensdaten und/oder
Unternehmenssysteme zugreifen oder
diese speichern?
AWS hat einen Rahmen für die
Informationssicherheit und Richtlinien festgelegt
und hat das zertifizierbare Framework DIN ISO/IEC
27001 mithilfe der DIN ISO/IEC 27002-Kontrollen,
der American Institute of Certified Public
Accountants (AICPA) Trust Services Principles, dem
PCI DSS v3.1 und der Veröffentlichung 800-53 Rev
Kompatibilität und
Portabilität
Standardisierte
Netzwerkprotokolle
Kompatibilität und
Portabilität
Virtualisierung
Seite 58 von 93
Amazon EC2 nutzt derzeit eine stark angepasste
Version des Xen-Hypervisors. Der Hypervisor wird
regelmäßig von internen und externen
Expertenteams auf neue und vorhandene
Schwachstellen und Angriffsmöglichkeiten geprüft
und eignet sich gut für die Aufrechterhaltung einer
strikten Trennung zwischen virtuellen
Gastmaschinen. Im Verlauf von Begutachtungen
und Überprüfungen wird der Xen-Hypervisor von
AWS regelmäßig von unabhängigen Auditoren
beurteilt. Weitere Informationen finden Sie im
„AWS Cloud-Sicherheits-Whitepaper“ unter
Kontrollgruppe
Mobile Sicherheit
Genehmigte Anwendungen
CID
MOS
-03
Bieten Sie eine Funktion zur
Richtliniendurchsetzung (z. B.
XACML), um sicherzustellen, dass nur
genehmigte Anwendungen und Apps
von genehmigten App Stores auf ein
mobiles Gerät geladen werden?
Mobile Sicherheit
Genehmigte Software für
BYOD
MOS
-04
Wird in Ihrer BYOD-Richtlinie und der
entsprechenden Schulung eindeutig
angegeben, welche Anwendungen und
App Stores zur Verwendung auf BYODGeräten genehmigt sind?
Mobile Sicherheit
Sensibilisierung und
Schulung
MOS
-05
Ist in Ihrer Mitarbeiterschulung eine
Richtlinie für mobile Geräte
dokumentiert, die die mobilen Geräten
und die akzeptierte Verwendung und
entsprechenden Anforderungen für
mobile Geräte eindeutig festlegt?
Mobile Sicherheit
Cloud-basierte Services
MOS
-06
Haben Sie eine Liste der vorab
genehmigten Cloud-basierten Services
dokumentiert, die zur Verwendung und
zum Speichern von Geschäftsdaten des
Unternehmens über ein mobiles Gerät
verwendet werden dürfen?
Mobile Sicherheit
Kompatibilität
MOS
-07
Haben Sie einen
Anwendungsvalidierungsprozess zum
Testen von Kompatibilitätsproblemen
in Verbindung mit Geräten,
Betriebssystemen und Anwendungen
dokumentiert?
Mobile Sicherheit
Geräteberechtigung
MOS
-08
Verfügen Sie über eine BYODRichtlinie, die die für die BYODVerwendung zulässigen Geräte und
Berechtigungsanforderungen
definieren?
Mobile Sicherheit
Gerätebestand
MOS
-09
Führen Sie eine Bestandsliste mit allen
mobilen Geräten, die
Unternehmensdaten speichern und
darauf zugreifen, einschließlich
Gerätestatus (Betriebssystem- und
Patch-Ebene, verloren oder deaktiviert,
Person, der das Gerät zugewiesen ist)?
Mobile Sicherheit
Geräteverwaltung
MOS
-10
Haben Sie eine zentrale Lösung zur
Verwaltung mobiler Geräte auf allen
mobilen Geräten bereitgestellt, die
Unternehmensdaten speichern,
übertragen oder verarbeiten dürfen?
Mobile Sicherheit
Verschlüsselung
MOS
-11
Verlangt Ihre Richtlinie für mobile
Geräte die Verschlüsselung durch
technische Kontrollen für alle mobilen
Geräte entweder für das gesamte Geräte
oder für Daten, die als sensibel
identifiziert wurden?
Seite 59 von 93
Dezember 2015
Antwort von AWS
3 (Recommended Security Controls for Federal
Information Systems) des National Institute of
Standards and Technology (NIST) effektiv integriert.
Kontrollgruppe
Mobile Sicherheit
Jailbreaking und Rooting
CID
MOS
-12.1
Untersagt Ihre Richtlinie für mobile
Geräte die Umgehung integrierter
Sicherheitskontrollen auf mobilen
Geräten (z. B. Jailbreaking oder
Rooting)?
MOS
-12.2
Verfügen Sie auf dem Gerät oder über
ein zentrales Geräteverwaltungssystem
über präventive und nachträglich
aufdeckende Kontrollen, die die
Umgehung integrierter
Sicherheitskontrollen untersagen?
MOS
-13.1
Definiert Ihre BYOD-Richtlinie die
Erwartungen im Hinblick auf
Datenschutz, Anforderungen für
Gerichtsverfahren, E-Discovery und
gesetzliche Aufbewahrungsfristen
eindeutig?
MOS
-13.2
Verfügen Sie auf dem Gerät oder über
ein zentrales Geräteverwaltungssystem
über präventive und nachträglich
aufdeckende Kontrollen, die die
Umgehung integrierter
Sicherheitskontrollen untersagen?
Mobile Sicherheit
Sperrbildschirm
MOS
-14
Ist ein automatischer Sperrbildschirm
für BYOD- und unternehmenseigene
Geräte erforderlich und wird dieser
über technische Kontrollen
durchgesetzt?
Mobile Sicherheit
Betriebssysteme
MOS
-15
Verwalten Sie alle Änderungen an den
Betriebssystemen, Patch-Ebenen und
Anwendungen der mobilen Geräte über
die Änderungsverwaltungsprozesses
Ihres Unternehmens?
Mobile Security
Passwörter
MOS
-16.1
Verfügen Sie über Passwortrichtlinien
für vom Unternehmen ausgegebene
mobile Geräte und/oder mobile BYODGeräte?
MOS
-16.2
Werden Ihre Passwortrichtlinien durch
technische Kontrollen (d. h. MDM)
durchgesetzt?
MOS
-16.3
Untersagen Ihre Passwortrichtlinien die
Änderung der
Authentifizierungsanforderungen (d. h.
Passwort/PIN-Länge) über ein mobiles
Gerät?
MOS
-17.1
Verfügen Sie über eine Richtlinie, die
verlangt, dass BYOD-Benutzer
Sicherungen von bestimmten
Unternehmensdaten vornehmen?
MOS
-17.2
verlangt, dass BYOD-Benutzer die
Verwendung nicht genehmigter App
Stores untersagen?
Mobile Security
Gesetzliche Hinweise
Mobile Sicherheit
Richtlinien
Seite 60 von 93
Dezember 2015
Antwort von AWS
Kontrollgruppe
Mobile Sicherheit
Remotezurücksetzung
Mobile Sicherheit
Sicherheits-Patches
Mobile Security
Benutzer
Sicherheitsvorfallmanage
ment, E-Discovery und
Cloud-Forensik
Kontakt mit Behörden
Cloud-Forensik
Vorfallmanagement
Seite 61 von 93
CID
MOS
-17.3
verlangt, dass BYOD-Benutzer
Antimalwaresoftware (sofern sie
unterstützt wird) verwenden?
MOS
-18.1
Stellt Ihre IT-Abteilung
Remotezurücksetzung oder
Zurücksetzung von
Unternehmensdaten für alle vom
Unternehmen akzeptierten BYODGeräte bereit?
MOS
-18.2
Stellt Ihre IT-Abteilung
Remotezurücksetzung oder
Zurücksetzung von
Unternehmensdaten für alle vom
Unternehmen zugewiesenen mobilen
Geräte bereit?
MOS
-19.1
Sind auf Ihren mobilen Geräten nach
allgemeiner Veröffentlichung durch den
Gerätehersteller oder Anbieter die
aktuellen Sicherheits-Patches
installiert?
MOS
-19.2
Ist auf Ihren mobilen Geräte eine
Remote-Validierung zum
Herunterladen der aktuellen
Sicherheits-Patches durch die ITMitarbeiter des Unternehmens zulä
ssig?
MOS
-20.1
Sind in Ihrer BYOD-Richtlinie die
Systeme und Server eindeutig
angegeben, die für die Verwendung
oder den Zugriff auf BYOD-fähigen
Geräten zulässig sind?
MOS
-20.2
Gibt Ihre BYOD-Richtlinie die
Benutzerrollen an, denen der Zugriff
über ein BYOD-fä
higes Gerä
t erlaubt ist?
SEF01.1
Pflegen Sie gemäßVerträgen und
geltenden Vorschriften Kontakte mit
lokalen Behörden?
SEF02.1
Gibt es einen dokumentierten Plan für
die Reaktion auf Sicherheitsvorfälle?
SEF02.2
Integrieren Sie besondere
Anforderungen von Mandanten in Ihre
Pläne für die Reaktion auf
Sicherheitsvorfälle?
SEF02.3
Veröffentlichen Sie ein Dokument zu
Rollen und Zuständigkeiten, in denen
angegeben wird, wofür Sie bzw. Ihre
Mandanten bei Sicherheitsvorfällen
zuständig sind?
Dezember 2015
Antwort von AWS
AWS pflegt gemäßder Norm DIN ISO/IEC 27001
Kontakte mit Branchengremien,
Risikomanagement- und ComplianceOrganisationen, lokalen Behörden und
Regulierungsgremien.
Der AWS-Vorfallreaktionsprogramm sowie dessen
Prozesse und Verfahren stehen im Einklang mit der
Norm ISO 27001. AWS wurde von einem
Die AWS SOC-Berichte enthalten Details zu den
durchgeführt werden. Für alle von AWS im Auftrag
von Kunden gespeicherten Daten gibt es strenge
Sicherheits- und Kontrollfunktionen zum
Gewä
hrleisten der strikten Trennung von Kundendate
Kontrollgruppe
Dezember 2015
CID
SEF02.4
Haben Sie Ihre Pläne für die Reaktion
auf Sicherheitsvorfälle im letzten Jahr
getestet?
SEF03.1
Sorgt Ihr System für das Management
von Informationen zu Sicherheit und
Ereignissen für eine Zusammenführung
von Datenquellen (Protokolle zu
Anwendungen, Firewalls,
Eindringversuchen, physischem Zugang
usw.) zum Ermöglichen einer präzisen
Analyse und von
Warnbenachrichtigungen?
SEF03.2
Lässt Ihr Rahmenwerk für
Protokollierung und Überwachung eine
Isolierung eines Vorfalls auf bestimmte
Mandanten zu?
SEF04.1
Entspricht Ihr Vorfallreaktionsplan den
Branchenstandards für rechtlich
zulässige Prozesse und
Kontrollmaßnahmen für das
Management von Kontrollketten?
SEF04.2
Sehen Ihre Möglichkeiten zur
Vorfallreaktion den Einsatz rechtlich
zulässiger Methoden für die forensische
Datenerfassung und -analyse vor?
SEF04.3
Können Sie für ein
Beweissicherungsverfahren Daten eines
bestimmten Mandanten ab einem
bestimmten Zeitpunkt einfrieren, ohne
dass Daten anderer Mandanten
eingefroren werden?
SEF04.4
Erzwingen und bescheinigen Sie die
Trennung von Mandantendaten, wenn
Daten als Reaktion auf gerichtliche
Vorladungen vorgelegt werden sollen?
Cloud-Forensik
Vorfallreaktionsmetriken
SEF05.1
Überwachen und quantifizieren Sie Typ,
Umfang und Auswirkung aller Vorfälle
bezüglich der Informationssicherheit?
SEF05.2
Geben Sie Ihren Mandanten auf Antrag
statistische Informationen zu
Sicherheitsvorfällen bekannt?
Supply-ChainManagement,
Transparenz und
Verantwortlichkeit
Datenqualität und
Datenintegrität
STA01.1
Ermitteln und begründen Sie
Datenqualitätsfehler und die damit
verbundenen Risiken, und arbeiten Sie
zusammen mit Ihren Partnern der
Cloud-Supply-Chain daran, solche
Fehler zu korrigieren?
Kunden bleiben Besitzer Ihrer Daten und sind für
deren Kontrolle und Qualität verantwortlich sowie
für potenzielle Qualitätsfehler, die durch die
Verwendung von AWS-Services entstehen können.
STA01.2
Entwerfen und implementieren sie
Kontrollen, um Datensicherheitsrisiken
zu mildern und einzugrenzen – durch
eine angemessene Trennung der
Aufgaben, rollenbasierten Zugriff und
geringstmöglichen Zugriffsrechte für
alle Mitarbeiter innerhalb Ihrer Supply
Chain?
Spezielle Details in Bezug auf die Datenintegrität
und die Zugriffsverwaltung (einschließlich des
Prinzips der geringstmöglichen Zugriffsrechte)
finden Sie im AWS SOC-Bericht.
Cloud-Forensik
Erstellung von
Vorfallberichten
Cloud-Forensik
Vorfallreaktion – Rechtliche
Vorbereitung
Seite 62 von 93
Antwort von AWS
Weitere Informationen finden Sie im „AWS CloudSicherheits-Whitepaper“ unter
Die Sicherheitsmetriken von AWS werden gemäß
der Norm ISO 27001 überwacht und analysiert. In
der Norm ISO 27001 finden Sie in Anhang A,
Abschnitt 16 weitere Details. AWS wurde von einem
Kontrollgruppe
Transparenz und
Verantwortlichkeit
Vorfallsberichte
Dezember 2015
CID
Antwort von AWS
STA02.1
Stellen Sie Informationen über
Sicherheitsvorfälle allen betroffenen
Kunden und Anbietern in regelmäßigen
Abständen durch elektronische
Verfahren (z. B. über Portale) zur
Verfügung?
Der AWS-Vorfallreaktionsprogramm sowie dessen
Prozesse und Verfahren stehen im Einklang mit der
Norm ISO 27001. Die AWS SOC-Berichte enthalten
Details zu den spezifischen Kontrollmaßnahmen, die
von AWS durchgeführt werden.
Weitere Details finden Sie im „AWS CloudSicherheits-Whitepaper“ unter
Transparenz und
Verantwortlichkeit
Netzwerk/InfrastrukturServices
STA03.1
Sammeln Sie Kapazitäts- und
Nutzungsdaten zu allen relevanten
Komponenten Ihres Cloud-ServiceAngebots?
STA03.2
Stellen Sie Mandanten Berichte zur
Kapazitätsplanung und -nutzung zur
Verfügung?
Transparenz und
Verantwortlichkeit
Interne Bewertungen beim
Provider
STA04.1
Führen Sie jährliche interne
Bewertungen der Konformität und
Wirksamkeit Ihrer Richtlinien,
Verfahren und unterstützenden
Maßnahmen und Kennzahlen durch?
Das AWS-Team für Beschaffung pflegt Beziehungen
