Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 1 von 93

Amazon Web Services: Risiko und Compliance Dezember 2015

(Unter http://aws.amazon.com/compliance/aws-whitepapers/

finden Sie die neueste Version dieses Dokuments.)

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 2 von 93

Dieses Dokument bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr vorhandenes Kontroll-Framework für ihre IT-Umgebung integrieren können. In diesem Dokument wird ein einfacher Ansatz zum Bewerten von AWS-Kontrollen erläutert. Außerdem enthält es Informationen zur Unterstützung von Kunden bei der Integration von Kontrollumgebungen. Zusätzlich werden in diesem Dokument AWS-spezifische Informationen rund um allgemeine Compliance-Fragen beim Cloud Computing behandelt.

Inhaltsverzeichnis

Risiko und Compliance – Übersicht ................................................................................................................ 3

Umgebung mit übergreifender Verantwortlichkeit ..................................................................................................................... 4

Strenge Compliance-Governance .................................................................................................................................................... 4

Bewerten und Integrieren von AWS-Kontrollen ......................................................................................... 5

AWS-IT-Kontrollinformationen ...................................................................................................................................................... 5

Globale AWS-Regionen ..................................................................................................................................................................... 6

Risiko- und Compliance-Programm von AWS ............................................................................................. 6

Risikomanagement ............................................................................................................................................................................ 6

Kontrollumgebung ............................................................................................................................................................................. 7

Informationssicherheit...................................................................................................................................................................... 7

AWS-Zertifizierungen, -Programme, -Berichte und Bescheinigungen von Drittanbietern ............ 8

CJIS ...................................................................................................................................................................................................... 8

CSA ....................................................................................................................................................................................................... 8

Cyber Essentials Plus ........................................................................................................................................................................ 8

DoD SRG, Stufen 2 und 4 .................................................................................................................................................................. 9

FedRAMP SM ........................................................................................................................................................................................ 9

FERPA ................................................................................................................................................................................................ 10

FIPS 140-2 ......................................................................................................................................................................................... 10

FISMA und DIACAP ........................................................................................................................................................................ 10

HIPAA ................................................................................................................................................................................................ 11

IRAP ................................................................................................................................................................................................... 11

ISO 9001 ............................................................................................................................................................................................ 12

ISO 27001 .......................................................................................................................................................................................... 13

ISO 27017 ........................................................................................................................................................................................... 14

ISO 27018 .......................................................................................................................................................................................... 15

ITAR ................................................................................................................................................................................................... 16

MPAA ................................................................................................................................................................................................. 17

MTCS Tier 3-Zertifizierung ............................................................................................................................................................ 17

NIST ................................................................................................................................................................................................... 17

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 3 von 93

PCI DSS Stufe 1 ................................................................................................................................................................................. 18

SOC 1/ISAE 3402 ............................................................................................................................................................................. 19

SOC 2 .................................................................................................................................................................................................. 21

SOC 3 .................................................................................................................................................................................................. 21

Wichtige Compliance-Fragen und AWS ....................................................................................................................................... 21

Kontakt mit AWS ................................................................................................................................................. 27

Anhang A: CSA Consensus Assessments Initiative – Fragebogen v3.0.1 ............................................ 28

Anhang B: AWS-Übereinstimmung mit den Sicherheitsüber-legungen zum Cloud Computing (Cloud Computing Security Considerations) des Australian Signals Directorate (ASD)............... 66

Anhang C: Glossar der Begriffe ....................................................................................................................... 89

Risiko und Compliance – Übersicht

Da sich AWS und seine Kunden die Kontrolle der IT-Umgebung teilen, sind beide Parteien für die Verwaltung der IT-Umgebung verantwortlich. Der Anteil von AWS an dieser übergreifenden Verantwortlichkeit liegt in der Bereitstellung seiner Services auf einer überaus sicheren und kontrollierten Plattform sowie der Bereitstellung einer breiten Palette von Sicherheitsfunktionen, die Kunden nutzen können. In der Verantwortung der Kunden liegt die Konfiguration ihrer IT-Umgebungen für die vorgesehenen Zwecke auf sichere und kontrollierte Weise. AWS erhält von den Kunden keine Informationen über deren Nutzung und Konfigurationen, gibt aber selbst Informationen über seine für den Kunden relevante Sicherheits- und Kontrollumgebung bekannt. Dies geschieht seitens AWS wie folgt:

Erwerben von Branchenzertifizierungen und Bescheinigungen unabhängiger Dritter, die in diesem Dokument beschrieben sind

Veröffentlichen von Informationen zu AWS-Sicherheits- und Kontrollpraktiken in Whitepapers und auf Websites

Direktes Bereitstellen von Zertifikaten, Berichten und anderer Dokumentation für AWS-Kunden im Rahmen der Vertraulichkeitsvereinbarung (falls erforderlich)

Eine detailliertere Beschreibung der AWS-Sicherheit finden Sie im AWS-Sicherheitszentrum: https://aws.amazon.com/security/ Eine detailliertere Beschreibung der AWS-Compliance finden Sie auf der Seite AWS-Compliance: https://aws.amazon.com/compliance/ Zudem werden im AWS Cloud-Sicherheits-Whitepaper die allgemeinen Sicherheitskontrollen und servicespezifischen Sicherheitsvorkehrungen beschrieben.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 4 von 93

Umgebung mit übergreifender Verantwortlichkeit

Wenn Sie Ihre IT-Infrastruktur in AWS-Services verlagern, entsteht ein Modell übergreifender Verantwortlichkeit zwischen Kunde und AWS. Dieses Modell bedeutet für die Kunden eine Erleichterung des Betriebs, da AWS die Komponenten des Hostbetriebssystems und der Virtualisierungsebene betreibt, verwaltet und steuert und zudem für die physische Sicherheit der Standorte sorgt, an denen die Services ausgeführt werden. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Verantwortlichkeit von den genutzten Services, von deren Integration in ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften abhängen. Durch Nutzung von Technologien wie hostbasierte Firewalls, hostbasierte Erkennung/Verhinderung von unbefugtem Eindringen in Computersysteme, Verschlüsselung und Schlüsselverwaltung können Kunden die Sicherheit erhöhen und/oder ihre strengeren Compliance-Anforderungen erfüllen. Dieses Modell der übergreifenden Verantwortlichkeit sorgt für Flexibilität und Kundenkontrolle, durch die wir Lösungen einsetzen können, die alle branchenspezifischen Anforderungen für die Zertifizierung erfüllen.

Das Modell der übergreifenden Verantwortlichkeit von Kunde und AWS kann auch auf IT-Kontrollen ausgedehnt werden. Ebenso wie die Zuständigkeit für den Betrieb der IT-Umgebung zwischen AWS und seinen Kunden aufgeteilt ist, werden auch die Verwaltung, der Betrieb und die Verifizierung von IT-Kontrollen von den Beteiligten übernommen. AWS kann Kunden den Aufwand des Betreibens von Kontrollen durch die Verwaltung derjenigen Kontrollen abnehmen, die mit der in der AWS-Umgebung bereitgestellten physischen Infrastruktur verbunden sind, und die ggf. zuvor vom Kunden verwaltet wurden. Da jede Kundenumgebung in AWS anders bereitgestellt wird, können Kunden vom Verlagern der Verwaltung bestimmter IT-Kontrollen an AWS profitieren, was zu einer (neuen) verteilten Kontrollumgebung führt. Kunden können dann die verfügbare Dokumentation zu AWS-Kontrollen und -Compliance (beschrieben im Abschnitt AWS-Zertifizierungen und Bescheinigungen von Drittanbietern dieses Dokuments) nutzen, um ihre Verfahren zur Überprüfung und Bewertung von Kontrollen den Anforderungen entsprechend auszuführen.

Im nächsten Abschnitt wird erläutert, wie AWS-Kunden ihre verteilte Kontrollumgebung effektiv bewerten und überprüfen können.

Strenge Compliance-Governance

Wie gewohnt müssen AWS-Kunden unabhängig von der Art der IT-Bereitstellung weiterhin für eine angemessene Überwachung der gesamten IT-Kontrollumgebung sorgen. Zu den maßgeblichen Methoden zählen das Verstehen der zu erfüllenden Compliance-Ziele und -Anforderungen (aus relevanten Quellen), das Einrichten einer Kontrollumgebung, die diese Ziele und Anforderungen erfüllt, das Verstehen der erforderlichen, auf der Risikotoleranz der Organisation basierenden Überprüfung und das Bestätigen der betrieblichen Effektivität der Kontrollumgebung. Die Bereitstellung in der AWS-Cloud bietet Unternehmen unterschiedliche Möglichkeiten zum Anwenden verschiedener Arten von Kontrollen und Verifizierungsmethoden.

Eine strenge Compliance und Governance auf Kundenseite kann dem folgenden einfachen Ansatz folgen:

1. Überprüfen der von AWS bereitgestellten Informationen sowie anderer Informationen, um sich so umfassend wie möglich mit der gesamten IT-Umgebung vertraut zu machen, und anschließendes Dokumentieren aller Compliance-Anforderungen

2. Entwerfen und Implementieren von Kontrollzielen zum Erfüllen der Compliance-Anforderungen

des Unternehmens

3. Bestimmen und Dokumentieren von Kontrollen externer Parteien

4. Verifizieren, dass alle Kontrollziele erfüllt und alle wichtigen Kontrollen effektiv entworfen und

betrieben werden

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 5 von 93

Wenn sich Unternehmen der Überwachung von Compliance auf diese Weise annähern, machen sie sich besser mit ihrer Kontrollumgebung vertraut und können dadurch die durchzuführenden Validierungsaufgaben besser erledigen.

