A.5.23 — IS für Cloud-Dienste

A.5.23 ist neu in ISO 27001:2022 und adressiert die Realität moderner IT: Nahezu jede Organisation nutzt Cloud-Dienste — von Microsoft 365 über AWS bis zu spezialisierten SaaS-Anwendungen. Die Kontrolle fordert, dass die Organisation die Cloud-Nutzung aktiv steuert: Anbieterbewertung, Verantwortungsabgrenzung, Sicherheitskonfiguration und Exit-Strategie.

Was verlangt die Norm?

Cloud-Sicherheitsanforderungen definieren. Die Organisation legt fest, welche Sicherheitsanforderungen Cloud-Dienste erfüllen müssen — basierend auf der Klassifizierung der verarbeiteten Daten.
Shared Responsibility dokumentieren. Für jeden Cloud-Dienst wird dokumentiert, welche Sicherheitsverantwortung beim Anbieter und welche bei der Organisation liegt.
Anbieterbewertung durchführen. Vor der Nutzung wird der Anbieter auf Eignung geprüft (Zertifizierungen, Standort, Vertragsbedingungen).
Konfiguration sicher gestalten. Die Organisation konfiguriert ihre Cloud-Umgebung gemäß den eigenen Sicherheitsanforderungen (Zugang, Verschlüsselung, Logging).
Exit-Strategie bereithalten. Für jeden Cloud-Dienst existiert ein Plan, wie die Migration zu einem anderen Anbieter oder zurück auf eigene Infrastruktur funktioniert.

In der Praxis

Cloud-Register aufbauen. Erfasse alle genutzten Cloud-Dienste: Name, Anbieter, Cloud-Modell (IaaS/PaaS/SaaS), verarbeitete Datenklassifizierung, Standort der Datenverarbeitung, Verantwortungsmatrix, letzte Bewertung. Dieses Register ist die Grundlage für Steuerung und Audit.

Shared-Responsibility-Matrix pro Dienst erstellen. Für jeden Cloud-Dienst: Wer ist verantwortlich für Netzwerk, Betriebssystem, Anwendung, Daten, Zugang, Verschlüsselung, Backup, Monitoring? Die Matrix macht Lücken sichtbar — oft liegt die Verantwortung für Backup und Zugangsmanagement beim Kunden, wird aber vom Kunden nicht wahrgenommen.

Cloud-Konfiguration härten. Typische Maßnahmen: MFA für alle Admin-Konten, Verschlüsselung at rest und in transit aktivieren, Logging einschalten, öffentliche Zugriffe deaktivieren, Sicherheitsgruppen restriktiv konfigurieren. Cloud-Anbieter bieten Security-Baseline-Checks (AWS Security Hub, Azure Security Center).

Exit-Strategie testen. Plane die Datenmigration: In welchem Format können Daten exportiert werden? Wie lange dauert der Export? Gibt es Abhängigkeiten von proprietären Formaten? Teste den Export mindestens einmal — viele Organisationen stellen erst beim Anbieterwechsel fest, dass ihre Daten nicht portabel sind.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.23 typischerweise diese Nachweise:

Cloud-Register — Übersicht aller genutzten Cloud-Dienste mit Bewertungsstatus
Shared-Responsibility-Matrix — Verantwortungsabgrenzung pro Cloud-Dienst
Anbieterbewertungen — Zertifikate, C5-Testate oder eigene Bewertungen
Sicherheitskonfiguration — Nachweis der Härtung (MFA, Verschlüsselung, Logging)
Exit-Strategie — dokumentierter Migrationsplan pro Cloud-Dienst

KPI

% der Cloud-Dienste mit dokumentierten Sicherheitsmaßnahmen und Überprüfungszyklen

Gemessen am Cloud-Register: Wie viele Cloud-Dienste haben eine dokumentierte Sicherheitsbewertung und definierte Überprüfungsfrequenz? Ziel: 100%. Shadow-IT-Cloud-Dienste, die im Register fehlen, werden hier nicht erfasst — Discovery ist der erste Schritt.

Ergänzende KPIs:

Anteil der Cloud-Dienste mit Shared-Responsibility-Matrix
Anteil der Cloud-Admin-Konten mit MFA
Anzahl der Cloud-Dienste mit getesteter Exit-Strategie

BSI IT-Grundschutz

A.5.23 mappt direkt auf den BSI-Baustein für Cloud-Nutzung:

OPS.2.2 (Cloud-Nutzung) — umfassender Baustein mit Anforderungen an Strategie, Anbieterbewertung, Vertragsgestaltung, Sicherheitskonfiguration, Monitoring und Exit-Planung. BSI verweist zusätzlich auf den C5-Kriterienkatalog als Bewertungsstandard.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.23 — IS für Cloud-Dienste
ISO/IEC 27002:2022 Abschnitt 5.23 — Umsetzungshinweise
BSI IT-Grundschutz, OPS.2.2 — Cloud-Nutzung

Häufig gestellte Fragen

Was ist das Shared-Responsibility-Modell?

Bei Cloud-Diensten teilen sich Anbieter und Kunde die Sicherheitsverantwortung. Der Anbieter sichert die Infrastruktur (physisch, Netz, Hypervisor), der Kunde sichert seine Daten, Konfigurationen und Zugangsmanagement. Die genaue Abgrenzung hängt vom Modell ab: Bei IaaS trägst du mehr Verantwortung als bei SaaS.

Wie prüfe ich die Sicherheit eines Cloud-Anbieters?

Zertifizierungen (ISO 27001, SOC 2 Type II, C5-Testat des BSI), Transparenzberichte, Shared-Responsibility-Dokumentation, Standort der Rechenzentren, Verschlüsselungsoptionen, Backup-Konzept, Exit-Strategie. Bei kritischen Cloud-Diensten: C5-Testat oder ISO-27017/27018-Zertifizierung.

Brauche ich eine Cloud-Strategie?

Ja. Eine Cloud-Richtlinie definiert: Welche Cloud-Modelle sind erlaubt (IaaS, PaaS, SaaS)? Welche Anbieter? Welche Datenklassifizierungen dürfen in die Cloud? Wo müssen die Daten gespeichert werden (EU-Anforderung)? Ohne Strategie entscheidet jede Abteilung individuell — das Ergebnis ist unkontrollierbare Schatten-IT.

Responsible	ISB / (C)ISO
Accountable	ISB / (C)ISO
Consulted	DSB, HR, IT-Leitung, IT-Admin, IT-Sicherheitsbeauftragter, Incident-Response-Team, ISB, interne Revision, Rechtsberatung, Lieferantenmanagement
Informed	Alle Beschäftigten, DSB, Abteilungsleitung, IT-Leitung, IT-Admin, IT-Sicherheitsbeauftragter, ISB, Rechtsberatung, Risikoverantwortliche, Lieferantenmanagement