mit allen AWS-Lieferanten in der Lieferkette.
Transparenz und
Verantwortlichkeit
Vereinbarungen mit
Drittanbietern
STA05.1
Werden Vertragspartner für
ausgelagerte Leistungen in
Übereinstimmung mit den Gesetzen des
Landes ausgewählt und überwacht, in
dem die Daten verarbeitet, gespeichert
und übertragen werden?
STA05.2
Werden Vertragspartner für
ausgelagerte Leistungen in
Übereinstimmung mit den Gesetzen des
Landes ausgewählt und überwacht, aus
dem die Daten stammen?
STA05.3
Überprüft der Rechtsbeistand sämtliche
Verträge mit Drittanbietern?
STA05.4
Beinhalten Verträge mit Drittanbietern
Vorkehrungen für die Sicherheit und
den Schutz von Informationen und
Vermögenswerten?
Sicherheitsanforderungen für das Personal von
Drittanbietern, die an AWS-Systemen und -Geräten
arbeiten, werden in einer beidseitigen
Vertraulichkeitsvereinbarung zwischen der
Muttergesellschaft von AWS (Amazon.com) und
dem jeweiligen Drittanbieter festgelegt. Der
Rechtsbeistand von Amazon und das AWSBeschaffungsteam definieren die
Sicherheitsanforderungen von AWS für die
Mitarbeiter von Drittanbietern in vertraglichen
Vereinbarungen mit dem Drittanbieter. Sämtliche
Personen, die mit AWS-Informationen arbeiten,
müssen mindestens den Prüfungsprozess für die
Hintergrundüberprüfungen vor der Einstellung
durchlaufen und eine Geheimhaltungsvereinbarung
unterzeichnen, bevor sie Zugriff auf AWSInformationen erhalten.
Transparenz und
Verantwortlichkeit
Überprüfungen der
Lieferketten-Governance
Seite 63 von 93
STA05.5
Stellen Sie dem Client eine Liste und
Kopien aller Vereinbarungen mit
Subunternehmern zur Verfügung und
aktualisieren Sie diese Liste laufend?
STA06.1
Überprüfen Sie das Risikomanagement
und die Governance-Prozesse der
Partner im Hinblick auf Risiken, die
möglicherweise von andere Mitgliedern
der Lieferkette dieses Partners
übernommen werden?
AWS verwaltet Kapazitäts- und Nutzungsdaten in
Übereinstimmung mit der Norm ISO 27001. AWS
wurde von einem unabhängigen Prüfer geprüft und
hat als Nachweis der Befolgung der Norm ISO 27001
eine entsprechende Zertifizierung erhalten.
Weitere Details finden Sie in der Norm ISO 27001 in
Anhang A, Abschnitt 8. AWS wurde von einem
AWS lagert die Entwicklung von Software generell
nicht an Subunternehmer aus.
AWS unterhält förmliche Vereinbarungen mit den
wichtigsten Drittanbieterlieferanten und
implementiert entsprechende
Beziehungsmanagement-Mechanismen, die den
geschäftlichen Beziehungen mit diesen Lieferanten
entsprechen. Die Prozesse von AWS zur Verwaltung
von Drittanbietern werden regelmäßig von
unabhängigen Prüfern auf Erfüllung der
Anforderungen von SOC und ISO 72001 geprüft.
Kontrollgruppe
Transparenz und
Verantwortlichkeit
Kennzahlen für die
Lieferkette
Transparenz und
Verantwortlichkeit
Bewertung von
Drittanbietern
Transparenz und
Verantwortlichkeit
Überprüfung durch
Drittanbieter
Bedrohungs- und
Antivirusprogramme/
Schädliche Software
Seite 64 von 93
CID
STA07.1
etabliert sowie unterstützende
Geschäftsprozesse und technische
Maßnahmen implementiert, die zur
Aufrechterhaltung vollständiger,
genauer und relevanter Vereinbarungen
(z. B. SLAs) zwischen Anbietern und
Kunden (Mandanten) dienen?
STA07.2
Haben Sie die Möglichkeit, die
Nichtkonformität von Bestimmungen
und/oder Bedingungen in der gesamten
Lieferkette (Upstream/Downstream) zu
messen und zu behandeln?
STA07.3
Können Sie Service-Level-Konflikte
oder Widersprüche verwalten, die aus
unterschiedlichen
Lieferantenbeziehungen resultieren?
STA07.4
Überprüfen und aktualisieren Sie alle
Vereinbarungen, Richtlinien und
Prozesse mindestens einmal pro Jahr?
STA08.1
Gewährleisten Sie eine angemessene
Informationssicherheit in Ihrer
Informationslieferkette durch eine
jährliche Überprüfung?
STA8.2
Enthält Ihr Jahresbericht alle
Partner/Drittanbieter, von denen Ihre
Informationslieferkette abhängt?
STA09.1
Erlauben Sie Mandanten unabhängige
Überprüfungen auf Schwachstellen?
STA09.2
Beauftragen Sie externe Unternehmen
mit Untersuchungen auf
Schwachstellen und regelmäßigen
Penetrationstests Ihrer Anwendungen
und Netzwerke?
TVM01.1
Ist auf allen Systemen, die Ihre CloudService-Angebote unterstützen, AntiSchadsoftware installiert?
Dezember 2015
Antwort von AWS
Kunden können die Berechtigung zur Durchführung
von Untersuchungen der eigenen CloudInfrastruktur beantragen, sofern sich diese
Untersuchungen auf die Instances des Kunden
beschränken und nicht gegen die Richtlinien zur
angemessenen Nutzung von AWS verstoßen. Eine
erweiterte Genehmigung für solche Untersuchungen
kann mit dem Formular AWS
Vulnerability/Penetration Testing beantragt werden.
Das AWS-Sicherheitsteam beauftragt regelmäßig
unabhängige Sicherheitsexperten mit der
Durchführung externer Überprüfungen auf
Schwachstellen. Die AWS SOC-Berichte enthalten
zusätzliche Details zu den spezifischen
Kontrollmaßnahmen, die von AWS durchgeführt
werden.
Verfahren in Bezug auf Antiviren-/AntiSchadsoftware sind in Einklang mit der Norm ISO
27001. Weitere Details finden Sie in den SOCBerichten von AWS.
Kontrollgruppe
Bedrohungs- und
Schwachstellen- und
Patch-Management
Bedrohungs- und
Code für Mobilgeräte
Seite 65 von 93
CID
TVM01.2
Gewährleisten Sie, dass Systeme zur
Erkennung von Sicherheitsrisiken, die
mit Signaturen, Listen oder
Verhaltensmustern arbeiten, für alle
Infrastrukturkomponenten binnen
branchenüblicher Zeitrahmen
aktualisiert werden?
TVM02.1
Führen Sie regelmäßige Überprüfungen
auf Schwachstellen auf Netzwerkebene
gemäßbranchenüblicher Methoden
durch?
TVM02.2
auf Schwachstellen auf
Anwendungsebene gemäß
branchenüblicher Methoden durch?
TVM02.3
auf Schwachstellen auf Ebene des
lokalen Betriebssystems gemäß
branchenüblicher Methoden durch?
TVM02.4
Werden die Ergebnisse der
Überprüfungen auf Schwachstellen
Mandanten auf Antrag vorgelegt?
TVM02.5
Sind Sie in der Lage, Schwachstellen bei
sämtlichen Geräten, Anwendungen und
Systemen schnell mithilfe von Patches
zu schließen?
TVM02.6
Geben Sie auf Antrag Ihren Mandanten
Ihre Zeitrahmen für das
risikoabhängige Beheben von
Schwachstellen bekannt?
TVM03.1
Wird der Code für Mobilgeräte vor
seiner Installation und Nutzung
autorisiert und die Codekonfiguration
überprüft, um sicherzustellen, dass der
für Mobilgeräte autorisierte Code
gemäßeiner unmissverständlich
definierten Sicherheitsrichtlinie
arbeitet?
TVM03.2
Wird die Ausführung von nicht
autorisiertem Code für Mobilgeräte
verhindert?
Dezember 2015
Antwort von AWS
Weitere Details finden Sie in der Norm ISO 27001 in
Anhang A, Abschnitt 12. AWS wurde von einem
Kunden obliegt die Kontrolle ihrer eigenen
Gastbetriebssysteme, Software und Anwendungen,
weshalb sie für Überprüfungen auf Schwachstellen
und das Einspielen von Patches in ihre eigenen
Systeme selbst verantwortlich sind. Kunden können
die Berechtigung zur Durchführung von
Untersuchungen der eigenen Cloud-Infrastruktur
beantragen, sofern sich diese Untersuchungen auf
die Instances des Kunden beschränken und nicht
gegen die Richtlinien zur angemessenen Nutzung
von AWS verstoßen. In regelmäßigen Abstä
nden
untersucht das Sicherheitsteam von AWS alle mit
dem Internet verbundenen IP-Adressen von ServiceEndpunkten auf Schwachstellen ab. Das AWSSicherheitsteam benachrichtigt die betroffenen
Parteien, damit diese erkannte Schwachstellen
beheben können. Die internen Wartungs- und
System-Patching-Vorgänge bei AWS haben in der
Regel keine Auswirkungen auf Kunden.
Weitere Details finden Sie im Whitepaper „AWS
Cloud-Sicherheit“ unter
http://aws.amazon.com/security. Weitere Details
finden Sie in der Norm ISO 27001 in Anhang A,
Abschnitt 12. AWS wurde von einem unabhängigen
Prüfer geprüft und hat als Nachweis der Befolgung
der Norm ISO 27001 eine entsprechende
AWS erlaubt Kunden die Verwaltung von Clientund mobilen Anwendungen entsprechend ihren
Anforderungen.
Dezember 2015
Anhang B: AWS-Übereinstimmung mit den Sicherheitsüberlegungen zum Cloud Computing (Cloud Computing Security
Considerations) des Australian Signals Directorate (ASD)
Die Sicherheitsüberlegungen zum Cloud Computing wurden erstellt, um Behörden bei der Risikobewertung für
Services zu unterstützen, die von Cloud Service-Anbietern angeboten werden. Im Folgenden finden Sie die
AWS-Ausrichtung auf die Sicherheitsüberlegungen zum Cloud Computing, die im September 2012
veröffentlicht wurden. Weitere Details finden Sie unter:
http://www.asd.gov.au/publications/csocprotect/Cloud_Computing_Security_Considerations.pdf
Schlüsselbereich
Pflege der
Verfügbarkeit
und
Geschäftsfunk
tionalitä
t
Fragen
ANTWORT von AWS
a. Geschäftliche Bedeutung
von Daten oder
Funktionalitä
t. Verschiebe
ich geschäftlich wichtige
Daten oder
Funktionalitä
ten in die
Cloud?
b. Geschäftskontinuität
und
Notfallwiederherstellungsp
lan des Anbieters. Kann ich
eine Kopie des
Geschäftskontinuitäts- und
lans des Anbieters genau
überprüfen, die die
Verfügbarkeit und
Wiederherstellung sowohl
meiner Daten als auch der
von mir verwendeten
Services des Anbieters
abdecken? Wie lange
dauert es, meine Daten
und die von mir
verwendeten Services nach
einem Notfall
wiederherzustellen, und
haben andere Kunden des
Anbieters, die größer sind
und mehr zahlen, Vorrang
vor mir?
Kunden sind für die Klassifikation und die Verwendung ihrer Inhalte
verantwortlich.
AWS bietet den Kunden ein Höchstmaßan Flexibilitä
t. Es stehen ihnen
mehrere geografische Regionen und mehrere Availability Zones innerhalb
jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten
zu speichern. Jede dieser Availability Zones ist als unabhängige
Ausfallzone angelegt. Bei einem Funktionsausfall wird der
Kundendatenverkehr von dem vom Ausfall betroffenen Bereich zu einem
anderen umgeleitet.
Weitere Details finden Sie im SOC 1 Type 2-Bericht von AWS. Außerdem
enthä
lt ISO 27001, Anhang A, Abschnitt 11.2 zusätzliche Informationen.
AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis
der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung
erhalten.
Kunden nutzen AWS für eine schnellere Notfallwiederherstellung ihrer
kritischen IT-Systeme, ohne die Infrastrukturkosten eines zweiten
physischen Standorts tragen zu müssen. Die AWS-Cloud unterstützt viele
gängige Architekturen für die Notfallwiederherstellung. Das reicht von
Umgebungen, die umgehend skaliert werden können
(„Zündflammenprinzip“), bis zu sofort einsatzbereiten StandbyUmgebungen, die ein schnelles Failover ermöglichen. Weitere
Informationen zur Notfallwiederherstellung durch AWS finden Sie unter
https://aws.amazon.com/disaster-recovery/.
Mit AWS können Kunden einen zuverlässigen Kontinuitätsplan
implementieren, der häufige Server-Instance-Backups, DatenredundanzReplikation und Bereitstellungsarchitekturen für mehrere Regionen bzw.
Availability Zones umfasst. AWS bietet den Kunden ein Höchstmaßan
Flexibilität. Es stehen ihnen mehrere geografische Regionen und mehrere
Availability Zones innerhalb jeder dieser Regionen zur Verfügung, um
Instances anzulegen und Daten zu speichern. Jede dieser Availability
Zones ist als unabhä
ngige Ausfallzone angelegt. Bei einem
Funktionsausfall wird der Kundendatenverkehr von dem vom Ausfall
betroffenen Bereich zu einem anderen umgeleitet.
Seite 66 von 93
Schlüsselbereich
Fragen
Dezember 2015
ANTWORT von AWS
AWS-Rechenzentren verfügen über physischen Schutz gegen
Umweltrisiken. Der physische Schutz von AWS gegen Umweltrisiken
wurde von einem unabhä
ngigen Prüfer bestätigt und als in
Übereinstimmung mit bewährten Methoden gemä
ßISO 27002 zertifiziert.
Weitere Details finden Sie in der Norm ISO 27001 im Anhang A, Abschnitt
9.1 und im SOC 1 Type II-Bericht von AWS.