Bewerten und Integrieren von AWS-Kontrollen

AWS bietet seinen Kunden umfassende Informationen über seine IT-Kontrollumgebung, beispielsweise durch Whitepapers, Berichte, Zertifizierungen oder Bestätigungen von Drittanbietern. Diese Dokumentation hilft Benutzern, mehr über die relevanten Kontrollfunktionen der von ihnen verwendeten AWS-Services zu erfahren und zu verstehen, wie diese Kontrollfunktionen validiert wurden. Diese Informationen helfen Kunden auch bei der Prüfung, ob die Kontrollfunktionen ihrer erweiterten IT-Umgebung effektiv sind. Üblicherweise wird die Entwurfs- und Betriebseffektivität von Kontrollzielen und Kontrollen durch interne und/oder externe Prüfer im Rahmen einer Prozessüberprüfung und Evidenzbewertung validiert. Zum Überprüfen von Kontrollen erfolgt zumeist (durch den Kunden oder externen Prüfer beim Kunden) eine direkte Beobachtung/Verifizierung. Wenn Unternehmen mit Serviceanbietern wie AWS zusammenarbeiten, werden von den Unternehmen Bescheinigungen und Zertifizierungen von Drittanbietern angefordert und bewertet, um Gewissheit hinsichtlich der Entwurfs- und Betriebseffektivität von Kontrollzielen und Kontrollen zu haben. Somit kann, auch wenn die wichtigsten Kontrollen des Kunden von AWS verwaltet werden, die Kontrollumgebung weiterhin ein einheitliches Framework sein, in dem alle Kontrollen berücksichtigt und als effektiv betrieben verifiziert sind. Beglaubigungen und Zertifizierungen von AWS durch Dritte sorgen nicht nur für einen höheren Validierungsgrad für die Kontrollumgebung, sondern können Kunden die Anforderung abnehmen, bestimmte Validierungsaufgaben für ihre IT-Umgebung in der AWS-Cloud selbst zu erledigen.

AWS-IT-Kontrollinformationen

AWS bietet seinen Kunden IT-Kontrollinformationen auf die beiden folgenden Weisen:

1. Definition spezifischer Kontrollen. AWS-Kunden können von AWS verwaltete Schlüsselkontrollen identifizieren. Schlüsselkontrollen sind für die Kontrollumgebung des Kunden sehr wichtig und erfordern eine externe Bescheinigung ihrer Betriebseffektivität, um Compliance-Anforderungen zu erfüllen, z. B. die jährliche Bilanzprüfung. Zu diesem Zweck veröffentlicht AWS eine Vielzahl von IT-Kontrollen in seinem Bericht „Service Organization Controls 1 (SOC 1), Type II“. Der SOC 1-Bericht, früher „Statement on Auditing Standards (SAS) No. 70, Service Organizations“ genannt, ist eine umfassend anerkannte Bilanzprüfungsvorschrift des American Institute of Certified Public Accountants (AICPA). Die SOC 1-Prüfung ist eine umfassende Untersuchung sowohl des Entwurfs als auch der Betriebseffektivität der von AWS definierten Kontrollziele und -aktivitäten (zu der die Kontrollziele und -aktivitäten für den Teil der Infrastruktur zählen, der von AWS verwaltet wird). „Type II“ bezieht sich auf die Tatsache, dass alle in dem Bericht beschriebenen Kontrollen vom externen Prüfer nicht nur auf Angemessenheit des Entwurfs, sondern auch auf Betriebseffektivität getestet werden. Aufgrund der Unabhängigkeit und Kompetenz des externen Prüfers von AWS sollten die in dem Bericht genannten Kontrollen beim Kunden für ein hohes Maß an Vertrauen in die AWS-Kontrollumgebung sorgen. Die Kontrollen von AWS zeichnen sich durch einen effektiven Entwurf und Betrieb für zahlreiche Compliance-Zwecke aus, so z. B. für Bilanzprüfungen nach Sarbanes-Oxley (SOX) Abschnitt 404. Das Arbeiten mit SOC 1 Type II-Berichten wird auch von anderen externen Zertifizierungsstellen generell zugelassen (beispielsweise können ISO 27001-Prüfer einen SOC 1 Type II-Bericht anfordern, um ihre Beurteilungen für Kunden fertigzustellen).

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 6 von 93

Andere spezifische Kontrollaktivitäten stehen im Zusammenhang mit der Compliance von AWS bezüglich der Kreditkartenunternehmen (Payment Card Industry, PCI) und des Federal Information Security Management Act (FISMA). Wie nachfolgend erläutert, befolgt AWS die FISMA Moderate-Standards und den PCI Data Security Standard. Diese PCI- und FISMA-Standards zeichnen sich durch strenge Vorschriften aus und erfordern eine unabhängige Bescheinigung, dass AWS die veröffentlichten Standards befolgt.

2. Allgemeine Kontrollstandard-Compliance. Wenn ein AWS-Kunde eine breite Palette von Kontrollzielen erfüllen muss, kann eine Überprüfung der Branchenzertifizierungen von AWS erfolgen. AWS ist nach ISO 27001 zertifiziert, erfüllt somit einen weitreichenden Sicherheitsstandard und befolgt bewährte Methoden zum Aufrechterhalten einer sicheren Umgebung. Durch Befolgen des PCI Data Security Standard (PCI DSS) erfüllt AWS vielfältige Anforderungen an Kontrollen für Unternehmen, die Kreditkartendaten verarbeiten. AWS befolgt die FISMA-Standards und bietet dadurch einen breite Palette spezifischer Kontrollen, die von US-Bundesbehörden gefordert werden. Durch die Einhaltung dieser allgemeinen Standards sind Kunden in umfassender Weise und eingehend über das Wesen der vorhandenen Kontrollen und Sicherheitsprozesse informiert, die beim Compliance-Management Berücksichtigung finden können.

Globale AWS-Regionen

Rechenzentren sind in Clustern in verschiedenen Regionen weltweit errichtet. Derzeit gibt es elf Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Frankfurt), EU (Irland), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), China (Peking) und Südamerika (São Paulo).

Risiko- und Compliance-Programm von AWS

AWS stellt Informationen zu seinem Risiko- und Compliance-Programm bereit, damit Kunden AWS-Kontrollen in ihr Überwachungs-Framework integrieren können. Mithilfe dieser Informationen können Kunden ein vollständiges Kontroll- und Überwachungs-Framework dokumentieren, in dem AWS eine wichtige Rolle einnimmt.

Risikomanagement

Die Geschäftsleitung von AWS hat einen strategischen Unternehmensplan entwickelt, der die Risikoerkennung sowie die Implementierung von Kontrollen zur Verringerung und Bewältigung von Risiken vorsieht. Die Geschäftsleitung von AWS bewertet den strategischen Unternehmensplan mindestens halbjährlich neu. Dabei muss die Geschäftsleitung Risiken innerhalb ihrer Zuständigkeitsbereiche erkennen und angemessene Maßnahmen für den Umgang mit solchen Risiken umsetzen. Zusätzlich wird die Kontrollumgebung von AWS verschiedenen internen und externen Risikoanalysen unterzogen. Die Compliance- und Sicherheitsteams von AWS haben ein Framework für die Informationssicherheit und dazugehörige Richtlinien entwickelt. Es basiert auf dem COBIT-Framework (Control Objectives for Information and related Technology). Darin sind die ISO 27002-Kontrollfunktionen wirksam integriert, die auf dem zertifizierbaren ISO 27001-Framework, den AICPA Trust Services-Prinzipien

(American Institute of Certified Public Accountants), dem Regelwerk PCI DSS v3.1 und der National Institute of Standards and Technology (NIST)-Publikation 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems) basieren. AWS pflegt die Sicherheitsrichtlinien, führt Sicherheitsschulungen für Mitarbeiter durch und prüft die Anwendungssicherheit. Im Rahmen dieser Überprüfungen wird die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie die Einhaltung der Richtlinien für die Informationssicherheit bewertet.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 7 von 93

In regelmäßigen Abständen überprüft das Sicherheitsteam von AWS alle mit dem Internet verbundenen IP-Adressen von Service-Endpunkten auf Schwachstellen (Instances von Kunden werden nicht untersucht). Das AWS-Sicherheitsteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen beheben können. Zusätzlich werden regelmäßig unabhängige externe Sicherheitsfirmen mit einer Schwachstellenüberprüfung beauftragt. Die Ergebnisse und Empfehlungen dieser Überprüfungen werden kategorisiert und an die Geschäftsleitung von AWS weitergeleitet. Diese Untersuchungen werden zum Erhalten der Integrität und Funktionsfähigkeit der zugrunde liegenden AWS-Infrastruktur durchgeführt. Sie sind nicht dazu gedacht, die kundeneigenen Untersuchungen auf Schwachstellen zu ersetzen, die notwendig sind, um die jeweils geltenden Compliance-Anforderungen zu erfüllen. Kunden können die Berechtigung zur Durchführung von Untersuchungen der eigenen Cloud-Infrastruktur beantragen, sofern sich diese Untersuchungen auf die Instances des Kunden beschränken und nicht gegen die Richtlinien zur angemessenen Nutzung von AWS verstoßen. Eine erweiterte Genehmigung für solche Untersuchungen kann mit dem Formular AWS Vulnerability/Penetration Testing beantragt werden.

Kontrollumgebung

AWS verwaltet eine umfassendes Kontrollumgebung, zu der Richtlinien, Prozesse und Kontrollaktivitäten gehören, die verschiedene Funktionen der gesamten Kontrollumgebung von Amazon nutzen. Diese Kontrollumgebung dient der sicheren Bereitstellung der AWS-Serviceangebote. Die gemeinsame Kontrollumgebung umfasst die Personen, Prozesse und Technologien, die benötigt werden, um eine Umgebung einzurichten und zu verwalten, welche die Betriebseffektivität des Kontroll-Frameworks von AWS unterstützt. AWS hat maßgebliche Cloud-spezifische Kontrollen, die von führenden Cloud Computing-Branchengremien definiert wurden, in das AWS-Kontroll-Framework integriert. AWS verfolgt ständig, welche Vorschläge diese Branchengremien hinsichtlich empfehlenswerter Methoden machen, mit deren Hilfe Kunden bei der Verwaltung ihrer Kontrollumgebung besser unterstützt werden können. Die Kontrollumgebung von Amazon beginnt mit der Führungsebene des Unternehmens. Geschäftsleitung und leitende Angestellte spielen bei der Bestimmung der Firmenphilosophie und Grundwerte des Unternehmens eine entscheidende Rolle. Jeder Mitarbeiter muss den Verhaltenskodex des Unternehmens befolgen, der in regelmäßigen Schulungen vermittelt wird. Compliance-Überprüfungen erfolgen, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen. Die Organisationsstruktur von AWS schafft einen Rahmen für die Planung, Ausführung und Kontrolle des Geschäftsbetriebs. Im Rahmen der Organisationsstruktur werden Rollen und Zuständigkeiten zugewiesen, um eine geeignete Stellenbesetzung, betriebliche Effizienz und Aufgabentrennung sicherzustellen. Die Geschäftsleitung hat Mitarbeitern in Schlüsselpositionen wichtige Kompetenzen eingeräumt und angemessene Berichtslinien für sie vorgesehen. Als Teil des Verifizierungsprozesses des Unternehmens für Einstellungen werden Ausbildung, bisherige Arbeitsverhältnisse und in manchen Fällen Hintergrundprüfungen einbezogen, soweit dies durch Arbeitnehmergesetze und -regelungen im Hinblick auf die Position des Mitarbeiters und die Zugriffsebene auf AWS-Einrichtungen angemessen ist. Neue Mitarbeiter werden in ihrer Einstellungs- und Integrationsphase von Amazon strukturiert mit den Tools, Prozessen, Systemen, Richtlinien und Verfahren des Unternehmens vertraut gemacht.