c. Sicherungsplan für
meine Daten. Muss ich
zusätzliches Geld
ausgeben, um eine aktuelle
Sicherungskopie meiner
Daten zu pflegen, die sich
entweder am Standort
meiner Agentur befindet
oder bei einem zweiten
Anbieter gespeichert ist,
bei dem mögliche
Fehlerquellen des ersten
Anbieters nicht gegeben
sind?
Kontrolle und Besitz der eigenen Inhalte verbleiben bei den AWS-Kunden,
weshalb sie für das Verwalten der Datensicherungsplä
ne zustä
ndig sind.
AWS ermöglicht es Kunden, ihren AWS-Datenspeicher je nach Bedarf zum
Speichern oder Abrufen von Daten zu nutzen. Der AWS Import/ExportService für S3 beschleunigt das Verschieben großer Datenmengen in und
aus AWS mithilfe tragbarer Speichergeräte für den Transport. AWS
erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren
eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings
keinen Bandsicherungsservice an. Der Amazon S3-Service ist mit einer
Wahrscheinlichkeit von Datenverlusten auf nahezu 0 % ausgelegt. Die
Beständigkeit von Datenobjektkopien an mehreren Standorten wird
mittels redundanter Datenspeicherung erreicht. Weitere Informationen
über die Beständigkeit und Redundanz von Daten finden Sie auf der AWSWebsite.
AWS bietet eine Reihe von Cloud Computing-Services für
Notfallwiederherstellungen an. Weitere Informationen über
Notfallwiederherstellung finden Sie unter
https://aws.amazon.com/disaster-recovery/.
Seite 67 von 93
Schlüsselbereich
Dezember 2015
Fragen
ANTWORT von AWS
d. Mein
Geschäftskontinuitäts- und
lan. Muss ich zusätzliches
Geld ausgeben, um meine
Daten oder
Geschäftsfunktionalität bei
einem zweiten Anbieter zu
replizieren, der ein anderes
Rechenzentrum verwendet
und idealerweise keine
gemeinsamen
Problemstellen mit dem
ersten Anbieter hat? Diese
Replikation sollte
vorzugsweise auf ein
automatisches „Failover“
konfiguriert sein, damit die
Kontrolle automatisch und
problemlos auf den
zweiten Anbieter übergeht,
falls der Service des ersten
Anbieters nicht verfügbar
ist.
Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden.
Kunden können ihre AMIs exportieren und diese lokal oder bei einem
anderen Anbieter nutzen (wofür ggf. Softwarelizenzeinschränkungen
gelten). Weitere Details finden Sie im „AWS Cloud-SicherheitsWhitepaper“ unter http://aws.amazon.com/security.
Transport. AWS erlaubt Kunden das Anlegen eigener Sicherungen auf
Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS
bietet allerdings keinen Bandsicherungsservice an.
AWS-Rechenzentren werden gruppenweise in verschiedenen Regionen
der Welt errichtet. Alle Rechenzentren sind online und bedienen Kunden;
kein Rechenzentrum ist abgeschaltet. Bei einem Ausfall verschieben
automatische Prozesse den Kundendatenverkehr weg von den betroffenen
Bereichen. Für wichtige Anwendungen gilt die N+1-Konfiguration. Kommt
es in einem Rechenzentrum zu einem Funktionsausfall, stehen genügend
Kapazitäten zur Verfügung, damit der Datenverkehr auf die verbleibenden
Standorte aufgeteilt werden kann. AWS bietet den Kunden ein Höchstmaß
an Flexibilität. Es stehen ihnen mehrere geografische Regionen und
mehrere Availability Zones innerhalb jeder dieser Regionen zur
Verfügung, um Instances anzulegen und Daten zu speichern. Jede dieser
Availability Zones ist als unabhä
ngige Ausfallzone angelegt. Das bedeutet,
dass Availability Zones physisch in einer gewöhnlichen Metropolregion
voneinander getrennt sind und sich in verschiedenen Risikozonen
befinden (die Kategorisierung der Risikozonen unterscheidet sich je nach
der Region). Neben einer separaten unterbrechungsfreien
Stromversorgung (USV) und Notstromeinrichtungen vor Ort werden die
Zonen jeweils über unterschiedliche Versorgungsnetze unabhängiger
Energieversorger mit Strom versorgt, um das Risiko von „Single Points of
Failure“ weiter zu reduzieren. Sie sind alle redundant mit mehreren
Energieversorgern der Stufe 1 verbunden. Kunden sollten ihre AWSNutzung so gestalten, dass mehrere Regionen und Availability Zones
genutzt werden. Durch das Verteilen von Anwendungen über mehrere
Availability Zones bleibt die Architektur angesichts der meisten
Fehlermodi stabil, einschließlich Naturkatastrophen oder
Systemausfällen.
Weitere Details finden Sie im AWS-SOC 1-Typ II-Bericht. Außerdem
enthä
lt ISO 27001, Anhang A, Abschnitt 11.2 zusätzliche Informationen.
erhalten.
Seite 68 von 93
Schlüsselbereich
Dezember 2015
Fragen
ANTWORT von AWS
e. Meine private
Netzwerkverbindung zur
Cloud. Ist die
Netzwerkverbindung
zwischen den Benutzern
meiner Agentur und dem
Netzwerk meines Anbieters
hinsichtlich Verfügbarkeit,
Datendurchsatz
(Bandbreite),
Verzögerungen (Latenz)
und Paketverlust geeignet?
Kunden können auch ihren Netzwerkpfad zu den AWS-Einrichtungen
auswählen, z. B. mehrere VPN-Endpunkte für die einzelnen AWSRegionen. Zudem ist es mit AWS Direct Connect einfach, eine dedizierte
Netzwerkverbindung zwischen Ihrem Standort und AWS herzustellen. Mit
AWS Direct Connect können Sie eine private Verbindung zwischen AWS
und Ihrem Rechenzentrum, Ihrer Niederlassung oder Ihrer ColocationUmgebung herstellen, wodurch Sie in vielen Fällen die Netzwerkkosten
senken, die Bandbreiten bzw. den Durchsatz erhöhen und eine
konsistentere Netzwerkumgebung als mit internetbasierten Verbindungen
herstellen können.
f. Verfügbarkeitsgarantie
des Anbieters. Garantiert
das Service Level
Agreement (SLA
), dass der Anbieter
passende
Systemverfügbarkeit und
Servicequalität
mithilfe robuster
Systemarchitektur und
Geschäftsprozessen bietet?
Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter
In seinen Service Level Agreements (SLAs) verpflichtet sich AWS zu hohen
Verfügbarkeitsgraden. Für Amazon EC2 verpflichtet sich AWS
beispielsweise zu einer Betriebszeit von 99,95 % im Jahr der
Serviceleistung. Amazon S3 verpflichtet sich zu einer monatlichen
Verfügbarkeit von mindestens 99,99 %. Sollten diese Verfügbarkeitszeiten
nicht eingehalten werden, erfolgen Servicegutschriften.
Kunden sollten ihre AWS-Nutzung so gestalten, dass mehrere Regionen
und Availability Zones genutzt werden. Durch das Verteilen von
Anwendungen über mehrere Availability Zones bleibt die Architektur
angesichts der meisten Fehlerszenarien stabil, einschließlich
Naturkatastrophen oder Systemausfällen.
AWS verwendet automatisierte Kontrollsysteme, um ein hohes Maßan
Leistung und Verfügbarkeit der Services sicherzustellen. Sowohl für den
internen als auch für den externen Gebrauch steht eine Reihe von OnlineTools für die dynamische Überwachung zur Verfügung. Die Systeme
innerhalb von AWS sind umfassend ausgestattet, um wichtige
Betriebsmetriken überwachen zu können. Alarmsignale werden
konfiguriert, damit das Betriebspersonal und die Geschäftsleitung
benachrichtigt werden, wenn für die wichtigsten Betriebsgrößen die
Frühwarnschwellen aktiviert sind. Es wurde ein Rufbereitschaftsdienst
eingerichtet, sodass das Personal stets erreichbar ist, um auf
Betriebsprobleme zu reagieren. Ein Funkrufempfängersystem garantiert,
dass Alarme schnell und zuverlässig an das Betriebspersonal übermittelt
werden.
g. Auswirkungen von
Ausfällen. Kann ich die
maximal mögliche
Ausfallzeit der SLA
akzeptieren? Sind die
geplanten Ausfallzeiten
hinsichtlich der Dauer und
der Tageszeit akzeptabel
oder werden geplante
Ausfälle meine wichtigen
Geschäftsprozesse stören?
Seite 69 von 93
Das Netzwerkmanagement von AWS wird regelmä
ßig von unabhä
ngigen
Prüfern auf Erfüllung der Anforderungen von SOC, PCI DSS, ISO 27001
und FedRAMPsm geprüft.
AWS muss Systeme für regelmä
ßige Wartungs- und System-PatchAufgaben nicht offline schalten. Die internen Wartungs- und SystemPatching-Vorgänge bei AWS haben in der Regel keine Auswirkungen auf
Kunden. Die Wartung der Instances selbst ist Aufgabe des Kunden.
Schlüsselbereich
Dezember 2015
Fragen
ANTWORT von AWS
h. In der SLA festgehaltene
geplante Ausfallzeiten.
Sind in der durch die SLA
garantierte
Verfügbarkeitsgarantie
geplante Ausfälle
berücksichtigt?
i. SLA-Erstattung. Wird ein
tatsächlicher Schaden
aufgrund eines Verstoßes
gegen die SLA (z. B. nicht
geplanter Ausfall oder
Datenverlust) adäquat in
der SLA widergespiegelt?
AWS betreibt keine Umgebung mit geplanten Ausfällen, da AWS den
Kunden die Möglichkeit bietet, ihre eigene Umgebung zu gestalten und
dabei mehrere Verfügbarkeitszonen und Regionen zu nutzen.
j. Integritä
t und
Verfügbarkeit von Daten.
Wie implementiert der
Anbieter Mechanismen
wie Redundanz und
standortexterne
Sicherungen, um
Beschädigung oder Verlust
meiner Daten zu
verhindern und sowohl
die Integrität als auch die
Verfügbarkeit meiner
Daten zu gewährleisten?
Die im SOC 1 Type II-Bericht von AWS beschriebenen
Datenintegritätskontrollen sorgen in angemessenem Maßdafür, dass
Datenintegrität in allen Phasen, einschließlich Übertragung, Speicherung
und Verarbeitung, gewährleistet ist.
AWS bietet Kunden bei Verlusten, die sie aufgrund von Ausfällen erleiden,
eine Vergütung gemä
ßder SLA von AWS.
Darüber hinaus finden Sie in der Norm ISO 27001 in Anhang A,
Abschnitt 12.2 weitere Informationen. AWS wurde von einem
unabhä
ngigen Prüfer geprüft und hat als Nachweis der Befolgung der
Norm ISO 27001 eine entsprechende Zertifizierung erhalten.
Rechenzentren wurden in Clustern in verschiedenen Regionen weltweit
errichtet. AWS bietet den Kunden ein Höchstmaßan Flexibilität. Es
stehen ihnen mehrere geografische Regionen und mehrere Availability
Zones innerhalb jeder dieser Regionen zur Verfügung, um Instances
anzulegen und Daten zu speichern. Kunden sollten ihre AWS-Nutzung so
gestalten, dass mehrere Regionen und Availability Zones genutzt werden.
Sie selbst entscheiden, wo Ihre Daten gespeichert werden, indem Sie (für
Amazon S3) eine Region oder (für Amazon EBS) eine Availability Zone
innerhalb einer Region angeben. In Amazon Elastic Block Store (Amazon
EBS) gespeicherte Daten werden redundant an mehreren physischen
Standorten vorgehalten. Dies erfolgt im Rahmen des normalen Betriebs
dieser Services und ohne Zusatzkosten. Amazon EBS-Replikationen
werden jedoch innerhalb derselben Availability Zone und nicht
zonenübergreifend gespeichert.
Amazon S3 bietet eine Speicherinfrastruktur mit hoher Beständigkeit.
Objekte werden auf mehreren Geräten an mehreren Standorten einer
Amazon S3-Region redundant gespeichert. Nach der Speicherung bewahrt
Amazon S3 die Beständigkeit von Objekten durch schnelle Erkennung und
Behebung etwaiger Redundanzverluste. Amazon S3 überprüft außerdem
regelmä
ßig die Integritä
t der gespeicherten Daten anhand von
Prüfsummen. Wenn Datenbeschä
digungen festgestellt werden, erfolgt
eine Reparatur mittels redundanter Daten. In S3 gespeicherte Daten sind
auf eine Beständigkeit von 99,999999999 % und eine Verfügbarkeit von
Objekten von 99,99 % über einen Zeitraum von einem Jahr ausgelegt.
Seite 70 von 93
Schlüsselbereich
Seite 71 von 93
Dezember 2015
Fragen
ANTWORT von AWS
k. Datenwiederherstellung.
Wenn ich eine Datei, EMail oder andere Daten
versehentlich lösche, wie
lange dauert es,
bis meine Daten teilweise
oder vollständig aus einer
Sicherung
wiederhergestellt sind,
und ist die maximal
akzeptable Zeit in der SLA
festgehalten?
l. Skalierbarkeit. Wie viel
Datenverarbeitungsressour
cen hat der Anbieter in
Reserve verfügbar, damit
die Services des Anbieters
kurzfristig skaliert werden
können?
m. Anbieterwechsel. Wenn
ich meine Daten auf meine
Agentur oder zu einem
anderen Anbieter
verschieben möchte oder
wenn der Anbieter
plötzlich insolvent wird
oder das Cloud-Geschäft
auf andere Weise
niederlegt, wie erhalte ich
in einem vom Anbieter
unabhä
ngigen Format
Zugriff auf meine Daten,
um zu vermeiden, auf
diesen Anbieter beschrä
nkt
zu sein? Wie kooperativ
wird sich der Anbieter
verhalten? Wie stelle ich
sicher, dass meine Daten
dauerhaft vom
Speichermedium des
Anbieters gelöscht werden?
Welchen Standard
verwendet der Anbieter für
Platform-as-a-Service, mit
dem die Portabilität und
Kompatibilitä
t vereinfacht
werden, sodass meine
Anwendung einfach zu
einem anderen Anbieter
oder in meine Agentur
verschoben werden kann?
AWS bietet den Kunden ein Höchstmaßan Flexibilitä
t. Es stehen ihnen
mehrere geografische Regionen und mehrere Availability Zones innerhalb
jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten
zu speichern.
Die AWS-Cloud zeichnet sich durch Verteilung, hohe Sicherheit und
Ausfallsicherheit aus und bietet Kunden ein großes Skalierungspotenzial.
Kunden können ihre Bereitstellung vergrößern oder verkleinern und
zahlen stets nur, was sie nutzen.
Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden.
Kunden können ihre AMIs exportieren und diese lokal oder bei einem
anderen Anbieter nutzen (wofür ggf. Softwarelizenzeinschränkungen
gelten). Weitere Details finden Sie im „AWS Cloud-SicherheitsWhitepaper“ unter http://aws.amazon.com/security.
Transport. AWS erlaubt Kunden das Anlegen eigener Sicherungen auf
Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS
bietet allerdings keinen Bandsicherungsservice an.
Schlüsselbereich
Schutz von
Daten vor
unerlaubtem
Zugriff durch
einen Dritten
Dezember 2015
Fragen
ANTWORT von AWS
a. Auswahl an Modellen für
die Cloud-Bereitstellung.
Sollte ich eine potenziell
weniger sichere öffentliche
Cloud, eine
potenziell sicherere
hybride Cloud oder
Community-Cloud oder
eine potenziell
höchst sichere private
Cloud nutzen?
Die Compliance- und Sicherheitsteams von AWS haben ein Framework für
die Informationssicherheit und dazugehörige Richtlinien entwickelt, das
auf dem COBIT-Framework (Control Objectives for Information and
related Technology) basiert. Der Sicherheits-Framework von AWS umfasst
die bewährten Methoden nach ISO 27002 ISO sowie den PCIDatensicherheitsstandard.
Weitere Details finden Sie im AWS-Whitepaper „Risiko und Compliance“
unter http://aws.amazon.com/security. AWS stellt Kunden mit einer
Vertraulichkeitsvereinbarung Drittanbieterbescheinigungen,
Zertifizierungen, einen Service Organization Controls 1 (SOC 1) Type IIBericht und andere relevante Compliance-bezogene Berichte direkt zur
Verfügung.
Amazon Virtual Private Cloud (Amazon VPC) ermöglicht die
Bereitstellung eines logisch isolierten Bereichs der Amazon Web Services
(AWS)-Cloud, in dem Sie AWS-Ressourcen in einem von Ihnen
definierten virtuellen Netzwerk ausführen können. Sie haben die
vollstä
ndige Kontrolle über Ihre virtuelle Netzwerkumgebung, u. a. bei der
Auswahl Ihres eigenen IP-Adressbereichs, dem Erstellen von Subnetzen
und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways. Die
Netzwerkkonfiguration für Ihre Amazon VPC kann auf einfache Weise
angepasst werden. Sie können beispielsweise ein öffentlich zugängliches
Subnetz mit Zugriff auf das Internet für Ihre Webserver einrichten und
Ihre Backend-Systeme, z. B. Datenbanken oder Anwendungsserver, in
einem privaten Subnetz ohne Internetzugang betreiben. Sie können
mehrere Sicherheitsebenen verwenden, einschließlich Sicherheitsgruppen
und Netzwerk-Zugriffssteuerungslisten, um den Zugriff auf Amazon EC2Instances in jedem Subnetz zu steuern.
Darüber hinaus können Sie eine hardwarebasierte Virtual Private Network
(VPN)-Verbindung zwischen Ihrem Unternehmensrechenzentrum und
Ihrer VPC erstellen und so die AWS-Cloud als Erweiterung Ihres
Unternehmensrechenzentrums nutzen.
Seite 72 von 93
Schlüsselbereich
Seite 73 von 93
Dezember 2015
Fragen
ANTWORT von AWS
b. Vertraulichkeit meiner
Daten. Sind meine Daten,
die in der Cloud
gespeichert oder
verarbeitetwerden,
klassifiziert, vertraulich,
privat oder öffentlich
verfügbar, wie
Informationen von meiner
öffentlichen Website? Sind
meine Daten nach der
Aggregation einem
höheren Risiko ausgesetzt
als einzelne
Datenbestä
nde?
Beispielsweise könnte das
Risiko steigen, wenn große
Datenmengen gespeichert
werden, oder die
Speicherung einer Vielfalt
an Daten könnte einen
Identitätsdiebstahl
erleichtern, sofern die
Daten kompromittiert
werden. Sollten Daten
kompromittiert werden,
kann ich dann meine mit
der gebotener Sorgfalt
durchgeführte
Risikoprüfung gegenüber
der Geschäftsleistung,
Regierungsvertretern und
der Öffentlichkeit
nachweisen?
c. Gesetzliche
Verpflichtungen. Welche
Verpflichtungen muss ich
erfüllen, um meine
Daten gemä
ß
unterschiedlicher
Rechtsvorschriften (z. B.
dem Privacy Act, dem
Archives Act und
anderen Gesetzen für einen
bestimmten Datentyp) zu
verwalten und zu
schützen? Verpflichtet
sich der Anbieter
vertraglich dazu, diese
Auflagen einzuhalten, um
sicherzustellen, dass sie für
mich zur Zufriedenheit der
australischen
Regierung eingehalten
werden?
AWS-Kunden behalten die Kontrolle über ihre eigenen Daten und können
zum Erfüllen ihrer Anforderungen ein Programm für die
Datenklassifizierung implementieren.
AWS-Kunden sind weiter dafür zuständig, dass ihre Nutzung von AWS in
Übereinstimmung mit geltenden Gesetzen und Vorschriften erfolgt. AWS
kommuniziert seine Sicherheits- und Kontrollumgebung seinen Kunden
mithilfe von Branchenzertifizierungen und Drittanbieterbescheinigungen
(siehe http://aws.amazon.com/security) und stellt Kunden
Zertifizierungen, Berichte und andere wichtige Dokumentation direkt zur
Verfügung.
AWS hat ein Whitepaper veröffentlich, das die Verwendung von AWS im
Rahmen der australischen Vorgaben zur Berücksichtigung der
Privatsphäre beschreibt. Es ist hier verfügbar.
Schlüsselbereich
Seite 74 von 93
Dezember 2015
Fragen
ANTWORT von AWS
d. Länder mit Zugriff auf
meine Daten. In welchen
Ländern werden meine
Daten gespeichert,
gesichert und verarbeitet?
Durch welche Ländern
werden meine Daten
übertragen? In welchen
Ländern befinden sich
Failover- oder redundante
Rechenzentren? Erhalte
ich im Fall von
Änderungen an diesen
Informationen
eine Benachrichtigung vom
Anbieter?
AWS-Kunden geben an, in welcher AWS-Region sich ihre Inhalte und
Server physisch befinden sollen. Damit können Kunden, die geografische
Anforderungen erfüllen müssen, Umgebungen an einem Standort ihrer
Wahl erstellen. AWS-Kunden in Australien können ihre AWS-Services
exklusiv in der Asien-Pazifik-Region (Sydney) bereitstellen und ihre
Inhalte in Australien speichern. Wenn die Kunden diese Wahl getroffen
haben, werden sich ihre Inhalte in Australien befinden, wenn der Kunden
die Daten nicht verschiebt. Kunden können Inhalt replizieren und in
mehreren Regionen sichern, doch AWS verschiebt oder repliziert
Kundendaten nicht außerhalb der vom Kunden gewä
hlten Region oder
Regionen.
AWS behandelt die Sicherheit der Kunden mit größter Vorsicht und
veröffentlicht oder verschiebt keine Daten auf Anfrage der australischen,
US-amerikanischen oder anderer Regierungen, wenn dies nicht gesetzlich
erforderlich ist und ein gesetzlicher oder rechtlich bindender Auftrag wie
z. B. eine Vorladung oder ein Gerichtsbeschluss erfüllt werden muss oder
dies aufgrund von geltendem Recht anderweitig erforderlich ist.
Behörden, die nicht der US-Regierung unterstehen, oder andere
Aufsichtsbehörden müssen in der Regel international anerkannte
Verfahren wie bilaterale Rechtshilfeverträge mit der US-Regierung
einhalten, um solche gültigen oder bindenden Aufträge zu erhalten. Wenn
möglich und wenn uns dies nicht per Gesetz verboten ist, benachrichtigen
wir zudem die Kunden, bevor wir ihre Inhalte veröffentlichen, damit sie
versuchen können, von dieser Veröffentlichung befreit zu werden.
Schlüsselbereich
Fragen
ANTWORT von AWS
e.
Datenverschlüsselungstech
nologien. Sind HashAlgorithmen,
Verschlüsselungsalgorithm
en
und Schlüssellängen
gemäßDSD ISM geeignet,
um meine Daten zu
schützen, wä
hrend diese
über
ein Netzwerk übertragen
werden und sowohl auf
den Computern des
Anbieters als auch auf
einem
Sicherungsdatenträger
gespeichert werden? Die
Möglichkeit, Daten zu
verschlüsseln, während sie
von den Computern des
Anbieters verarbeitet
werden, ist immer noch
eine neue
Technologie und wird
derzeit noch in der
Branche und der
Wissenschaft erforscht.
Gilt Datenverschlüsselung
als leistungsfähig genug,
um meine Daten für den
Zeitraum zu schützen, in
dem sie einem Risiko
ausgesetzt sind?
Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich
S3, EBS, SimpleDB und EC2. VPC-Sitzungen sind ebenfalls verschlüsselt.
Amazon S3 bietet Kunden als Option auch die serverseitige
Verschlüsselung an. Kunden können auch Verschlüsselungsmethoden
anderer Anbieter nutzen. AWS erstellt und verwaltet intern
kryptographische Schlüssel für die in der AWS-Infrastruktur erforderliche
Verschlüsselung. AWS erstellt, steuert und verteilt symmetrische
kryptografische Schlüssel mithilfe NIST-zugelassener
Schlüsselverwaltungstechnologie und -prozesse im AWSInformationssystem. Zur Erstellung, zum Schutz und zur Verteilung
symmetrischer Schlüssel wird ein von AWS entwickelter
Verschlüsselungs- und Anmeldungsmanager verwendet. Damit wird
Folgendes gesichert und verteilt: AWS-Anmeldeinformationen, die für
Hosts, öffentliche/private RSA-Schlüssel und X.509-Zertifizierungen
benötigt werden.
f. Medienbereinigung.
Welche Prozesse werden
am Ende seines
Lebenszyklus für die
Bereinigung des
Speichermediums
verwendet, das meine
Daten enthält, und gelten
diese Prozesse gemä
ßDSD
ISM als geeignet?
Seite 75 von 93
Dezember 2015
Die kryptografischen Prozesse von AWS werden regelmäßig von
unabhä
ngigen Prüfern auf Erfüllung der Anforderungen von SOC, PCI
DSS, ISO 27001 und FedRAMPsm geprüft.
Der AWS CloudHSM-Service ermöglicht Ihnen das Schützen Ihrer
Verschlüsselungsschlüssel in HSMs, die gemäßgesetzlichen Standards zur
sicheren Schlüsselverwaltung entwickelt und bestä
tigt wurden. Sie können
die zur Verschlüsselung von Daten verwendeten kryptografischen
Schlüssel sicher so erstellen, speichern und verwalten, dass nur Sie Zugriff
darauf haben. Dank AWS CloudHSM können Sie strenge
Schlüsselverwaltungsanforderungen erfüllen, ohne dafür die
Anwendungsleistung zu opfern.
Der AWS CloudHSM-Service wird mit der Amazon Virtual Private Cloud
(VPC) zusammen eingesetzt. CloudHSMs werden in Ihrer VPC mit einer
von Ihnen angegebenen IP-Adresse bereitgestellt und ermöglichen eine
einfache und private Netzwerkanbindung an Ihre Amazon Elastic
Compute Cloud (EC2)-Instances. Durch Platzieren von CloudHSMs in der
Nähe Ihrer EC2-Instances verkürzen Sie die Netzwerklatenz, wodurch sich
die Anwendungsleistung verbessern kann. AWS bietet einen dedizierten
und exklusiven Zugriff auf CloudHSMs, der von anderen AWS-Kunden
isoliert ist. AWS CloudHSM ist in mehreren Regionen und Availability
Zones (AZs) verfügbar und ermöglicht Ihnen das Hinzufügen eines
sicheren und beständigen Schlüsselspeichers für Ihre Amazon EC2Anwendungen.
Zu den AWS-Prozessen gehört u. a. ein Verfahren für die
Außerbetriebnahme von Speichergerä
ten, die das Ende ihrer
Nutzungsdauer erreicht haben. Bei diesem Verfahren wird sichergestellt,
dass Kundendaten nicht autorisierten Personen nicht preisgegeben
werden. AWS verwendet die in DoD 5220.22-M („National Industrial
Security Program Operating Manual“) oder in NIST 800-88 („Guidelines
for Media Sanitation“) beschriebenen Verfahren, um Daten im Zuge der
Außerbetriebnahme dauerhaft zu löschen. Falls eine
Hardwarekomponente nicht mithilfe dieser Verfahren außer Betrieb
genommen werden kann, wird das Gerä