Informationssicherheit

AWS hat ein formelles Informationssicherheitsprogramm zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Kundensystemen und -daten in Kraft gesetzt. AWS veröffentlicht ein Whitepaper zum Thema Sicherheit, das auf der öffentlichen Website verfügbar ist und in dem erklärt wird, wie AWS Kunden beim Schutz ihrer Daten helfen kann.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 8 von 93

AWS-Zertifizierungen, -Programme, -Berichte und Bescheinigungen von Drittanbietern

AWS arbeitet mit externen Zertifizierungsstellen und unabhängigen Prüfern zusammen, um Kunden mit umfassenden Informationen zu Richtlinien, Prozessen und Kontrollen zu versorgen, die von AWS definiert und umgesetzt werden.

CJIS

AWS erfüllt den Criminal Justice Information Services (CJIS)-Standard des FBI. Wir schließen CJIS-Sicherheitsabkommen mit unseren Kunden, die alle erforderlichen Mitarbeiterüberprüfungen gemäß der CJIS-Sicherheitsrichtlinien erlauben.

Strafverfolgungsbehörden (und Partner, die CJI verwalten) nutzen die Vorteile der AWS-Services, um die Sicherheit und den Schutz der CJI Daten zu verbessern. Sie nutzen dazu die erweiterten Sicherheits-Services und Sicherheitsfunktionen von AWS, wie Aktivitätsprotokollierung (AWS CloudTrail), Verschlüsselung von Daten während der Übertragung und in Ruhe (bei S3 die Verschlüsselung auf dem Server mit der Option, einen eigenen Schlüssel zu verwenden), umfassende Schlüsselverwaltung und Schlüsselschutz (AWS Key Management Service und CloudHSM) sowie integrierte Rechteverwaltung (IAM-Identitätsmanagement per Verbund, Multifaktor-Authentifizierung).

AWS hat eine Criminal Justice Information Services (CJIS)-Arbeitsmappe im Format einer Sicherheitsplanvorlage erstellt, die auf die CJIS-Richtlinienbereiche ausgerichtet ist. Zusätzlich wurde ein CJIS-Whitepaper entwickelt, um Kunden auf ihrem Weg in die Cloud zu unterstützen.

Besuchen Sie das CJIS-Portal unter: https://aws.amazon.com/compliance/cjis/

CSA

2011 hat die Cloud Security Alliance (CSA) STAR gestartet, eine Initiative, um die Transparenz der Sicherheitsverfahren bei Cloud-Anbietern zu fördern. Die CSA Security Trust & Assurance Registry (STAR) ist eine kostenlose, öffentlich zugängliche Datenbank, die Sicherheitskontrollen der verschiedenen Cloud Computing-Angebote dokumentiert und den Benutzern helfen kann, die Sicherheit von Cloud-Anbietern zu beurteilen, mit denen sie derzeit arbeiten oder eine Zusammenarbeit erwägen. AWS ist bei CSA STAR registriert und hat den CAIQ-Fragenkatalog (Consensus Assessments Initiative Questionnaire) der CSA (Cloud Security Alliance) beantwortet. Dieser von der CSA veröffentlichte Fragenkatalog bietet eine Möglichkeit zur Angabe und Dokumentation der Sicherheitskontrollen im Angebot „Infrastructure as a Service“ von AWS. Der Fragebogen enthält 298 Fragen, die ein Cloud-Nutzer oder Cloud-Prüfer einem Cloud-Anbieter eventuell stellen möchte.

Siehe: Anhang A: CSA Consensus Assessments Initiative – Fragebogen v3.0.1

Cyber Essentials Plus

Cyber Essentials Plus ist ein von der britischen Regierung und der Industrie unterstütztes Zertifizierungssystem, das in Großbritannien eingeführt wurde, damit Organisationen darlegen können, dass ihre Betriebssicherheit gegenüber bekannten Angriffen aus dem Internet gewährleistet ist.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 9 von 93

Es umfasst die grundlegenden Kontrollen, die AWS implementiert, um das Risiko von allgemeinen internetbasierten Bedrohungen zu mindern, und liegt im Rahmen des Programms „10 Steps to Cyber Security“ der britischen Regierung. Es wird von der Industrie unterstützt, einschließlich der Federation of Small Businesses, der Confederation of British Industry und einer Reihe von Versicherungsgesellschaften, die Anreize für Unternehmen bieten, die diese Zertifizierung besitzen.

Cyber Essentials legt die erforderlichen technischen Kontrollen fest. Das zugehörige Sicherungs-Framework zeigt, wie der unabhängige Sicherungsprozess funktioniert. Für die Cyber Essentials Plus-Zertifizierung ist eine jährliche externe Bewertung durch einen akkreditierten Gutachter erforderlich. Aufgrund des regionalen Charakters der Zertifizierung ist der Geltungsbereich der Zertifizierung auf die Region EU (Irland) beschränkt.

DoD SRG, Stufen 2 und 4

Der Security Requirements Guide (SRG)-Leitfaden für Cloud Computing des Verteidigungsministerium der USA (Department of Defense, DoD) bietet einen formalisierten Bewertungs- und Zulassungsprozess für Cloud Service-Anbieter (Cloud Service Provider, CSPs) zur Erlangung einer vorläufigen DoD-Autorisierung, die anschließend von DoD-Kunden genutzt werden kann. Eine vorläufige SRG-Autorisierung umfasst eine wiederverwendbare Zertifizierung, die unsere Einhaltung der DoD Standards bescheinigt. Damit kann ein DoD-Auftragnehmer eines seiner Systeme schneller für den Betrieb auf AWS überprüfen und autorisieren lassen. AWS verfügt derzeit über vorläufige Autorisierungen der SRG-Stufen 2 und 4.

Zusätzliche Informationen zu den Sicherheitskontrollen der Stufen 2, 4, 5 und 6 finden Sie unter http://iase.disa.mil/cloud_security/Pages/index.aspx.

Besuchen Sie das DoD-Portal unter: https://aws.amazon.com/compliance/dod/

FedRAMP SM

AWS ist ein zugelassener Anbieter von Cloud-Services für das Federal Risk and Authorization Management Program (FedRAMPsm). AWS wurde durch eine von FedRAMPsm autorisierte Third-Party Assessment Organization (3PAO) geprüft und hat zwei ATO-Genehmigungen (Agency Authority to Operate) vom US-Gesundheitsministerium erhalten, nachdem die Einhaltung der FedRAMPsm-Anforderungen auf der mittleren Sicherheitsstufe nachgewiesen wurde. Alle US-Bundesbehörden können die im FedRAMPsm-Repository gespeicherten Agentur-ATO-Pakete verwenden, um AWS für ihre Anwendungen und Arbeitslasten zu bewerten, Autorisierungen für die Verwendung von AWS bereitzustellen und Arbeitslasten in die AWS-Umgebung zu übertragen. Die beiden FedRAMPsm-Agentur-ATOs umfassen sämtliche Regionen der USA (die AWS GovCloud (US)-Region und die AWS US East/West-Regionen).

Die folgenden Services fallen unter die Zulassung für die zuvor genannten Regionen:

Amazon Redshift Amazon Redshift ist ein schneller, vollständig verwalteter Data Warehouse-Service für Datenmengen im Petabyte-Bereich, mit dem Sie im Zusammenspiel mit Ihren vorhandenen Business Intelligence-Tools alle Ihre Daten einfach und wirtschaftlich analysieren können.

Amazon Elastic Compute Cloud (Amazon EC2) Amazon EC2 bietet anpassbare Rechenkapazität in der Cloud. Der Service ist darauf ausgelegt, Cloud Computing für Entwickler zu erleichtern.

Amazon Simple Storage Service (S3) Amazon S3 bietet eine einfache Web-Service-Schnittstelle zum Speichern und Abrufen einer beliebigen Datenmenge zu jeder Zeit und von jedem Ort im Internet aus.

Amazon Virtual Private Cloud (VPC) Amazon VPC ermöglicht die Bereitstellung eines logisch isolierten Bereichs in AWS, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk ausführen können.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 10 von 93

Amazon Elastic Block Store (EBS) Amazon EBS bietet hochverfügbare, zuverlässige und berechenbare Speicher-Volumes, die mit einer ausgeführten Amazon EC2-Instance verbunden und als Gerät zur Verfügung gestellt werden können.

AWS Identity and Access Management (IAM) Mit IAM können Sie den Zugriff auf AWS-Services und -Ressourcen für Ihre Benutzer sicher steuern. Mithilfe von IAM können Sie AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen zulassen oder verweigern.

Weitere Informationen zur AWS FedRAMPsm-Compliance finden Sie in den häufig gestellten Fragen zu AWS FedRAMPsm unter https://aws.amazon.com/compliance/fedramp/

FERPA

Das US-Bundesgesetz The Family Educational Rights and Privacy Act (FERPA) (20 U.S.C. § 1232g; 34 CFR Part 99) wurde zum Schutz der Ausbildungsdaten von Schülern erlassen. Das Gesetz gilt für alle Schulen, die Mittel aus einem Programm des US-Bildungsministeriums erhalten. FERPA gibt Eltern bestimmte Rechte in Bezug auf die Ausbildungsdaten ihrer Kinder. Diese Rechte gehen an die Schüler über, wenn sie das Alter von 18 Jahren erreichen oder eine höhere Schule als die Highschool besuchen. Schüler mit derartigen Rechten werden „berechtigte Schüler“ genannt.

AWS ermöglicht berechtigten Entitäten und deren Geschäftspartnern, die FERPA unterliegen, die Nutzung der sichere AWS-Umgebung, um geschützt Ausbildungsinformationen zu verarbeiten, zu pflegen und zu speichern.

AWS bietet außerdem ein Whitepaper mit Schwerpunkt FERPA für Kunden, die mehr darüber erfahren möchten, wie AWS zur Verarbeitung und Speicherung von Ausbildungsdaten genutzt werden kann.

Das Whitepaper „FERPA Compliance on AWS“ beschreibt, wie Unternehmen AWS nutzen können, um die Einhaltung der FERPA-Compliance zu erleichtern: https://d0.awsstatic.com/whitepapers/compliance/AWS_FERPA_Whitepaper.pdf

FIPS 140-2

Die Veröffentlichung 140-2 des Federal Information Processing Standard (FIPS) ist ein Sicherheitsstandard der US-Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. Um Kunden mit FIPS 140-2-Anforderungen zu unterstützen, werden SSL-Terminierungen auf AWS GovCloud (US) mit FIPS 140-2-validierter Hardware ausgeführt. AWS arbeitet mit AWS GovCloud (US)-Kunden zusammen, um ihnen die Informationen bereitzustellen, die sie beim Compliance-Management mit der AWS GovCloud (US)-Umgebung benötigen.

FISMA und DIACAP

AWS ermöglicht es US-Bundesbehörden, die langfristige Einhaltung des Federal Information Security Management Act (FISMA) zu erreichen. Die AWS-Infrastruktur wurde von unabhängigen Prüfern für verschiedene Regierungssysteme im Rahmen ihres Genehmigungsprozesses für Systeminhaber bewertet. Zahlreiche Zivilbehörden und Abteilungen des Verteidigungsministeriums haben erfolgreich Sicherheitsautorisierungen für auf AWS gehostete Systeme gemäß dem Risk Management Framework-Prozess (RMF) erhalten, der in NIST 800-37 und dem Zertifizierungs- und Akkreditierungsprozess für Informationssicherheit des Verteidigungsministeriums (DoD Information Assurance Certification and Accreditation Process, (DIACAP) festgelegt ist.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 11 von 93

HIPAA

AWS ermöglicht Körperschaften, die dem Health Insurance Portability and Accountability Act (HIPAA) der USA unterliegen, sowie ihren Geschäftspartnern, geschützte patientenbezogene Daten zu verarbeiten, zu warten und zu speichern; AWS schließt mit solchen Kunden Verträge über eine Geschäftspartnerschaft ab. AWS bietet außerdem ein Whitepaper mit Schwerpunkt auf HIPAA für Kunden, die mehr darüber erfahren möchten, wie AWS zur Verarbeitung und Speicherung von Patientendaten genutzt werden kann. Das Whitepaper Architecting for HIPAA Security and Compliance on Amazon Web Services zeigt auf, wie Unternehmen AWS einsetzen können, um die Compliance mit HIPAA and Health Information Technology for

Economic and Clinical Health (HITECH) zu unterstützen.

Kunden können jeden AWS-Service in einem Konto nutzen, das als HIPAA-Konto ausgewiesen ist, sollten PHI jedoch nur in den HIPAA-konformen Services speichern und übertragen, die in den BAA definiert sind. Es gibt bisher folgende neun HIPAA-fähige Services:

Amazon DynamoDB

Amazon Elastic Block Store (EBS)

Amazon Elastic Cloud Compute (EC2)

Elastic Load Balancing (ELB)

Amazon Elastic MapReduce (EMR)

Amazon Glacier

Amazon Redshift

Amazon Relational Database Service (Amazon RDS), wenn nur MySQL- und Oracle-Engines verwendet werden

Amazon Simple Storage Service (S3)

AWS befolgt ein standardbasiertes Risikomanagementprogramm, um sicherzustellen, dass die HIPAA-konformen Services die spezifischen Sicherheits-, Kontroll- und Verwaltungsprozesse unterstützen, die gemäß HIPAA erforderlich sind. Indem unsere Kunden diese Services nutzen, um PHI zu speichern und zu verarbeiten, können sie und AWS die HIPAA-Anforderungen erfüllen, die für unser dienstprogrammbasiertes Betriebsmodell gelten. AWS priorisiert je nach Kundennachfrage neue geeignete Services bzw. fügt solche hinzu.

Weitere Informationen finden Sie in den häufig gestellten Fragen zur HIPAA Compliance unter https://aws.amazon.com/compliance/hipaa-compliance/ Architekturen entwerfen im Hinblick auf HIPAA-Sicherheit und Compliance auf Amazon Web Services: https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

IRAP

Das Information Security Registered Assessors Program (IRAP) ermöglicht Kunden der australischen Regierung zu bestätigen, dass angemessene Kontrollen vorhanden sind, und dient zur Bestimmung des geeigneten Verantwortlichkeitsmodells für die im Information Security Manual (ISM) festgelegten Anforderungen der australischen Sicherheitsbehörde (Australian Signals Directorate, ASD).

Amazon Web Services verfügt über ein unabhängiges Gutachten, das bestätigt, dass für die AWS-Region Sydney alle geeigneten ISM-Kontrollen für die Verarbeitung, Speicherung und Übertragung von Daten der Klassifizierungsstufe Unclassified (DLM) vorhanden sind.

Häufig gestellte Fragen zur IRAP-Compliance:

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 12 von 93

https://aws.amazon.com/compliance/irap/ Weitere Informationen finden Sie unter Anhang B: AWS-Übereinstimmung mit den Sicherheitsüberlegungen zum Cloud Computing (Cloud Computing Security Considerations) des Australian Signals Directorate (ASD)

ISO 9001

AWS hat eine ISO 9001-Zertifizierung erhalten. Die ISO 9001-Zertifizierung von AWS unterstützt direkt diejenigen Kunden, die ihre qualitätsgeprüften IT-Systeme in der AWS-Cloud entwickeln und betreiben oder sie in die Cloud übertragen. Kunden können die Compliance-Berichte von AWS als Beleg für ihre eigenen ISO 9001-Programme und für branchenspezifische Qualitätsprogramme nutzen, etwa GxP in Biowissenschaften, ISO 13485 für medizinische Geräte, AS9100 in Luft- und Raumfahrt und ISO/TS 16949 im Automobilsektor. AWS-Kunden, die für ihr Qualitätssystem keine Anforderungen zu erfüllen haben, profitieren dennoch von der zusätzlichen Gewissheit und Transparenz, die eine Zertifizierung gemäß ISO 9001 bietet. Die Zertifizierung nach ISO 9001 umfasst das Qualitätsmanagementsystem eines bestimmten Umfang der AWS-Dienste, Betriebsregionen (unten) und Services, einschließlich:

AWS CloudFormation AWS Cloud Hardware Security Model (HSM) Amazon CloudFront AWS CloudTrail AWS Direct Connect AWS Directory Service Amazon DynamoDB Amazon EC2 VM Import/Export AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Cloud Compute (EC2) Amazon EC2 Container Service (ECS) Amazon Elastic File System (EFS) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) Amazon Redshift Amazon Relational Database Service (RDS) AWS Route 53 Amazon SimpleDB Amazon Simple Email Service (SES) Amazon Simple Queue Service (SQS) Amazon Simple Storage Service (S3) AWS Storage Gateway Amazon Simple Workflow Service (SWF) Amazon Virtual Private Cloud (VPC) AWS WAF – Web Application Firewall Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces Die zugrunde liegende physische Infrastruktur und die AWS-Verwaltungsumgebung

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 13 von 93

Die Zertifizierung gemäß ISO 9001 von AWS gilt für folgende AWS-Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA), Südamerika (São Paulo), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney) und Asien-Pazifik (Tokio).

ISO 9001:2008 ist eine weltweite Norm für das Qualitätsmanagement von Produkten und Dienstleistungen. Die Norm 9001 umreißt ein Qualitätsmanagementsystem auf der Grundlage von acht Prinzipien, die vom technischen Ausschuss für Qualitätsmanagement und Qualitätssicherung der Internationalen Organisation für Normung (International Organization for Standardization – ISO) definiert wurde. Dazu gehören die Folgenden:

Kundenorientierung Führerschaft Einbeziehung von Personen Prozessorientierte Verfahrensweise Systemorientierter Managementansatz Kontinuierliche Verbesserung Sachbezogene Entscheidungsfindung Lieferantenbeziehungen zum gegenseitigen Nutzen

Die ISO 9001-Zertifizierung für AWS kann heruntergeladen werden unter https://d0.awsstatic.com/certifications/iso_9001_certification.pdf

AWS bietet weitere Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach ISO 9001 unter https://aws.amazon.com/compliance/iso-9001-faqs/

ISO 27001

AWS verfügt über die ISO 27001-Zertifizierung für sein Informationssicherheits-Managementsystems (ISMS). Die Zertifizierung gilt für die Infrastruktur, die Rechenzentren und Services von AWS einschließlich:

AWS CloudFormation Amazon CloudFront AWS CloudTrail AWS Directory Service Amazon DynamoDB AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Cloud Compute (EC2) Amazon EC2 Container Service (ECS) AWS Direct Connect Amazon EC2 VM Import/Export AWS Cloud Hardware Security Model (HSM) Elastic Load Balancing (ELB) Amazon Elastic File System (EFS) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) Amazon Redshift Amazon Relational Database Service (RDS) AWS Route 53

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 14 von 93

Amazon SimpleDB Amazon Simple Email Service (SES) Amazon Simple Queue Service (SQS) Amazon Simple Storage Service (S3) Amazon Simple Workflow Service (SWF) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) AWS WAF – Web Application Firewall Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces Die zugrunde liegende physische Infrastruktur (einschließlich GovCloud) und die AWS-

Verwaltungsumgebung

ISO 27001/27002 ist ein weit verbreiteter globaler Sicherheitsstandard, der Anforderungen und bewährte Methoden für eine systematische Vorgehensweise zur Verwaltung von Unternehmens- und Kundendaten beschreibt und auf regelmäßigen Risikobewertungen basiert, die an sich ständig ändernde Bedrohungsszenarien angepasst sind. Um die Zertifizierung zu erhalten, muss ein Unternehmen zeigen, dass es über einen systematischen und kontinuierlichen Ansatz für den Umgang mit Informationssicherheitsrisiken verfügt, die die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten bedrohen. Diese Zertifizierung unterstreicht das Engagement von Amazon, Sicherheitskontrollen und -praktiken transparent zu machen.

Die Zertifizierung gemäß ISO 27001 von AWS gilt für folgende AWS-Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA), Südamerika (São Paulo), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney) und Asien-Pazifik (Tokio).

Die ISO 27001-Zertifizierung für AWS kann heruntergeladen werden unter https://d0.awsstatic.com/certifications/iso_27001_global_certification.pdf

AWS bietet weitere Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach ISO 27001 unter https://aws.amazon.com/compliance/iso-27001-faqs/

ISO 27017

ISO 27017 ist der neueste Verhaltenskodex der ISO (International Organization for Standardization, Internationale Organisation für Normung). Es handelt sich um eine Leitlinie für Informationssicherheitskontrollen speziell bei Cloud-Services.