t entmagnetisiert oder gemäßden
branchenüblichen Verfahren zerstört. Weitere Details finden Sie im „AWS
Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.
Schlüsselbereich
Seite 76 von 93
Dezember 2015
Fragen
ANTWORT von AWS
g. Ferne Verwaltung und
Überwachung des
Anbieters. Überwacht oder
verwaltet
der Anbieter Computer,
auf denen meine Daten
gespeichert oder
verarbeitet werden? Falls
ja, geschieht dies aus der
Ferne in anderen Ländern
oder von Australien aus?
Kann der Anbieter PatchCompliance-Berichte oder
andere Details zur
Sicherheit der
Arbeitsstationen
bereitstellen, die für diese
Arbeit verwendet werden,
und welche Kontrollen
verhindern, dass die
Mitarbeiter des Anbieters
eigene Laptops verwenden,
die nicht vertrauenswürdig
sind?
h. Meine Verwaltung und
Überwachung. Kann ich
meine vorhandenen Tools
für Integritä
tsprüfungen,
ComplianceÜberprüfungen,
Sicherheitsüberwachung
und Netzwerkverwaltung
verwenden, um
Transparenz für alle meine
Systeme zu erlangen,
unabhä
ngig davon, ob die
Systeme lokal vorliegen
oder sich in der Cloud
befinden? Muss ich
weitere, vom Anbieter
bereitgestellte Tools
kennenlernen? Stellt der
Anbieter für mich auch
einen Mechanismus zur
Verfügung, mit dem eine
Überwachung
durchgeführt werden
kann?
Wenn Sie Ihre IT-Infrastruktur in AWS-Services verlagern, entsteht ein
Modell übergreifender Verantwortlichkeit zwischen Kunde und AWS.
Dieses Modell bedeutet für die Kunden eine Erleichterung des Betriebs, da
AWS die Komponenten des Hostbetriebssystems und der
Virtualisierungsebene betreibt, verwaltet und steuert und zudem für die
physische Sicherheit der Standorte sorgt, an denen die Services ausgeführt
werden. Der Kunde übernimmt Verantwortung für das
Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und
Sicherheits-Patches), für andere damit verbundene Anwendungssoftware
sowie für die Konfiguration der von AWS bereitgestellten Firewall für die
Sicherheitsgruppe.
Amazon CloudWatch ermöglicht die Überwachung der AWS-CloudRessourcen und der Anwendungen, die Kunden in AWS ausführen. Unter
aws.amazon.com/cloudwatch finden Sie weitere Details. AWS
veröffentlicht außerdem in seiner Übersicht zum Servicestatus stets
neueste Informationen zur Verfügbarkeit seiner Services. Näheres dazu
unter status.aws.amazon.com.
Der AWS Trusted Advisor untersucht Ihre AWS-Umgebung und gibt
Empfehlungen, wenn Sie Kosten senken, die Systemleistung und
Verlässlichkeit verbessern oder Sicherheitslücken schließen können.
Schlüsselbereich
Seite 77 von 93
Dezember 2015
Fragen
ANTWORT von AWS
i. Rechte an Daten.
Behalte ich das
Eigentumsrecht an meinen
Daten oder gehören sie
dem Anbieter und können
für den Fall, dass der
Anbieter Insolvenz
anmeldet, als Ressourcen
für den Verkauf durch
einen Liquidator
verwendet werden?
j. Gateway-Technologien.
Welche Technologien
verwendet der Anbieter,
um eine sichere GatewayUmgebung zu erstellen?
Beispiele für geeignete
Technologien sind
Firewalls, Filter für den
Datenverkehrsfluss,
Inhaltsfilter sowie ggf.
Virenschutzsoftware und
Datendioden.
Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden. AWS
verwendet den Inhalt der Kunden nur, um die vom Kunden gewählten
AWS-Services für diesen Kunden bereitzustellen. Inhalte von Kunden
werden für keine sekundären Zwecke verwendet. AWS behandelt alle
Kundeninhalte auf die gleiche Weise und hat keinen Einblick in die Art
des Inhalts, den der Kunde in AWS speichert. AWS stellt lediglich die vom
Kunden gewä
hlten Datenverarbeitungs-, Speicher-, Datenbank- und
Netzwerkservices zur Verfügung. Zur Bereitstellung dieser Services muss
AWS nicht auf Kundeninhalte zugreifen.
k. Gateway-Zertifizierung.
Ist die Gateway-Umgebung
des Anbieters für die
staatlichen
Sicherheitsnormen und vorschriften zertifiziert?
AWS erwirbt Branchenzertifizierungen und Bescheinigungen
unabhä
ngiger Dritter unter anderem für die AWS-Gateway-Umgebung.
l. Filterung von E-MailInhalten. Stellt der
Anbieter für E-Mail als
Software-as-a-Service
anpassbare Mechanismen
zum Filtern von Inhalt zur
Verfügung, mit denen die
Richtlinie für E-MailInhalte meiner Agentur
umgesetzt werden kann?
Ein Kunde kann ein System zum Hosten von E-Mail-Funktionen
verwenden. In diesem Fall unterliegt es jedoch der Verantwortung des
Kunden, die entsprechenden Levels zum Schutz vor Spam und
Schadsoftware an den Eintritts- und Austrittspunkten für E-Mails
anzuwenden und Spam- und Schadsoftwaredefinitionen zu aktualisieren,
wenn neue Versionen verfügbar sind.
Das AWS-Netzwerk bietet hohen Schutz vor gängigen
Netzwerksicherheitsproblemen. Zudem können Benutzer weitere
Schutzmaßnahmen implementieren. Weitere Details finden Sie im AWSWhitepaper „Sicherheitsprozesse im Überblick“ unter
Amazon-Gerä
te, z. B. Laptops, sind mit Virenschutzsoftware konfiguriert,
die E-Mail-Filterung und Malware-Erkennung umfasst.
AWS Network Firewall-Management und die Virenschutzsoftware von
Amazon werden regelmä
ßig von unabhä
ngigen Prüfern auf Erfüllung der
Anforderungen von SOC, PCI DSS, ISO 27001 und FedRAMPsm geprüft.
Schlüsselbereich
Seite 78 von 93
Dezember 2015
Fragen
ANTWORT von AWS
m. Richtlinien und
Verfahren zur
Unterstützung der ITSicherheitslage des
Anbieters. Kann ich
genaue
Informationen dazu
erhalten, wie die
Sicherheitslage für
Computer und Netzwerke
meines Anbieters durch
Richtlinien und
Verfahren unterstützt wird,
wie z. B. Gefahren- und
Risikobewertung,
laufendes
und ein
Änderungsmanagementpro
zess, der Sicherheit,
Penetrationstests,
Protokollierung und
regelmä
ßige
Protokollanalyse umfasst?
Kann ich genaue
Informationen erhalten
über die Verwendung von
Sicherheitsprodukten, die
von der australische
Regierung unterstützt
werden, und über die
Einhaltung der
Sicherheitsnormen und vorschriften der
australischen Regierung?
Richtlinien und Verfahren wurden vom AWS-Team für
Informationssicherheit gemäßdem COBIT-Framework, ISO 27001Normen und den PCI DSS-Vorgaben festgelegt.
erhalten. Darüber hinaus veröffentlicht AWS einen SOC 1 Type II-Bericht.
Weitere Details finden Sie im SOC 1-Bericht. Weitere Details finden Sie im
AWS-Whitepaper „Risiko und Compliance“ unter
AWS-Kunden können von AWS verwaltete Schlüsselkontrollen
identifizieren. Schlüsselkontrollen sind für die Kontrollumgebung des
Kunden sehr wichtig und erfordern eine externe Bescheinigung ihrer
Betriebseffektivität, um Compliance-Anforderungen zu erfüllen, z. B. die
jährliche Bilanzprüfung. Zu diesem Zweck veröffentlicht AWS eine
Vielzahl von IT-Kontrollen in seinem Bericht „Service Organization
Controls 1 (SOC 1), Type II“. Der Service Organization Controls 1 (SOC 1)
Type II-Bericht, zuvor Statement on Auditing Standards (SAS) No. 70,
Service Organizations-Bericht und früher SSAE 16-Bericht (Statement on
Standards for Attestation Engagements No. 16 genannt, ist eine
umfassend anerkannte Prüfungsvorschrift des American Institute of
Certified Public Accountants (AICPA). Die SOC 1-Prüfung ist eine
umfassende Untersuchung sowohl des Entwurfs als auch der
Betriebseffektivität der von AWS definierten Kontrollziele und -aktivitäten
(zu der die Kontrollziele und -aktivitäten für den Teil der Infrastruktur
zählen, der von AWS verwaltet wird). „Type II“ bezieht sich auf die
Tatsache, dass alle in dem Bericht beschriebenen Kontrollen vom externen
Prüfer nicht nur auf Angemessenheit des Entwurfs, sondern auch auf
Betriebseffektivität getestet werden. Aufgrund der Unabhängigkeit und
Kompetenz des externen Prüfers von AWS sollten die in dem Bericht
genannten Kontrollen beim Kunden für ein hohes Maßan Vertrauen in die
AWS-Kontrollumgebung sorgen.
Schlüsselbereich
Seite 79 von 93
Dezember 2015
Fragen
ANTWORT von AWS
n. Technologien zur
Unterstützung der ITSicherheitslage des
Anbieters. Kann ich
genaue Informationen
dazu erhalten, wie die
Sicherheitslage für
Computer und Netzwerke
meines Anbieters durch
direkte technische
Kontrollen unterstützt
wird, z. B. die rechtzeitige
Anwendung von
Sicherheits-Patches, die
regelmä
ßige Aktualisierung
von Virenschutzsoftware,
Mechanismen zum Schutz
vor unbekannten
Gefahren, sichere
Betriebssysteme und
Softwareanwendungen, die
mit den strengstmöglichen
Sicherheitseinstellungen
konfiguriert sind, Systeme
zur
Eindringungserkennung
und -verhinderung und
Mechanismen zum Schutz
vor Datenverlust?
AWS stellt Kunden mit einer Vertraulichkeitsvereinbarung
Drittanbieterbescheinigungen, Zertifizierungen, einen Service
Organization Controls 1 (SOC 1) Type II-Bericht und andere relevante
Compliance-bezogene Berichte direkt zur Verfügung.
In regelmäßigen Abstä
nden überprüft das Sicherheitsteam von AWS alle
mit dem Internet verbundenen IP-Adressen von Service-Endpunkten auf
Schwachstellen (Instances von Kunden werden nicht untersucht). Das
AWS-Sicherheitsteam benachrichtigt die betroffenen Parteien, damit diese
erkannte Schwachstellen beheben können. Zusätzlich werden regelmäßig
unabhä
ngige externe Sicherheitsfirmen mit einer
Schwachstellenüberprüfung beauftragt. Die Ergebnisse und
Empfehlungen dieser Überprüfungen werden kategorisiert und an die
Geschäftsleitung von AWS weitergeleitet.
Zusätzlich wird die Kontrollumgebung von AWS regelmäßigen internen
und externen Risikoanalysen unterzogen. AWS beauftragt externe
Zertifizierungsgremien und unabhä
ngige Prüfer mit dem Prüfen und
Testen der gesamten AWS-Kontrollumgebung.
Schlüsselbereich
Seite 80 von 93
Dezember 2015
Fragen
ANTWORT von AWS
o. Audits der ITSicherheitslage des
Anbieters. Kann ich die
Implementierung der
Sicherheitsmaßnahmen
auditieren z. B. durch die
Durchführung von Scans
und anderer
Penetrationstests
der für mich
bereitgestellten
Umgebung? Wenn ein
gerechtfertigter Grund
besteht, warum eine
Überwachung
nicht möglich ist, welcher
namhafte Drittanbieter hat
dann Überwachungen oder
andere
Gefahrenbewertungen
durchgeführt?
Welche Art interner Audits
führt der Anbieter durch
und welche
Einhaltungsstandards und
andere empfohlenen
Praktiken von
Unternehmen wie die
Cloud Security Alliance
(CloudSicherheitsbündnis)
werden für diese
Bewertungen
durchgeführt? Kann ich
eine Kopie der aktuellsten
Berichte einer genauen
Prüfung unterziehen?
p.
Benutzerauthentifizierung.
Welche Identity and Access
Management-Systeme
unterstützt der
Anbieter für die
Benutzeranmeldung bei
Software-as-a-Service?
AWS stellt Kunden mit einer Vertraulichkeitsvereinbarung
Drittanbieterbescheinigungen, Zertifizierungen, einen Service
Organization Controls 1 (SOC 1) Type II-Bericht und andere relevante
Compliance-bezogene Berichte direkt zur Verfügung.
Kunden können die Berechtigung zur Durchführung von Untersuchungen
der eigenen Cloud-Infrastruktur beantragen, sofern sich diese
Untersuchungen auf die Instances des Kunden beschränken und nicht
gegen die Richtlinien zur angemessenen Nutzung von AWS verstoßen.
Eine erweiterte Genehmigung für solche Untersuchungen kann mit dem
Formular „AWS Vulnerability/Penetration Testing“ beantragt werden.
AWS Security beauftragt regelmä
ßig unabhängige Sicherheitsfirmen,
externe Schwachstellen- und Bedrohungsanalysen durchzuführen. Der
AWS SOC 1 Type 2-Bericht bietet weitere Details zu den spezifischen
Kontrollmaßnahmen von AWS.
AWS Identity and Access Management (IAM) ermöglicht es Ihnen, sicher
den Zugriff auf AWS-Services und -Ressourcen für Ihre Benutzer zu
steuern. Mithilfe von IAM können Sie AWS-Benutzer und -Gruppen
anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWSRessourcen zulassen oder verweigern.
AWS unterstützt den Identitätsverbund, mit dem Benutzer einfacher
verwaltet werden können, indem ihre Identitäten an einem einzelnen Ort