AWS verfügt über die ISO 27017-Zertifizierung für sein Informationssicherheits-Managementsystems (ISMS). Die Zertifizierung gilt für die Infrastruktur, die Rechenzentren und Services von AWS einschließlich:

Amazon CloudFront Amazon DynamoDB Amazon EC2 Container Service (ECS) Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Amazon Elastic File System (EFS) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 15 von 93

Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon Simple Email Service (SES) Amazon Simple Queue Service (SQS) Amazon Simple Storage Service (S3) Amazon Simple Workflow Service (SWF) Amazon SimpleDB Amazon Virtual Private Cloud (VPC) Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces AWS CloudFormation AWS CloudHSM AWS CloudTrail AWS Direct Connect AWS Directory Service AWS Elastic Beanstalk AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) AWS Storage Gateway AWS WAF (Web Application Firewall) Elastic Load Balancing VM Import/Export

Die ISO 27017-Zertifizierung für AWS kann heruntergeladen werden unter https://d0.awsstatic.com/certifications/iso_27017_certification.pdf

AWS bietet weitere Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach ISO 27017 unter https://aws.amazon.com/compliance/iso-27017-faqs/

ISO 27018

ISO 27018 ist der erste internationale Verhaltenskodex, der sich auf den Schutz personenbezogener Daten in der Cloud konzentriert. Er basiert auf der ISO-Norm 27002 für Informationssicherheit und bietet Implementierungsleitlinien für ISO 27002-Kontrollen bezüglich personenbezogener Informationen (Personally Identifiable Information (PII)) in einer öffentliche Cloud. Er bietet zudem eine Reihe von zusätzlichen Kontrollen und die damit verbundenen Leitlinien für PII Schutzanforderungen in einer öffentlichen Cloud, die nicht durch die bestehende ISO 27002-Richtlinie abgedeckt sind. AWS verfügt über die ISO 27018-Zertifizierung für sein Informationssicherheits-Managementsystems (ISMS). Die Zertifizierung gilt für die Infrastruktur, die Rechenzentren und Services von AWS einschließlich:

Amazon CloudFront Amazon DynamoDB Amazon EC2 Container Service (ECS) Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Amazon Elastic File System (EFS) Amazon Elastic MapReduce (EMR) Amazon ElastiCache

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 16 von 93

Amazon Glacier Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon Simple Email Service (SES) Amazon Simple Queue Service (SQS) Amazon Simple Storage Service (S3) Amazon Simple Workflow Service (SWF) Amazon SimpleDB Amazon Virtual Private Cloud (VPC) Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces AWS CloudFormation AWS CloudHSM AWS CloudTrail AWS Direct Connect AWS Directory Service AWS Elastic Beanstalk AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) AWS Storage Gateway AWS WAF (Web Application Firewall) Elastic Load Balancing VM Import/Export

Die ISO 27018-Zertifizierung für AWS kann heruntergeladen werden unter https://d0.awsstatic.com/certifications/iso_27018_certification.pdf

AWS bietet weitere Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach ISO 27018 unter https://aws.amazon.com/compliance/iso-27018-faqs/

ITAR

Die AWS GovCloud (US)-Region unterstützt die Einhaltung der US International Traffic in Arms Regulations (ITAR, Regelungen des internationalen Waffenhandels). Als Teil der Verwaltung eines umfangreichen Programms zur Einhaltung von ITAR müssen Unternehmen, die den Exportregelungen von ITAR unterliegen, unbeabsichtigte Exporte kontrollieren, indem der Zugriff auf geschützte Daten auf Personen aus den USA und der physische Standort dieser Daten auf die USA beschränkt wird. Die von AWS GovCloud (USA) bereitgestellte Umgebung befindet sich physisch in den USA. Der Zugriff durch AWS-Personal ist auf Personen aus den USA beschränkt. Daher können qualifizierte Unternehmen durch ITAR geschützte Artikel und Daten übertragen, verarbeiten und speichern. Die Umgebung AWS GovCloud (USA) wurde durch einen unabhängigen Dritten geprüft, um sicherzustellen, dass die ordnungsgemäßen Kontrollen zur Unterstützung der Exportregelungsprogramme von Kunden vorhanden sind.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 17 von 93

MPAA

Die Motion Picture Association of America (MPAA) hat bewährte Methoden für die sichere Speicherung, Verarbeitung und Bereitstellung geschützter Medien und Inhalte erarbeitet (http://www.fightfilmtheft.org/facility-security-program.html). Medienunternehmen nutzen diese bewährten Methoden als Möglichkeit zum Bewerten von Risiken und Sicherheit ihrer Inhalte und Infrastruktur. AWS hat die Befolgung bewährter Methoden von MPAA unter Beweis gestellt und die AWS-Infrastruktur erfüllt sämtliche geltenden MPAA-Infrastrukturkontrollen. Wenngleich die MPAA keine „Zertifizierung“ bietet, können Kunden aus der Medienbranche AWS MPAA-Dokumentation zur Verbesserung ihrer Risikoanalyse und Überprüfung von MPAA-Inhalten in AWS benutzen. Weitere Detail finden Sie auf der MPAA-Seite von AWS unter https://aws.amazon.com/compliance/mpaa/

MTCS Tier 3-Zertifizierung

Multi-Tier Cloud Security (MTCS) eine Norm für das Sicherheitsmanagement (SPRING SS 584: 2013) aus Singapur, die auf den ISMS-Standards (Information Security Management System Standards) gemäß ISO 27001/02 beruht. Für diese Zertifizierung muss AWS Folgendes durchführen:

• Systematisches Bewerten unsere Informationssicherheitsrisiken unter Berücksichtigung der Auswirkungen von Bedrohungen und Schwachstellen des Unternehmens • Entwerfen und Implementieren einer umfassenden Gruppe von Informationssicherheitskontrollen und anderen Formen des Risikomanagements bezüglich der Risiken für Unternehmen und die Architektur • Anwenden eines übergreifenden Verwaltungsvorgangs, um laufend sicherzustellen, dass die Informationssicherheitskontrollen unseren Bedürfnissen nach Informationssicherheit entsprechen

Besuchen Sie das MTCS-Portal unter https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/

NIST

Im Juni 2015 hat das National Institute of Standards and Technology (NIST) die Richtlinie 800-171, „Final Guidelines for Protecting Sensitive Government Information Held by Contractors“ veröffentlicht. Diese Richtlinie gilt für den Schutz von kontrollierten, aber unklassifizierten Informationen (Controlled Unclassified Information, CUI) auf Systemen, die nicht im Besitz von US-Behörden sind.

AWS entspricht bereits diesen Richtlinien, sodass Kunden sofort mit NIST 800-171 konform sein können. NIST 800-171 beschreibt eine Teilmenge der NIST 800-53-Anforderungen, denen AWS bereits gemäß der Überprüfung nach dem FedRAMP-Programm entspricht. Die FedRAMP Moderate-Richtlinie für Sicherheitskontrollen ist strenger als die in Kapitel 3 von 800-171 empfohlenen Anforderungen und umfasst beträchtlich mehr Sicherheitskontrollen, als für FISMA Moderate-Systeme erforderlich sind, die CUI-Daten schützen. Eine detaillierte Zuordnung finden Sie in der NIST Special Publication 800-171 ab Seite D2 (das ist Seite 37 in der PDF-Datei).

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 18 von 93

PCI DSS Stufe 1

AWS erfüllt die Anforderungen von Stufe 1 des Datensicherheitsstandards (Data Security Standard, DSS) der Zahlungs- und Kreditkartenbranche (Payment Card Industry, PCI). Kunden können ihre Anwendungen auf unserer PCI-konformen Technologieinfrastruktur für die Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten in der Cloud ausführen. Im Februar 2013 hat das PCI Security Standards Council die PCI DSS Cloud Computing Guidelines herausgegeben. Diese Leitlinien bieten Kunden, die eine Datenumgebung für Karteninhaber betreiben, Anleitungen zum Einrichten von PCI DSS-Kontrollen in der Cloud. AWS hat die PCI DSS Cloud Computing-Leitlinien in das AWS PCI-Compliance-Paket für Kunden integriert. Das AWS PCI Compliance-Paket umfasst die AWS PCI Attestation of Compliance (AoC), die bestätigt, dass AWS die Standards für Dienstanbieter der Stufe 1 gemäß PCI DSS Version 3.1 erfüllt, und die AWS PCI Responsibility Summary, in der erläutert wird, wie sich AWS und seine Kunden die Zuständigkeiten für Compliance in der Cloud teilen. Für folgende Services gilt PCI DSS der Stufe 1:

Auto Scaling AWS CloudFormation Amazon CloudFront AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Key Management Service (KMS) AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) Amazon Simple Queue Service (SQS) Amazon Simple Workflow Service SWF Amazon Virtual Private Cloud (VPC) Die zugrunde liegende physische Infrastruktur (einschließlich GovCloud) und die AWS-

Verwaltungsumgebung

Welche Services und Regionen aktuell unter die AWS PCI DSS-Zertifizierung der Stufe 1 fallen, kann eingesehen werden unter https://aws.amazon.com/compliance/pci-dss-level-1-faqs/

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 19 von 93

SOC 1/ISAE 3402

Amazon Web Services veröffentlicht den Bericht „Service Organization Controls 1 (SOC 1), Type II“. Die Prüfung für diesen Bericht wird in Übereinstimmung mit den folgenden Standards ausgeführt: „American Institute of Certified Public Accountants (AICPA): AT 801“ (früher SSAE 16) und „International Standards for Assurance Engagements No. 3402“ (ISAE 3402). Dieser zwei Standards abdeckende Bericht hat zum Ziel, eine breite Palette finanzieller Prüfanforderungen von Prüfstellen in den USA und internationalen Prüfstellen zu erfüllen. Der SOC 1-Bericht bescheinigt, dass die Kontrollziele von AWS angemessen ausgearbeitet wurden und dass die einzelnen, zum Schutz der Kundendaten definierten Kontrollen effektiv umgesetzt werden. Dieser Bericht ersetzt den Prüfbericht „Statement on Auditing Standards Nr. 70 (SAS 70) Type II“. Die AWS SOC 1-Kontrollziele werden hier erläutert. Im Bericht selbst sind die Kontrollaktivitäten, die alle diese Ziele unterstützen, sowie die Ergebnisse der Testverfahren der einzelnen Kontrollen des unabhängigen Prüfers angegeben.

Zielbereich Zielbeschreibung

Sicherheitsorganisation Durch Kontrollen wird in angemessener Weise sichergestellt, dass Richtlinien für die Informationssicherheit in Kraft gesetzt und in der gesamten Organisation vermittelt wurden.

Mitarbeiterkonten Durch Kontrollen wird in angemessener Weise sichergestellt, dass Verfahren so eingerichtet wurden, dass Benutzerkonten von Amazon-Mitarbeitern zeitgerecht hinzugefügt, geändert und gelöscht sowie regelmäßig überprüft werden.

Logische Sicherheit

Durch Kontrollen wird in angemessener Weise sichergestellt, dass Richtlinien und Mechanismen eingerichtet sind, mit denen unerlaubter Zugriff auf die Daten von interner und externer Stelle beschränkt wird und dass der Zugriff auf die Daten eines Kunden vom Zugriff auf die Daten anderer Kunden getrennt ist.

Sicherer Umgang mit Daten

Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenverarbeitung zwischen dem Ausgangspunkt des Kunden und dem Speicherort von AWS sicher und ordnungsgemäß zugeordnet ist.

Physische Sicherheit und Schutzvorkehrungen für die Umgebung

Durch Kontrollen wird in angemessener Weise sichergestellt, dass der physische Zugriff auf die Rechenzentren auf autorisiertes Personal beschränkt ist und dass Mechanismen zum Minimieren der Auswirkungen einer Fehlfunktion oder eines physischen Ausfalls der Computer- und Rechenzentrumsanlagen eingerichtet sind.

Änderungsverwaltung

Durch Kontrollen wird in angemessener Weise sichergestellt, dass Änderungen (einschließlich bei Notfällen/Abweichungen von der Routine und Konfigurationen) an den vorhandenen IT-Ressourcen protokolliert, autorisiert, getestet, genehmigt und dokumentiert werden.

Integrität, Verfügbarkeit und Redundanz von Daten

Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenintegrität in allen Phasen – von der Übermittlung über die Speicherung bis hin zur Verarbeitung – gewährleistet ist.

Umgang mit Vorfällen Durch Kontrollen wird in angemessener Weise sichergestellt, dass Systemvorfälle aufgezeichnet, untersucht und behoben werden.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 20 von 93

Bei den SOC 1-Berichten liegt der Schwerpunkt auf Kontrollen einer Serviceorganisation, die bei einer Überprüfung der Bilanzen eines Unternehmens voraussichtlich relevant sind. Da der Kundenstamm von AWS ebenso breit gefächert ist wie die Nutzung von AWS-Services, hängt die Anwendbarkeit von Kontrollen von Kundenbilanzen vom jeweiligen Kunden ab. Deshalb deckt der AWS SOC 1-Bericht bestimmte wichtige Kontrollen ab, die während einer Bilanzprüfung voraussichtlich erforderlich sind. Zugleich wird eine breite Palette allgemeiner IT-Kontrollen abgedeckt, um eine Vielzahl von Nutzungs- und Prüfszenarien zu berücksichtigen. Dies ermöglicht Kunden die Nutzung der AWS-Infrastruktur zum Speichern und Verarbeiten kritischer Daten einschließlich derjenigen, die für den Bilanzberichtsprozess wesentlich sind. AWS bewertet die Auswahl dieser Kontrollen regelmäßig neu, um Kundenfeedback und die Nutzung dieses wichtigen Prüfberichts zu berücksichtigen. AWS arbeitet fortlaufend am SOC 1-Bericht und wird den Prozess regelmäßiger Prüfungen fortsetzen. Der SOC 1-Bericht umfasst Folgendes:

AWS CloudFormation AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB Amazon EC2 VM Import/Export Amazon Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon ElastiCache Amazon Elastic Compute Cloud (EC2) Amazon Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB Amazon Simple Email Service (SES) Amazon Simple Storage Service (S3) Amazon Simple Workflow (SWF) Amazon Simple Queue Service (SQS) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) Amazon Workspaces

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 21 von 93

SOC 2

Zusätzlich zum SOC 1-Bericht (Service Organization Controls) veröffentlicht AWS einen SOC-Bericht, Typ II. Der SOC 2-Bericht ist ähnlich wie der SOC 1-Bericht eine Bescheinigung, für die die Bewertung der Kontrollfunktionen auf die Kriterien der American Institute of Certified Public Accountants (AICPA) Trust Services Principles ausgeweitet wird. Diese Grundsätze bestimmen für Serviceanbieter wie AWS maßgebliche Kontrollfunktionen für die Praxis hinsichtlich Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz. Der AWS SOC 2-Bericht ist eine Bewertung der Entwurfs- und Betriebseffektivität von Kontrollfunktionen, die die Kriterien der Sicherheits- und Verfügbarkeitsgrundsätze in den Trust Services Principles-Kriterien der AICPA erfüllen. Dieser Bericht bietet mehr Transparenz hinsichtlich der AWS-Sicherheits- und Verfügbarkeitseinstellungen basierend auf einem vordefinierten Branchenstandard für bewährte Methoden und unterstreicht ferner den unbedingten Willen von AWS, Kundendaten zu schützen. Der SOC 2-Bericht deckt die gleichen Services ab wie der SOC 1-Bericht. Erläuterungen zu den abgedeckten Services finden Sie oben in der SOC 1-Beschreibung.

SOC 3

AWS veröffentlicht einen Bericht Service Organization Controls 3 (SOC 3). Der SOC 3-Bericht ist eine öffentlich verfügbare Zusammenfassung des AWS SOC 2-Berichts. Der Bericht umfasst die Auffassung des externen Prüfers hinsichtlich des Einsatzes der Kontrollen (basierend auf den im SOC 2-Bericht eingeschlossenen AICPA’s Security Trust Principles), die Bestätigung der AWS-Führung bezüglich der Wirksamkeit der Kontrollen und einen Überblick über die AWS-Infrastruktur und -Services. Der AWS SOC 3-Bericht schließt alle AWS-Rechenzentren weltweit ein, deren Services diesen Vorschriften unterliegen. Dieser Bericht ermöglicht Kunden eine Bestätigung, dass AWS eine externe Prüfbescheinigung erhalten hat, ohne den Prozess der Beantragung eines SOC 2-Berichts durchlaufen zu müssen. Der SOC 3-Bericht deckt die gleichen Services ab wie der SOC 1-Bericht. Erläuterungen zu den abgedeckten Services finden Sie oben in der SOC 1-Beschreibung. Den AWS SOC 3-Bericht können Sie hier aufrufen:

Wichtige Compliance-Fragen und AWS

In diesem Abschnitt werden allgemeine AWS-spezifische Fragen zur Compliance beim Cloud Computing behandelt. Diese allgemeinen Compliance-Fragen sind ggf. bei der Überprüfung des Betriebs in einer Cloud Computing-Umgebung von Interesse und können die Anstrengungen von AWS-Kunden beim Kontrollmanagement unterstützen.

Nr. Fragen zum Cloud-Computing

Informationen zu AWS

1 Zuständigkeit für Kontrollen. Wer ist für welche Kontrollen in der Infrastruktur zuständig, die in der Cloud bereitgestellt ist?

Für den in AWS bereitgestellten Teil kontrolliert AWS die physischen Komponenten der jeweiligen Technologie. Der Kunde übernimmt die Zuständigkeit und Kontrolle für alle anderen Komponenten, einschließlich Verbindungspunkte und Übertragungen. Um Kunden besser zu veranschaulichen, welche Kontrollen vorhanden sind und wie effektiv diese sind, veröffentlicht AWS einen SOC 1 Type II-Bericht zu den für EC2, S3 und VPC definierten Kontrollen sowie detaillierte Angaben zu den Kontrollen der physischen Sicherheit und Umgebung. Diese Kontrollen sind mit einem hohen Grad an Spezifität definiert, der die Anforderungen der meisten Kunden erfüllen sollte. AWS-Kunden, die eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein Exemplar des SOC 1 Type II-Berichts anfordern.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 22 von 93

Nr. Fragen zum Cloud-Computing

Informationen zu AWS

2 Überprüfung der IT. Wie kann eine Überprüfung des Cloud-Anbieters erfolgen?

Die Überprüfung der meisten Ebenen und Kontrollen oberhalb der physischen Kontrollen liegt weiter in der Zuständigkeit des Kunden. Die Definition der von AWS definierten logischen und physischen Kontrollen ist im SOC 1 Type II-Bericht dokumentiert. Dieser Bericht steht Audit- und Compliance-Teams zur Prüfung zur Verfügung. Die AWS-Zertifizierung nach ISO 27001 und andere Zertifizierungen können ebenfalls von Prüfern geprüft werden.

3 Compliance mit Sarbanes-Oxley (SOX). Wie wird SOX-Compliance erreicht, wenn SOX unterliegende Systeme in der Umgebung des Cloud-Anbieters bereitgestellt werden?

Wenn ein Kunde Finanzdaten in der AWS-Cloud verarbeitet, stellen Prüfer des Kunden ggf. fest, dass einige AWS-Systeme den Sarbanes-Oxley (SOX)-Vorschriften unterliegen. Die Prüfer des Kunden müssen selbständig bestimmen, ob SOX-Vorschriften gelten. Da die meisten logischen Zugriffskontrollen vom Kunden verwaltet werden, ist der Kunde am ehesten in der Lage zu bestimmen, ob seine Kontrollmaßnahmen geltende Normen erfüllen. Wenn die SOX-Prüfer spezifische Informationen zu den physischen Kontrollen von AWS wünschen, können sie Bezug auf den SOC 1 Type II-Bericht von AWS nehmen, in dem die Kontrollen von AWS detailliert beschrieben werden.

4 Compliance mit HIPAA. Können bei einer Bereitstellung in der Umgebung des Cloud-Anbieters HIPAA-Vorgaben erfüllt werden?

HIPAA-Vorschriften gelten für den AWS-Kunden und unterliegen seiner Zuständigkeit. Die AWS-Plattform lässt die Bereitstellung von Lösungen zu, die branchenspezifische Zertifizierungsvorgaben wie HIPAA erfüllen. Kunden können AWS-Services nutzen, um für einen Sicherheitsgrad zu sorgen, der die Vorschriften zum Schutz elektronischer Patientenakten auf jeden Fall erfüllt. Kunden haben in AWS beispielsweise Anwendungen für das Gesundheitswesen erstellt, die den Sicherheits- und Datenschutzregeln von HIPAA entsprechen. AWS bietet auf seiner Website weitere Informationen zur Compliance mit HIPAA, so z. B. ein Whitepaper zu diesem Thema.