gespeichert sind. AWS IAM umfasst die Unterstützung von SAML 2.0
(Security Assertion Markup Language), eines offenen Standards, der von
vielen Identitätsanbietern verwendet wird. Mit dieser neuen Funktion ist
Einmalanmeldung (Single Sign-On, SSO) möglich, das heißt, Benutzer
können sich bei der AWS Management Console anmelden oder
programmgesteuert AWS-APIs aufrufen, indem sie Zusicherungen eines
SAML-kompatiblen Identitätsanbieters (wie Shibboleth oder Windows
Active Directory Federation Services) verwenden.
Schlüsselbereich
Dezember 2015
Fragen
ANTWORT von AWS
q. Zentralisierte
Datenkontrolle. Welche
Benutzerschulungen,
Richtlinien und
technischen
Kontrollen verhindern,
dass die Benutzer meiner
Agentur nicht genehmigte
oder unsichere
Datenverarbeitungsgeräte
ohne
vertrauenswürdige
Betriebsumgebung
verwenden, um
vertrauliche Daten zu
speichern oder zu
verarbeiten, auf die über
Software-as-a-Service
zugegriffen werden kann?
r. Physische
Sicherheitslage des
Anbieters. Verwendet der
Anbieter physische
Sicherheitsprodukte und geräte, die von der
australischen Regierung
unterstützt werden?
Durch welche Maßnahmen
wird im physischen
Rechenzentrum des
Anbieters unbefugte
Nutzung oder Diebstahl
von Servern, Infrastruktur
und Daten verhindert, die
darauf gespeichert sind?
Ist das physische
Rechenzentrum des
Anbieters durch eine
dritte, behördliche Partei
akkreditiert?
–
Die Definition der von AWS definierten logischen und physischen
Kontrollen ist im SOC 1 Type II-Bericht dokumentiert. Dieser Bericht steht
Audit- und Compliance-Teams zur Prüfung zur Verfügung. AWS ISO
27001 und anderen Zertifizierungen sind ebenfalls für Prüfern verfügbar.
Zu den physischen Sicherheitsmaßnahmen zählen u. a. Vorkehrungen wie
Zäune, Mauern, Sicherheitspersonal, Videoüberwachung,
Einbruchmeldeanlagen und andere elektronische Systeme. Der physische
Zugang wird durch professionelles Sicherheitspersonal streng kontrolliert,
sowohl an der Geländegrenze als auch an den Gebäudeeingä
ngen. Dabei
werden unter anderem Videoüberwachung, Einbruchmeldeanlagen und
andere elektronische Vorrichtungen eingesetzt. Autorisierte Mitarbeiter
müssen mindestens zweimal eine Zwei-Faktor-Authentifizierung
durchlaufen, bevor sie die Rechenzentrumsebenen betreten dürfen.
Physische Zugangspunkte zu Serverstandorten werden von CCTVKameras gemäßder AWS Data Center Physical Security Policy
aufgezeichnet. Die Bilder werden 90 Tage aufbewahrt, es sei denn, die
Aufbewahrungsfrist ist durch gesetzliche oder vertragliche
Verpflichtungen auf 30 Tage beschränkt.
AWS gestattet zugelassenen Mitarbeitern und Auftragnehmern, die einen
legitimen geschäftlichen Grund für diese Berechtigung haben, den Zugang
zum Rechenzentrum. Alle Besucher müssen sich ausweisen, werden
registriert und von autorisiertem Personal begleitet.
Der SOC 1 Typ II-Bericht beschreibt bestimmte Kontrollen für den
physischen Zugriff, die Zugangsberechtigung für das Rechenzentrum und
ähnliche Kontrollen.
Weitere Informationen finden Sie in der Norm ISO 27001 im Anhang A,
Abschnitt 9.1 AWS wurde von einem unabhängigen Prüfer geprüft und hat
als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende
Seite 81 von 93
Schlüsselbereich
Schützen von
Daten vor
unbefugtem
Zugriff durch
Kunden des
Anbieters
Fragen
ANTWORT von AWS
s. Software- und
Hardware-Beschaffung.
Welcher
Beschaffungsprozess wird
verwendet, um
sicherzustellen, dass
Software und Hardware für
die Cloud-Infrastruktur
aus einer rechtmäßigen
Quelle stammen und
während der Lieferung
nicht böswillig verändert
wurden?
a. Trennung verschiedener
Kunden. Wie wird
sichergestellt, dass
Virtualisierung und
Mechanismen für
mehrere Mandanten eine
angemessene Logik- und
Netzwerktrennung
mehrerer
Mandanten gewährleisten,
sodass ein böswilliger
Kunde, der denselben
physischen Computer
verwendet wie ich, nicht
auf
meine Daten zugreifen
kann?
In Übereinstimmung mit ISO 27001-Normen werden AWSHardwarekomponenten vom AWS-Personal mit AWS-eigenen
Inventarverwaltungstools einem Zustä
ndigen zugewiesen, nachverfolgt
und überwacht. Das AWS-Team für Beschaffung pflegt Beziehungen mit
allen AWS-Lieferanten in der Lieferkette.
b. Schwä
chung meiner
Sicherheitslage. Inwiefern
würde die Nutzung der
Cloud-Infrastruktur des
Anbieters die
bestehende
Netzwerksicherheitslage
meiner Agentur
schwächen? Würde der
Anbieter mich ohne meine
explizite Zustimmung als
einen seiner
Kunden aufführen und
damit einem Gegner
helfen, der speziell auf
mich abzielt?
Seite 82 von 93
Dezember 2015
Weitere Details finden Sie in der Norm ISO 27001 in Anhang A, Abschnitt
7.1. AWS wurde von einem unabhä
ngigen Prüfer geprüft und hat als
Nachweis der Befolgung der Norm ISO 27001 eine entsprechende
Amazon EC2 nutzt derzeit eine stark angepasste Version des XenHypervisors. Der Hypervisor wird regelmäßig von internen und externen
Expertenteams auf neue und vorhandene Schwachstellen und
Angriffsmöglichkeiten geprüft und eignet sich gut für die
Aufrechterhaltung einer strikten Trennung zwischen virtuellen
Gastmaschinen. Im Verlauf von Begutachtungen und Überprüfungen wird
der Xen-Hypervisor von AWS regelmä
ßig von unabhängigen Prüfern
beurteilt.
Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es
strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten der
strikten Trennung von Kundendaten. Kontrolle und Besitz der eigenen
Daten verbleiben bei den Kunden, weshalb diese für die etwaige
Verschlüsselung ihrer Daten zustä
ndig sind. AWS erlaubt Kunden die
Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche
Services, einschließlich S3, EBS und EC2. VPC-Sitzungen sind ebenfalls
verschlüsselt. Amazon S3 bietet Kunden als Option auch die serverseitige
Verschlüsselung an. Weitere Details finden Sie im AWS-Whitepaper
„Risiko und Compliance“ unter http://aws.amazon.com/security.
Dass jemand AWS-Kunde ist, wird vertraulich behandelt, und
Kundendetails werden nicht ohne ausdrückliche Zustimmung
weitergegeben. Amazon Virtual Private Cloud (Amazon VPC) ermöglicht
die Bereitstellung eines logisch isolierten Bereichs der Amazon Web
Services (AWS)-Cloud, in dem Sie AWS-Ressourcen in einem von Ihnen
definierten virtuellen Netzwerk ausführen können. Sie haben die
vollstä
ndige Kontrolle über Ihre virtuelle Netzwerkumgebung, u. a. bei der
Auswahl Ihres eigenen IP-Adressbereichs, dem Erstellen von Subnetzen
und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways.
Schlüsselbereich
Schützen von
Daten vor
unbefugtem
Zugriff durch
nicht
autorisierte
Mitarbeiter
des Anbieters
Seite 83 von 93
Dezember 2015
Fragen
ANTWORT von AWS
c. Dedizierte Server. Habe
ich einen Einfluss darauf,
auf welchem physischen
Computer meine virtuellen
Maschinen ausgeführt
werden? Kann ich eine
zusätzliche Gebühr zahlen,
um sicherzustellen, dass
kein anderer Kunde
denselben physischen
Computer verwendet wie
ich, indem ich z. B.
dedizierte Server oder eine
virtuelle private Cloud
erhalte?
d. Medienbereinigung.
Welche Prozesse kommen
zum Einsatz, um das
Speichermedium zu
bereinigen, nachdem ich
Teile meiner Daten
gelöscht habe und bevor es
einem anderen Kunden zur
Verfügung gestellt wird?
Werden diese Prozesse
durch das DSD ISM als
geeignet eingestuft?
Die VPC ermöglicht Kunden das Starten von Amazon EC2-Instances, die
physisch auf Host-Hardware-Ebene isoliert sind. Diese werden auf SingleTenant-Hardware ausgeführt. Eine VPC kann mit einer zugeordneten
Tenancy erstellt werden. In diesem Fall werden all in der VPC gestarteten
Instances diese Funktion verwenden. Alternativ kann eine VPC mit einer
Standard-Tenancy erstellt werden. Die Kunden können für bestimmte
Instances, die in der VPC gestartet werden, jedoch eine zugeordnete
Tenancy angeben.
a. Verwaltung der
Schlüssel für die
Datenverschlüsselung.
Kennt der Anbieter das
Passwort oder den
Schlüssel für die
Entschlüsselung meiner
Daten oder ver- und
entschlüssele ich die Daten
auf meinem Computer,
sodass der Anbieter stets
nur auf verschlüsselte
Daten zugreifen kann?
b.
Sicherheitsüberprüfungen
für Mitarbeiter des
Anbieters. Welche
Mitarbeiterüberprüfungen
und
Sicherheitsüberprüfungen
führt der Anbieter durch,
um die
Vertrauenswürdigkeit der
Mitarbeiter
sicherzustellen?
AWS-Kunden verwalten ihre eigene Verschlüsselung, es sei denn, sie
nutzen den AWS-Service für die Verschlüsselung auf Serverseite. In
diesem Fall erstellt AWS pro Mandanten einen eindeutigen
Verschlüsselungsschlüssel. Weitere Details finden Sie im „AWS CloudSicherheits-Whitepaper“ unter http://aws.amazon.com/security.
Kontrolle und Besitz der eigenen Daten verbleiben beim Kunden. Sie
können ihre Daten daher auch löschen.
Wenn ein Speichergerät das Ende seiner Lebensdauer erreicht hat, führt
AWS bestimmte Stilllegungsprozeduren aus, die u. a. verhindern, dass
Kundendaten für Unbefugte einsehbar sind. AWS verwendet die in DoD
5220.22-M („National Industrial Security Program Operating Manual“)
oder in NIST 800-88 („Guidelines for Media Sanitation“) beschriebenen
Verfahren, um Daten im Zuge der Außerbetriebnahme dauerhaft zu
löschen. Falls eine Hardwarekomponente nicht mithilfe dieser Verfahren
außer Betrieb genommen werden kann, wird das Gerät entmagnetisiert
oder gemä
ßden branchenüblichen Verfahren zerstört. Weitere Details
finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter
AWS führt gemäßgeltendem Recht im Rahmen seiner Prüfpraktiken vor
einer Einstellung Untersuchungen auf Vorstrafen bei Mitarbeitern durch,
und zwar entsprechend der Position des Mitarbeiters und seinem Grad des
Zugangs zu AWS-Anlagen.
Schlüsselbereich
Seite 84 von 93
Dezember 2015
Fragen
ANTWORT von AWS
c. Überprüfung der
Mitarbeiter des Anbieters.
Welches verlä
ssliche
System für das Identity
and Access Management
nutzen die Mitarbeiter des
Anbieters? Welcher
Prüfprozess wird
eingesetzt, um die
Aktivitä
ten der Mitarbeiter
des Anbieters zu
protokollieren und zu
prüfen?
d. Besucher im
Rechenzentrum. Werden
Besucher in den
Rechenzentren stets
begleitet und
werden der Name und
andere persönliche Daten
jedes Besuchers überprüft
und erfasst?
In Übereinstimmung mit ISO 27001-Normen hat AWS formale
Richtlinien und Verfahren zum Bestimmen der Mindeststandards für den
logischen Zugriff auf AWS-Ressourcen definiert. AWS SOC 1 Typ 2 führt
die vorhandenen Kontrollen auf, die zur Verwaltung der Bereitstellung des
Zugriffs auf AWS-Ressourcen dienen.
e. Physische Manipulation
durch Mitarbeiter des
Anbieters. Ist die
Netzwerkverkabelung
professionell
gemäßaustralischen
Normen bzw. international
anerkannten Standards
installiert, um zu
verhindern, dass die
versehentlich Kabel mit
den falschen Computern
verbinden, und um
absichtliche
Manipulationsversuche an
der Verkabelung durch die
schnell aufzudecken?
f. Auftragnehmer des
Anbieters. Treffen die
Antworten auf diese
Fragen in gleichem
Maße auf alle
Auftragnehmer des
Anbieters zu?
Zu den physischen Sicherheitsmaßnahmen zählen u. a. Vorkehrungen wie
Zäune, Mauern, Sicherheitspersonal, Videoüberwachung,
Einbruchmeldeanlagen und andere elektronische Systeme. Dies umfasst
einen geeigneten Schutz für Netzwerkkabel.
Alle Besucher und Auftragnehmer müssen einen Ausweis vorlegen,
werden registriert und kontinuierlich durch autorisiertes Fachpersonal
begleitet.
AWS gestattet nur zugelassenen Mitarbeitern und Auftragnehmern, die
einen legitimen geschäftlichen Grund für einen Zutritt haben, den Zugang
zum Rechenzentrum. Wenn Mitarbeiter keinen geschäftlichen Grund
mehr für diesen Zutritt haben, werden ihre Zutrittsberechtigungen sofort
widerrufen, selbst wenn sie weiterhin als Mitarbeiter von Amazon oder
Amazon Web Services tä
tig sind. Der Zutritt zu den Rechenzentren durch
Mitarbeiter von AWS wird routinemäßig protokolliert und regelmä
ßig
überprüft.
Der AWS SOC 1 Type 2-Bericht bietet weitere Details zu den spezifischen
Kontrollmaßnahmen von AWS.
In der Norm ISO 27001 finden Sie in Anhang A, Abschnitt 9.1 weitere
Informationen. AWS wurde von einem unabhä
ngigen Prüfer geprüft und
hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende
Die Zugriffsbereitstellung für Auftragnehmer bzw. Anbieter wird für
Mitarbeiter und Auftragnehmer gleich gehandhabt, wobei die
Verantwortung hierfür zwischen den Bereichen Personalverwaltung und
Betriebsprozesse sowie den Service-Inhabern aufgeteilt wird. Die Anbieter
unterliegen denselben Zugriffsanforderungen wie Mitarbeiter.
Schlüsselbereich
Behandlung
von
Sicherheitsvor
fällen
Fragen
ANTWORT von AWS
a. Rechtzeitiger Support
durch den Anbieter. Ist
der Anbieter problemlos
erreichbar, reagiert er auf
Anfragen nach
Unterstützung und ist die
Mindestreaktionszeit in
der SLA festgeschrieben
oder nur die
Marketingbehauptung,
dass der Anbieter sein
Bestes unternehmen wird?
AWS Support ist ein persönlicher Support-Kanal mit schnellen
Reaktionszeiten, der rund um die Uhr mit erfahrenen Support-Technikern
besetzt ist. Der Service hilft Kunden aller Größen und technischer
Möglichkeiten, die Produkte und Funktionen von Amazon Web Services
zu verwenden.
Erfolgt die Unterstützung
vor Ort, aus dem Ausland
oder aus mehreren
anderen Lä
ndern unter
Berücksichtigung der
dortigen Arbeitszeiten?
Welchen Mechanismus
setzt der Anbieter ein,
um in Echtzeit einen
Einblick in die
Sicherheitslage im
Zusammenhang mit
meiner Nutzung der
Services des Anbieters zu
erhalten, so dass der
Anbieter Support
bereitstellen kann?
b. Plan für die Reaktion auf
Vorfälle des Anbieters.
Verfügt der Anbieter über
einen Reaktionsplan für
Sicherheitsvorfälle, in dem
festgelegt ist, wie
Sicherheitsvorfälle erkannt
werden und wie darauf zu
reagieren ist,
und zwar auf eine Weise,
die den Verfahren zum
Umgang mit Vorfällen im
DSD ISM ähneln? Steht
eine Kopie zur Verfügung,
die ich in vollem Umfang
einsehen kann?
Seite 85 von 93
Dezember 2015
Alle Support-Stufen von AWS bieten dem Kunden der AWS Infrastructure
Services eine unbegrenzte Anzahl von Support-Fällen mit monatlichen
Zahlungen und ohne langfristige Verträge. Die vier Stufen ermöglichen
Entwicklern und Unternehmen die flexible Wahl einer Support-Stufe, die
ihre spezifischen Anforderungen erfüllt.
Das Amazon Incident Management-Team befolgt branchenübliche
Diagnoseverfahren zur Entwicklung und Umsetzung von
Problemlösungen. Mitarbeiter sind das ganze Jahr über – 24 Stunden am
Tag, 7 Tage in der Woche – damit beschä
ftigt, Störungen festzustellen und
deren Auswirkungen einzudämmen und Lösungen zu finden. Der AWSVorfallreaktionsprogramm sowie dessen Prozesse und Verfahren stehen
im Einklang mit der Norm ISO 27001. Der AWS SOC 1 Type 2-Bericht
bietet Details zu den spezifischen Kontrollmaßnahmen von AWS.
Schlüsselbereich
Seite 86 von 93
Dezember 2015
Fragen
ANTWORT von AWS
c. Schulungen für
Mitarbeiter des Anbieters.
An welchen
Qualifizierungen,
Zertifizierungen und
regelmä
ßigen Schulungen
zur Informationssicherheit
müssen die Mitarbeiter des
Anbieters teilnehmen,
damit sie wissen, wie sie
die Systeme des Anbieters
auf sichere Weise
verwenden und wie sie
potenzielle
Sicherheitsvorfälle
identifizieren?
d. Benachrichtigung über
Sicherheitsvorfälle.
Benachrichtigt mich der
Anbieter über einen
sicheren
Kommunikationsweg über
Sicherheitsvorfälle, die
schwerwiegender sind als
eine vereinbarte Schwelle,
vor allem in Fällen, in
denen der Anbieter
möglicherweise haftbar ist?
Benachrichtigt der
Anbieter automatisch die
Strafverfolgungsbehörden
oder
andere Behörden, die
eventuell
Computerausrüstung
beschlagnahmen, welche
zur Speicherung oder
Verarbeitung meiner Daten
verwendet wird?
e. Umfang des Supports
durch den Anbieter. Wie
viel Unterstützung kann
ich vom Anbieter bei
Ermittlungen erwarten,
wenn es zu einer
Sicherheitsverletzung
kommt, beispielsweise
einer nicht autorisierten
Offenlegung meiner Daten,
oder wenn aus rechtlichen
Gründen elektronische
Beweismittel sichergestellt
werden müssen?
In Übereinstimmung mit der Norm ISO 27001 nehmen alle AWSMitarbeiter regelmäßig an einer Schulung zur Informationssicherheit teil.
Die Teilnahme muss bestätigt werden. Compliance-Überprüfungen
erfolgen regelmäßig, damit Mitarbeiter die vorgegebenen Richtlinien
verstehen und befolgen. Weitere Details finden Sie im „AWS CloudSicherheits-Whitepaper“ unter http://aws.amazon.com/security.
Bei Benachrichtigungen über Sicherheitsvorfällen wird von Fall zu Fall
und gemäßdem geltenden Gesetz entschieden. Jede Benachrichtigung
erfolgt über sichere Kommunikationswege.
AWS stellt die Infrastruktur. Die Kunden verwalten alle anderen
Komponenten einschließlich Betriebssystem, Netzwerkkonfiguration und
installierte Anwendungen. Es liegt für den Fall eines Rechtsverfahrens in
der Zuständigkeit des Kunden, elektronische Dokumente, die in AWS
gespeichert oder verarbeitet werden, zu identifizieren, zu sammeln, zu
verarbeiten, zu analysieren und vorzulegen. Auf Anfrage arbeitet AWS ggf.
mit Kunden zusammen, die bei Rechtsverfahren die Unterstützung von
AWS benötigen.
Schlüsselbereich
Fragen
ANTWORT von AWS
f. Mein Zugriff auf
Protokolle. Wie erhalte ich
Zugriff auf zeitlich
synchronisierte
Prüfprotokolle und andere
Protokolle, um eine
forensische Untersuchung
durchzuführen, und wie
werden die Protokolle
erstellt und gespeichert,
damit sie vor Gericht als
geeignete Beweismittel
dienen?
Die Kunden kontrollieren ihre eigenen Gastbetriebssysteme, ihre Software
und ihre Anwendungen und sind aus diesem Grund dafür verantwortlich,
eine Überwachung der logischen Zustä
nde dieser Systeme zu entwickeln.
In Übereinstimmung mit den ISO 27001-Normen nutzen AWSInformationssysteme über NTP (Network Time Protocol) synchronisierte
Systemuhren.
g. Entschä
digung für
Sicherheitsvorfälle. Wie
entschädigt mich der
Anbieter angemessen,
wenn die Aktivitäten bzw.
fehlerhafte Software oder
Hardware des Anbieters zu
einer
Sicherheitsverletzung
beigetragen haben?
Seite 87 von 93
Dezember 2015
AWS CloudTrail bietet eine einfache Lösung, um Benutzeraktivitäten
aufzuzeichnen, sodass möglicherweise kein komplexes Logging-System
erforderlich ist. Weitere Informationen finden Sie unter
aws.amazon.com/cloudtrail.
AWS Cloudwatch ermöglicht die Überwachung von Ressourcen in der
AWS-Cloud und von Anwendungen, die Benutzer auf AWS ausführen.
Unter aws.amazon.com/cloudwatch finden Sie weitere Details. AWS
veröffentlicht außerdem in seiner Übersicht zum Servicestatus stets
neueste Informationen zur Verfügbarkeit seiner Services. Siehe
status.aws.amazon.com.
Der AWS-Vorfallreaktionsprogramm sowie dessen Prozesse und
Verfahren stehen im Einklang mit der Norm ISO 27001. AWS SOC 1 Typ 2
enthä
lt Details zu den speziellen Kontrollaktivitä
ten, die von AWS
ausgeführt werden.
Schlüsselbereich
Seite 88 von 93
Dezember 2015
Fragen
ANTWORT von AWS
h. Datenlecks. Wenn
Daten, die ich als zu
vertraulich für eine
Speicherung in der Cloud
einstufe,
versehentlich in die Cloud
gelangen, was als
Datenleck bezeichnet wird,
wie können die betroffenen
Daten dann mithilfe
forensischer
Bereinigungstechniken
gelöscht werden? Wird der
relevante Bestandteil des
physischen
Speichermediums mit
Nullen überschrieben,
wenn Daten gelöscht
werden? Falls nicht, wie
lange dauert es, bis
gelöschte Daten im
Rahmen des normalen
Betriebs von Kunden
überschrieben werden,
wenn man bedenkt, dass in
einer Cloud normalerweise
erhebliche
ungenutzte
Speicherkapazitäten
vorhanden sind? Können
die versehentlich an
diesem Ort gespeicherten
Daten forensisch von den
Sicherungsmedien des
Anbieters gelöscht werden?
Wo sonst werden die
versehentlich am falschen
Ort gespeicherten Daten
gespeichert und lassen sie
sich forensisch löschen?
Die Kunden bleiben Eigentümer ihrer Inhalte und behalten die Kontrolle
darüber. Für alle von AWS im Auftrag von Kunden gespeicherten Daten
gibt es strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten
der strikten Trennung von Kundendaten. AWS erlaubt Kunden die
Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche
Services, einschließlich S3, EBS und EC2. IPsec-Tunnel zu VPC sind
ebenfalls verschlüsselt. Amazon S3 bietet Kunden als Option auch die
serverseitige Verschlüsselung an. Weitere Details finden Sie im AWSWhitepaper „Risiko und Compliance“ unter
Weitere Details finden Sie im AWS-Whitepaper „Risiko und Compliance“
unter http://aws.amazon.com/security.
Dezember 2015
Anhang C: Glossar der Begriffe
Authentifizierung: Beim Authentifizierungsvorgang wird festgestellt, ob jemand oder etwas tatsächlich das
ist, was er bzw. es zu sein vorgibt.
Availability Zone: Amazon EC2-Standorte bestehen aus Regionen und Availability Zones. Availability Zones
sind eigenständige Standorte, die so entwickelt wurden, dass sie von Fehlern in anderen Availability Zones
isoliert sind. Sie bieten eine kostengünstige Netzwerkverbindung mit geringer Verzögerungszeit zu anderen
Availability Zones in derselben Region.
DSS: Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weltweit geltender Standard für
Informationssicherheit, der vom Payment Card Industry Security Standards Council zusammengestellt und
betreut wird.
EBS: Amazon Elastic Block Store (EBS) bietet Speichervolumen zur Verwendung mit Amazon EC2-Instances
auf Blockebene. Amazon EBS-Volumes ermöglichen die Speicherung außerhalb der Instance, die unabhängig
vom Status einer Instance besteht.
FedRAMPsm: Das Federal Risk and Authorization Management Program (FedRAMPsm) ist ein Programm der
Bundesregierung, das ein standardisiertes Verfahren für die Sicherheitsbewertung, Autorisierung und
kontinuierliche Überwachung für Cloud-Produkte und -Services festlegt. FedRAMPsm ist für CloudBereitstellungen und Service-Modelle bei US-Bundesbehörden mit geringen und mittleren Risikostufen
obligatorisch.
FISMA: Der Federal Information Security Management Act von 2002. Das Gesetz fordert von allen USBundesbehörden die Entwicklung, Dokumentation und Implementierung eines behördenweiten Programms
zum Gewährleisten von Sicherheit der Informationen und Informationssysteme, die den Betrieb und die
Ressourcen der Behörde unterstützen, was auch diejenigen betrifft, die von einer anderen Behörde, einem
Auftragnehmer oder einer anderen Quelle bereitgestellt oder verwaltet werden.
FIPS 140-2: Die Veröffentlichung 140-2 des Federal Information Processing Standard (FIPS) ist ein
Sicherheitsstandard der US-Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule
angegeben werden, die vertrauliche Informationen schützen.
GLBA: Der Gramm–Leach–Bliley Act (GLB oder GLBA), auch Financial Services Modernization Act von 1999
genannt, bestimmt Vorgaben für Finanzinstitute hinsichtlich u. a. der Preisgabe nicht öffentlicher
Kundeninformationen und des Schutzes vor Bedrohungen der Sicherheit und Datenintegrität.
HIPAA: Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 fordert die Festlegung
nationaler Standards für elektronische Transaktionen im Gesundheitswesen und nationale Kennungen für
Anbieter, Versicherer und Mitarbeiter. In den Vorschriften unter „Administration Simplification“ werden auch
die Sicherheit und der Datenschutz von Patientendaten berücksichtigt. Die Standards dienen der Verbesserung
der Effizienz und Effektivität des US-Gesundheitssystems durch den elektronischen Austausch von Daten.