5 Compliance mit GLBA. Können bei einer Bereitstellung in der Umgebung des Cloud-Anbieters GLBA-Zertifizierungsvorgaben erfüllt werden?

Die meisten GLBA-Vorgaben unterliegen der Kontrolle des AWS-Kunden. AWS bietet Kunden Möglichkeiten zum Schützen von Daten, Verwalten von Berechtigungen und Erstellen GLBA-konformer Anwendungen in der AWS-Infrastruktur. Wenn Kunden sich vergewissern möchten, ob physische Sicherheitskontrollen effektiv arbeiten, können sie den Anforderungen entsprechend Bezug auf den AWS SOC 1 Type II-Bericht nehmen.

6 Compliance mit US-Bundesvorschriften. Kann eine US-Bundesbehörde bei einer Bereitstellung in der Umgebung des Cloud-Anbieters Sicherheits- und Datenschutzvorschriften erfüllen?

US-Bundesbehörden können eine Reihe von Standards einhalten wie z. B. den Federal Information Security Management Act (FISMA) von 2002, Federal Risk and Authorization Management Program (FedRAMPsm), den Federal Information Processing Standard (FIPS) Publication 140-2 und die International Traffic in Arms Regulations (ITAR). Compliance bezüglich anderer Gesetze und Statuten kann auch in Abhängigkeit von den Anforderungen sichergestellt sein, die in den anzuwendenden Rechtsvorschriften festgelegt sind.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 23 von 93

Nr. Fragen zum Cloud-Computing

Informationen zu AWS

7 Speicherort der Daten. Wo sind Kundendaten gespeichert?

AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. Die Datenreplikation für S3-Datenobjekte erfolgt innerhalb des regionalen Clusters, in dem die Daten gespeichert sind, und die Daten werden nicht in andere Rechenzentrums-Cluster in anderen Regionen repliziert. AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies wäre erforderlich, um Gesetze oder Vorschriften einzuhalten. Derzeit gibt es elf Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Frankfurt), EU (Irland), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), China (Peking) und Südamerika (São Paulo).

8 E-Discovery. Erfüllt der Cloud-Anbieter die Anforderungen des Kunden hinsichtlich der E-Discovery-Verfahren und -Vorgaben?

AWS stellt die Infrastruktur. Die Kunden verwalten alle anderen Komponenten einschließlich Betriebssystem, Netzwerkkonfiguration und installierte Anwendungen. Es liegt für den Fall eines Rechtsverfahrens in der Zuständigkeit des Kunden, elektronische Dokumente, die in AWS gespeichert oder verarbeitet werden, zu identifizieren, zu sammeln, zu verarbeiten, zu analysieren und vorzulegen. Auf Anfrage arbeitet AWS ggf. mit Kunden zusammen, die bei Rechtsverfahren die Unterstützung von AWS benötigen.

9 Rechenzentrumsbesuche. Lässt der Cloud-Anbieter Besuche von Rechenzentren zu?

Nein. Aufgrund der Tatsache, dass in unseren Rechenzentren viele Kunden gehostet werden, lässt AWS keine Rechenzentrumsbesuche durch Kunden zu, da damit das Risiko besteht, dass eine dritte Partei physischen Zugriff auf die Daten vieler Kunden hat. Zur Erfüllung dieser Kundenanforderung überprüft ein unabhängiger und kompetenter Prüfer das Vorhandensein und den Einsatz von Kontrollen als Teil unseres SOC 1 Type II-Berichts. Durch diese weitreichend akzeptierte Bescheinigung durch einen Dritten erhalten Kunden eine unabhängige Sicht auf die Wirksamkeit der vorhandenen Kontrollen. AWS-Kunden, die eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein Exemplar des SOC 1 Type II-Berichts anfordern. Unabhängige Prüfungen der physischen Sicherheit von Rechenzentren gehören zum ISO 27001-Audit, der PCI-Bewertung, dem ITAR-Audit und den Testprogrammen der FedRAMPsm.

10 Zugriff durch Dritte. Dürfen Dritte auf die Rechenzentren des Cloud-Anbieters zugreifen?

AWS kontrolliert streng den Zugriff auf Rechenzentren, selbst bei internen Mitarbeitern. Dritte erhalten nur Zutritt zu AWS-Rechenzentren, wenn dies explizit durch den zuständigen Manager des jeweiligen AWS-Rechenzentrums gemäß der AWS-Zutrittsrichtlinie genehmigt ist. Im SOC 1 Type II-Bericht finden Sie die für den physischen Zutritt und die Zutrittsgenehmigung für Rechenzentren geltenden Kontrollen sowie weitere Kontrollen.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 24 von 93

Nr. Fragen zum Cloud-Computing

Informationen zu AWS

11 Privilegierte Aktionen. Werden privilegierte Aktionen überwacht und kontrolliert?

Vorhandene Kontrollen begrenzen den Zugriff auf Systeme und Daten und sorgen dafür, dass der Zugriff auf Systeme und Daten eingeschränkt ist und überwacht wird. Darüber hinaus sind Kundendaten und Server-Instances standardmäßig logisch von anderen Kunden isoliert. Die Zutrittskontrolle für berechtigte Benutzer wird von einem unabhängigen Prüfer im Rahmen der SOC 1-, ISO 27001-, PCI-, ITAR- und FedRAMPsm-Audits bei AWS überprüft.

12 Zugriff durch Unternehmensangehörige. Wie geht der Cloud-Anbieter mit dem Risiko eines unangemessenen Zugriffs durch Unternehmensangehörige auf Kundendaten und -anwendungen um?

AWS hat bestimmte SOC 1-Kontrollen eingerichtet, die sich auf das Risiko eines unangemessenen Zugriffs durch Unternehmensangehörige beziehen, und die öffentlichen Zertifizierungs- und Compliance-Initiativen, die in diesem Dokument behandelt werden, befassen sich mit dem Zugriff durch Unternehmensangehörige. Bei sämtlichen Zertifizierungen und Drittanbieterbescheinigungen werden präventive und nachträglich aufdeckende Kontrollen des logischen Zugriffs überprüft. Darüber hinaus konzentrieren sich regelmäßige Risikobewertungen darauf, wie der Zugriff durch Unternehmensangehörige kontrolliert und überwacht wird.

13 Mehrere Mandanten. Ist die Trennung der Daten verschiedener Kunden sicher umgesetzt?

Die AWS-Umgebung ist eine virtualisierte Umgebung für mehrere Mandanten. AWS hat Sicherheitsverwaltungsprozesse, PCI-Kontrollen und andere Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden voneinander getrennt werden. AWS-Systeme sind so konzipiert, dass Kunden daran gehindert werden, auf physische Hosts oder Instances zuzugreifen, die ihnen nicht zugewiesen sind, indem eine Filterung durch die Virtualisierungssoftware erfolgt. Diese Architektur wurde von einem unabhängigen PCI Qualified Security Assessor (QSA) bestätigt und hält alle Anforderungen der im April 2015 veröffentlichten PCI DSS Version 3.1 ein.

Beachten Sie, dass AWS auch Einzelmandantenoptionen bietet. Dedicated Instances sind Amazon EC2-Instances, die innerhalb Ihrer Amazon Virtual Private Cloud (Amazon VPC) gestartet werden und nur zur Ausführung der Hardware eines einzigen Kunden dienen. Mithilfe von Dedicated Instances kommen Sie in den vollen Genuss der Vorteile der Amazon VPC und AWS-Cloud, während Ihre Amazon EC2-Instances auf Hardware-Ebene isoliert werden.

14 Hypervisor-Schwachstellen. Hat der Cloud-Anbieter bekannte Hypervisor-Schwachstellen beseitigt?

Amazon EC2 nutzt derzeit eine stark angepasste Version des Xen-Hypervisors. Der Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft und eignet sich gut für die Aufrechterhaltung einer strikten Trennung zwischen virtuellen Gastmaschinen. Im Verlauf von Begutachtungen und Überprüfungen wird der Xen-Hypervisor von AWS regelmäßig von unabhängigen Prüfern beurteilt. Im AWS-Whitepaper zur Sicherheit finden Sie weitere Informationen zum Xen-Hypervisor und zur strikten Trennung von Instances.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 25 von 93

Nr. Fragen zum Cloud-Computing

Informationen zu AWS

15 Umgang mit Schwachstellen. Werden Patches ordnungsgemäß in Systeme eingespielt?

AWS ist zuständig für das Einspielen von Patches in Systeme, die für die Bereitstellung von Services für die Kunden genutzt werden, z. B. Hypervisor und Netzwerkdienste. Dies erfolgt gemäß AWS-Richtlinien sowie ISO 27001-, NIST- und PCI-Vorgaben. Kunden obliegt die Kontrolle ihrer eigenen Gastbetriebssysteme, Software und Anwendungen. Sie sind demzufolge für das Einspielen von Patches in ihre eigenen Systeme selbst verantwortlich.

16 Verschlüsselung. Unterstützen die bereitgestellten Services eine Verschlüsselung?

Ja. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS, SimpleDB und EC2. IPsec-Tunnel zu VPC sind ebenfalls verschlüsselt. Amazon S3 bietet Kunden als Option auch die serverseitige Verschlüsselung an. Kunden können auch Verschlüsselungsmethoden anderer Anbieter nutzen. Weitere Informationen finden Sie im AWS-Whitepaper zur Sicherheit.

17 Rechte an Daten. Welche Rechte werden dem Cloud-Anbieter an Kundendaten eingeräumt?

Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS geht beim Schutz der Kundendaten auf Nummer Sicher und achtet sorgfältig darauf, welche Vollstreckungsanforderungen zu erfüllen sind. AWS zögert nicht, Verfügungen von Strafverfolgungsbehörden anzufechten, wenn das Unternehmen der Meinung ist, die Verfügungen seien ohne solide Grundlage.

18 Datenisolierung. Trennt der Cloud-Anbieter Kundendaten auf angemessene Weise?

Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten der strikten Trennung von Kundendaten. Amazon S3 bietet erweiterte Datenzugriffskontrollen. Weitere Informationen zur Sicherheit bestimmter Datenservices finden Sie im AWS-Whitepaper zur Sicherheit.

19 Zusammengesetzte Services. Bietet der Cloud-Anbieter seinen Service im Zusammenspiel mit Cloud-Services anderer Anbieter an?

AWS arbeitet nicht mit anderen Cloud-Anbietern zusammen, um Kunden AWS-Services zu bieten.