Hypervisor: Ein Hypervisor, auch Virtual Machine Monitor (VMM) genannt, ist eine
Virtualisierungssoftware für Software-/Hardware-Plattformen, dank der mehrere Betriebssysteme gleichzeitig
auf einem Host-Computer ausgeführt werden können.
IAM: AWS Identity and Access Management (IAM) ermöglicht einem Kunden, mehrere Benutzerkonten zu
erstellen und deren Berechtigungen innerhalb seines AWS-Kontos zu verwalten.
Seite 89 von 93
Dezember 2015
ITAR: International Traffic in Arms Regulations (ITAR, Regelungen des internationalen Waffenhandels) ist
eine Sammlung von US-Bundesvorschriften zur Kontrolle des Exports und Imports von für die Verteidigung
benötigten Artikeln und Services in der United States Munitions List (USML). US-Bundesbehörden und deren
Auftragnehmer müssen ITAR einhalten und den Zugriff auf geschützte Daten beschränken.
ISAE 3402: Der internationale Standard wird als International Standards for Assurance Engagements No.
3402 (ISAE 3402) ist der internationale Standard für Prüfberichte. Dieser wurde auf Grundlage von
Empfehlungen des IAASB (International Auditing and Assurance Standards Board), einer für die Ausarbeitung
von Standards zuständigen Abteilung des IFAC (International Federation of Accountants), entwickelt. ISAE
3402 ist mittlerweile der weltweit anerkannte Standard für Prüfberichte für Dienstleistungsunternehmen.
ISO 9001: Die ISO 9001-Zertifizierung von AWS unterstützt direkt diejenigen Kunden, die ihre
qualitätsgeprüften IT-Systeme in der AWS-Cloud entwickeln und betreiben oder sie in die Cloud übertragen.
Kunden können die Compliance-Berichte von AWS als Beleg für ihre eigenen ISO 9001-Programme und für
branchenspezifische Qualitätsprogramme nutzen, etwa GxP in Biowissenschaften, ISO 13485 für medizinische
Geräte, AS9100 in Luft- und Raumfahrt und ISO/TS 16949 im Automobilsektor. AWS-Kunden, die für ihr
Qualitätssystem keine Anforderungen zu erfüllen haben, profitieren dennoch von der zusätzlichen Gewissheit
und Transparenz, die eine Zertifizierung gemäßISO 9001 bietet.
ISO 27001: ISO 27001 ist eine Norm für Informationssicherheits-Managementsysteme, die von der
International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC)
veröffentlicht wurde. ISO 27001 spezifiziert formell Anforderungen an ein Managementsystem mit dem Ziel,
die Informationssicherheit unter die explizite Kontrolle des Managements zu bringen. Da es sich um eine
formelle Spezifikation handelt, müssen bestimmte Anforderungen erfüllt sein. Organisationen, die angeben,
ISO 27001 zu befolgen, können geprüft und als mit der Norm konform zertifiziert werden.
NIST: National Institute of Standards and Technology. Diese US-Behörde legt den Anforderungen von
Branchen- oder Bundesprogrammen entsprechend detaillierte Sicherheitsstandards fest. Für Compliance mit
FISMA müssen Behörden NIST-Standards einhalten.
Objekt: Die Grundeinheiten, die in Amazon S3 gespeichert sind. Objekte bestehen aus Objektdaten und
Metadaten. Der Datenanteil ist für Amazon S3 nicht einsichtig. Metadaten bestehen aus mehreren
Name/Wert-Paaren, die das Objekt beschreiben. Diese umfassen einige Standardmetadaten, z. B. das Datum
der letzten Änderung, sowie Standard-HTTP-Metadaten, wie den Inhaltstyp. Der Entwickler kann zudem die
Kundenmetadaten zum Zeitpunkt der Speicherung des Objekts festlegen.
PCI: Bezieht sich auf das Payment Card Industry Security Standards Council, ein unabhängig Gremium, das
von American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International mit
dem Ziel ins Leben gerufen wurde, den Datensicherheitsstandard für die Kreditkartenbranche (PCI DSS) zu
betreuen und weiterzuentwickeln.
QSA: Die Benennung Payment Card Industry (PCI) Qualified Security Assessor (QSA) wird vom PCI Security
Standards Council den Personen zugewiesen, die bestimmte Qualifizierungsanforderungen erfüllen und für
Bewertungen der PCI-Compliance autorisiert sind.
SAS 70: Statement on Auditing Standards No. 70: Service Organizations ist ein von den Auditing Standards
Board des American Institute of Certified Public Accountants (AICPA) ausgestellter Prüfbericht. SAS 70 bietet
Prüfern von Dienstleistungsunternehmen Anleitungen zum Bewerten der internen Kontrollen eines
Dienstleistungsunternehmens (wie AWS) und Ausstellen eines dazugehörigen Prüfberichts. SAS 70 bietet
außerdem Anleitungen für Bilanzprüfer von Entitäten, die mit einem oder mehreren
Dienstleistungsunternehmen zusammenarbeiten. Der SAS 70-Bericht wurde durch den Service Organization
Controls 1-Bericht (SOC 1) ersetzt.
Seite 90 von 93
Dezember 2015
Service: Software oder Datenverarbeitungsfunktionalität, die über ein Netzwerk (z. B. EC2, S3, VPC) zur
Verfügung gestellt wird.
Service Level Agreement (SLA): Ein Service Level Agreement ist Teil eines Servicevertrags, in dem der
Grad des Service formal definiert wird. Die SLA dient zur Bezugnahme auf die vertraglich vereinbarte Lieferzeit
(des Service) oder Leistung.
SOC 1: Der Service Organization Controls 1 (SOC 1) Type II-Bericht, zuvor Statement on Auditing Standards
(SAS) No. 70, Service Organizations-Bericht oder SSAE 16-Bericht (Statement on Standards for Attestation
Engagements No. 16) genannt, ist eine allgemein anerkannte Prüfungsvorschrift des American Institute of
Certified Public Accountants (AICPA). Der internationale Standard wird als International Standards for
Assurance Engagements No. 3402 (ISAE 3402) bezeichnet.
SSAE 16 [veraltet]: Das Statement on Standards for Attestation Engagements No. 16 (SSAE 16) ist ein von
den Auditing Standards Board (ASB) des American Institute of Certified Public Accountants (AICPA)
veröffentlichter Bescheinigungsstandard. Der Standard gilt für die Beauftragung von Serviceprüfern mit der
Erstellung eines Berichts zu Kontrollen in Organisationen, die Unternehmen Services bereitstellen, bei denen
die Kontrollen eines Serviceanbieters voraussichtlich für die interne Kontrolle der Finanzberichterstattung
eines Unternehmens relevant sind. SSAE 16 ersetzt das Statement on Auditing Standards No. 70 (SAS 70) für
Berichtszeiträume von Serviceprüfern, die am bzw. nach dem 15.06.2011 enden.
SOC 2: Service Organization Controls 2 (SOC 2)-Berichte sind dafür gedacht, die Anforderungen eines breiten
Spektrums von Benutzern zu erfüllen, die ein Verständnis für die internen Kontrollen im Hinblick auf
Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bei einer ServiceOrganisation erwerben müssen. Diese Berichte werden unter Verwendung folgender AICPA-Richtlinie erstellt:
„Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity,
Confidentiality, or Privacy“. Diese Berichte sind für die Verwendung durch Stakeholder (zum Beispiel Kunden,
Regulierer, Geschäftspartner, Lieferanten, Direktoren) der Service-Organisation gedacht, die ein umfassendes
Verständnis der Service-Organisation und ihrer internen Kontrollen besitzen.
SOC 3: Service Organization Controls 3 (SOC 3)-Berichte sind dafür gedacht, die Anforderungen von
Benutzern zu erfüllen, die eine Bestätigung für die Kontrollen bei einer Service-Organisation im Hinblick auf
Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz benötigen, die aber nicht
den Bedarf oder die erforderlichen Kenntnisse haben, einen SOC 2-Bericht effektiv zu nutzen. Diese Berichte
werden unter Verwendung des Leitfadens „Trust Services Principals, Criteria and Illustrations“ vorbereitet, der
vom AICPA/Canadian Institute of Chartered Accountants (CICA) herausgegeben wird. Da es sich bei SOC 3Berichten um Berichte zur allgemeinen Verwendung handelt, können sie uneingeschränkt verteilt sowie auf
Websites als Siegel veröffentlicht werden.
Virtuelle Instance: Sobald eine AMI gestartet wurde, wird das daraus resultierende ausgeführte System als
Instance bezeichnet. Alle Instances, die auf demselben AMI basieren, sind anfangs identisch. Sämtliche
Informationen, die auf ihnen gespeichert sind, gehen verloren, wenn die Instance beendet wird oder ausfällt.
Seite 91 von 93
Dezember 2015
Versionshistorie
Dezember 2015
 Aktualisierungen für Zertifizierungen und Zusammenfassungen für Bescheinigungen von Drittanbietern
 ISO 27017-Zertifizierung hinzugefügt
 ISO 27018-Zertifizierung hinzugefügt
 Elfte Region (China Peking) hinzugefügt
November 2015
 Aktualisiert auf CSA v3.0.1
August 2015
 Aktualisierungen der im Leistungsumfang enthaltenen Services für PCI 3.1
 Aktualisierungen der im Leistungsumfang enthaltenen Regionen für PCI 3.1
Mai 2015
 Zehnte Region hinzugefügt (EU Frankfurt)
 Aktualisierungen der im Leistungsumfang enthaltenen Services für SOC 3
 SSAE 16 Ausdruck veraltet
Apr. 2015
 Aktualisierungen der im Leistungsumfang enthaltenen Services für: FedRAMPsm, HIPAA, SOC 1, ISO
27001, ISO 9001
Feb. 2015
 Aktualisierungen für FIPS 140-2-VPN-Endpunkte und SSL-terminierende Load Balancer
 Aktualisierungen für PCI DSS-Text
Dez. 2014
Version November 2013
 Bearbeitung des Texts zur Verschlüsselung von IPsec-Tunneln
Version Juni 2013
 Aktualisierungen für Anhang C: Glossar der Begriffe
 Kleinere Änderungen der Formatierung
Version Januar 2013
 Änderungen bei Zertifizierungen und Zusammenfassungen für Bescheinigungen von Drittanbietern
Version November 2012
 Überarbeitungen des Inhalts und Aktualisierung des Zertifizierungsumfangs
 Hinzufügen eines Verweises auf SOC 2 und MPAA
Version Juli 2012
 Überarbeitungen des Inhalts und Aktualisierung des Zertifizierungsumfangs
 Hinzufügung des CSA Consensus Assessments Initiative-Fragebogens (Anhang A)
Version Januar 2012
 Kleinere Überarbeitungen des Inhalts basierend auf der Aktualisierung des Zertifizierungsumfangs
 Kleinere grammatikalische Überarbeitungen
Seite 92 von 93
Dezember 2015
Version Dezember 2011
 Änderung am Abschnitt „Zertifizierungen und Bescheinigungen von Drittanbietern“, um SOC 1/SSAE 16,
FISMA Moderate, International Traffic in Arms Regulations und FIPS 140-2 zu entsprechen.
 Hinzufügung der S3-Verschlüsselung auf Serverseite
 Hinzufügung weiterer Themen zu Cloud Computing-Problematiken
Version Mai 2011
 Erstversion
Hinweise
© 2010-2016 Amazon.com, Inc. oder Tochtergesellschaften. Dieses Dokument wird nur zu Informationszwecken
zur Verfügung gestellt. Es stellt das aktuelle AWS-Produktangebot zum Zeitpunkt der Veröffentlichung dar.
Änderungen vorbehalten. Kunden sind verantwortlich für ihre eigene Bewertung der in diesem Dokument zur
Verfügung gestellten Informationen und für die Nutzung der AWS-Produkte oder -Services. Diese werden alle
ohne Mängelgewähr und ohne jegliche Garantie, weder ausdrücklich noch stillschweigend, bereitgestellt.
Dieses Dokument gibt keine Garantien, Gewährleistungen, vertragliche Verpflichtungen, Bedingungen oder
Zusicherungen von AWS, seinen Partnern, Zulieferern oder Lizenzgebern. Die Verantwortung und Haftung von
AWS gegenüber seinen Kunden werden durch AWS-Vereinbarungen geregelt. Dieses Dokument gehört, weder
ganz noch teilweise, nicht zu den Vereinbarung von AWS mit seinen Kunden und ändert diese Vereinbarungen
auch nicht.
Seite 93 von 93

Amazon Web Services: Risiko und Compliance

Transcription

Similar documents

"Amazon Web Services: Risiko und Compliance"

Scripting-Handbuch

Security for Business Innovation Council

McAfee Endpoint Security 10.1 Produkthandbuch

Endpoint Security 10 Produkthandbuch - Knowledge Center

A lhambra, Granada - Dr. Seick Kultur

Sommer 2007

Katalogauszug Honeywell Systembedienteile - IGS

Prof. Dr. Thomas Ruster

MONITEUR BELGE — 18.09.2013 − Ed. 2

advice

HPE Insight Remote-Support Kurzanleitung

Compliance and Safety Manual

Datenblatt