20 Physische und Umgebungskontrollen. Werden diese Kontrollen vom angegebenen Cloud-Anbieter übernommen?

Ja. Siehe hierzu den entsprechenden Abschnitt im SOC 1 Type II-Bericht. Zudem sind aufgrund weiterer von AWS unterstützter Zertifikate, wie ISO 27001 und FedRAMPsm, bewährte Methoden für physische und Umgebungskontrollen erforderlich.

21 Schutz auf Client-Seite. Erlaubt der Cloud-Anbieter Kunden die Absicherung und Verwaltung des Zugriffs von Clients wie PCs und mobilen Geräten?

Ja. AWS erlaubt Kunden die Verwaltung von Client- und mobilen Anwendungen entsprechend ihren Anforderungen.

22 Serversicherheit. Erlaubt der Cloud-Anbieter Kunden die Absicherung ihrer virtuellen Server?

Ja. AWS erlaubt Kunden die Implementierung ihrer eigenen Sicherheitsarchitektur. Im AWS-Whitepaper zur Sicherheit finden Sie weitere Details zur Server- und Netzwerksicherheit.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 26 von 93

Nr. Fragen zum Cloud-Computing

Informationen zu AWS

23 Identitäts- und Zugriffsverwaltung. Bietet der Service Funktionen für die Identitäts- und Zugriffsverwaltung?

AWS bietet verschiedene Funktionen für die Identitäts- und Zugriffsverwaltung, die Kunden das Verwalten von Benutzeridentitäten, das Zuweisen von Anmeldeinformationen, das Organisieren von Benutzern in Gruppen und das Verwalten von Benutzerberechtigungen zentral ermöglichen. Auf der AWS-Website finden Sie weitere Informationen.

24 Geplante Ausfallzeiten für Wartungen. Wird der Kunde benachrichtigt, wenn Systeme zu Wartungszwecken heruntergefahren werden?

AWS muss Systeme für regelmäßige Wartungs- und System-Patch-Aufgaben nicht offline schalten. Die internen Wartungs- und System-Patching-Vorgänge bei AWS haben in der Regel keine Auswirkungen auf Kunden. Die Wartung der Instances selbst ist Aufgabe des Kunden.

25 Skalierbarkeit. Erlaubt der Anbieter Kunden eine Skalierung, die über den Ursprungsvertrag hinausgeht?

Die AWS-Cloud zeichnet sich durch Verteilung, hohe Sicherheit und Ausfallsicherheit aus und bietet Kunden ein enormes Skalierungspotenzial. Kunden können ihre Bereitstellung vergrößern oder verkleinern und zahlen stets nur, was sie nutzen.

26 Verfügbarkeit von Services. Verpflichtet sich der Anbieter zu einem hohen Grad an Verfügbarkeit?

In seinen Service Level Agreements (SLA) verpflichtet sich AWS zu hohen Verfügbarkeitsgraden. Für Amazon EC2 verpflichtet sich AWS beispielsweise zu einer Betriebszeit von 99,95 % im Jahr der Serviceleistung. Bei Amazon S3 beträgt die mindestens zugesagte Betriebszeit 99.9 %. Sollten diese Verfügbarkeitszeiten nicht eingehalten werden, erfolgen Servicegutschriften.

27 DDoS-Angriffe (Distributed Denial Of Service). Welche Schutzvorkehrungen bietet der Anbieter gegen DDoS-Angriffe?

Das AWS-Netzwerk bietet umfassenden Schutz vor üblichen Netzwerk-Sicherheitsproblemen. Darüber hinaus kann der Kunde zusätzliche Sicherheitsmaßnahmen implementieren. Im AWS-Whitepaper zur Sicherheit finden Sie weitere Informationen zu diesem Thema und auch eine Erläuterung von DDoS-Angriffen.

28 Portierbarkeit von Daten. Können die bei einem Service-Anbieter gespeicherten Daten auf Kundenwunsch exportiert werden?

AWS ermöglicht Kunden das Verschieben von Daten zwischen ihrem eigenen und AWS-Speicher den Anforderungen entsprechend. Der AWS Import/Export-Service für S3 beschleunigt das Verschieben großer Datenmengen in und aus AWS mithilfe tragbarer Speichergeräte für den Transport.

29 Aufrechterhaltung des Geschäftsbetriebs durch den Service-Anbieter. Bietet der Service-Anbieter ein Programm zur Aufrechterhaltung des Geschäftsbetriebs?

AWS bietet ein Programm zur Aufrechterhaltung des Geschäftsbetriebs. Ausführliche Informationen finden Sie im AWS-Whitepaper zur Sicherheit.

30 Betriebskontinuität auf Kundenseite. Erlaubt der Service-Anbieter Kunden die Implementierung eines Plans zur Betriebskontinuität?

AWS bietet Kunden die Möglichkeit der Implementierung eines zuverlässigen Plans zur Betriebskontinuität, einschließlich häufiger Sicherungen von Server-Instances, Replikation zur Datenredundanz und sich über mehrere Regionen/Availability Zones erstreckender Bereitstellungsarchitekturen.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 27 von 93

Nr. Fragen zum Cloud-Computing

Informationen zu AWS

31 Lebensdauer von Daten. Bestimmt der Service die Lebensdauer von Daten?

Amazon S3 bietet eine Speicherinfrastruktur mit hoher Beständigkeit. Objekte werden auf mehreren Geräten an mehreren Standorten einer Amazon S3-Region redundant gespeichert. Nach der Speicherung bewahrt Amazon S3 die Beständigkeit von Objekten durch schnelle Erkennung und Behebung etwaiger Redundanzverluste. Amazon S3 überprüft außerdem regelmäßig die Integrität der gespeicherten Daten anhand von Prüfsummen. Wenn Datenbeschädigungen festgestellt werden, erfolgt eine Reparatur mittels redundanter Daten. In S3 gespeicherte Daten sind auf eine Beständigkeit von 99,999999999 % und eine Verfügbarkeit von Objekten von 99,99 % über einen Zeitraum von einem Jahr ausgelegt.

32 Sicherungskopien. Ermöglicht der Service Sicherungen auf Band?

AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings keinen Bandsicherungsservice an. Der Amazon S3-Service ist mit einer Wahrscheinlichkeit von Datenverlusten auf nahezu 0 % ausgelegt. Die Beständigkeit von Datenobjektkopien an mehreren Standorten wird mittels redundanter Datenspeicherung erreicht. Informationen zur Beständigkeit und Redundanz von Daten finden Sie auf der AWS-Website.

33 Preiserhöhungen. Darf der Service-Anbieter seine Preise unangemeldet erhöhen?

AWS zeichnet sich durch häufige Preissenkungen aus, da die Kosten zum Bereitstellen dieser Services mit der Zeit sinken. In den vergangen Jahren hat AWS seine Preise stets reduziert.

34 Nachhaltigkeit. Bietet der Service-Anbieter ein langfristiges Nachhaltigkeitspotenzial?

AWS ist ein führender Cloud-Anbieter und ein langfristiges Strategieprojekt von Amazon.com. AWS hat ein sehr hohes langfristiges Nachhaltigkeitspotenzial.

Kontakt mit AWS

Kunden können die von unseren externen Prüfern erstellten Berichte und ausgestellten Zertifizierungen sowie weitere Informationen über AWS Compliance anfordern, indem sie sich an AWS Sales and Business Development wenden. Der Vertreter leitet Kunden je nach Art ihrer Anfrage an das entsprechende Team weiter. Weitere Informationen zur AWS-Compliance finden Sie auf der Website AWS-Compliance. Sie können Fragen auch direkt an awscompliance@amazon.com senden.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 28 von 93

Anhang A: CSA Consensus Assessments Initiative – Fragebogen v3.0.1

Die Cloud Security Alliance (CSA) ist eine „gemeinnützige Organisation mit dem Ziel der Förderung der Befolgung bewährter Methoden zum Gewährleisten von Sicherheit beim Cloud Computing und zum Informieren über die Einsatzmöglichkeiten von Cloud Computing zum Absichern aller anderen Formen der Datenverarbeitung“. [Referenz: https://cloudsecurityalliance.org/about/] eine große Vielzahl von IT-Sicherheitsexperten, Unternehmen und Verbänden beteiligen sich an diesem Projekt, damit die Ziele der Organisation erreicht werden. Der Fragenkatalog der CSA Consensus Assessments Initiative umfasst verschiedene Fragen, die Cloud-Nutzer und/oder -Begutachter ggf. einem Cloud-Anbieter stellen. Dazu zählen eine Reihe von Fragen zu Sicherheit, Kontrolle und Prozessen, die anschließend für eine breite Palette von Zwecken genutzt werden können, z. B. Bei der Auswahl des Cloud-Anbieters und der Sicherheitsbewertung. AWS hat diesen Fragenkatalog wie folgt beantwortet:

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Anwendungs- und Schnittstellensicherheit Anwendungssicherheit

AIS-01.1

Befolgen Sie branchenübliche Standards (BSIMM-Benchmarks [Build Security in Maturity Model], Open Group ACS Trusted Technology Provider Framework, NIST usw.) zum Integrieren von Sicherheit in Ihren System-/Software-Entwicklungslebenszyklus?

Der Systementwicklungsprozess von AWS orientiert sich an branchenweit bewährten Methoden. Darunter fallen formale Design-Überprüfungen durch das Sicherheitsteam von AWS, die Modellierung von Bedrohungen und die Ausführung von Risikoanalysen. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“. AWS verfügt über interne Verfahren zur Verwaltung der Neuentwicklung von Ressourcen. Weitere Details finden Sie in der Norm ISO 27001 in Anhang A, Abschnitt 14. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

AIS-01.2

Verwenden Sie vor der Freigabe für die Produktion ein automatisiertes Tool zur Quellcodeanalyse zum Erkennen von Sicherheitslücken im Code?

AIS-01.3

Führen Sie vor der Freigabe für die Produktion eine manuelle Quellcodeanalyse zum Erkennen von Sicherheitslücken im Code durch?

AIS-01.4

Vergewissern Sie sich, dass alle Ihre Softwarelieferanten branchenübliche Standards hinsichtlich Sicherheit bei der System-/Software-Entwicklung befolgen?

AIS-01.5

(Nur SaaS) Überprüfen Sie Ihre Anwendungen auf Sicherheitslücken und behandeln Sie alle Probleme vor der Freigabe für die Produktion?

Anwendungs- und Schnittstellensicherheit Anforderungen für Zugriff durch Kunden

AIS-02.1

Werden alle identifizierten Sicherheits-, vertraglichen und gesetzlichen Vorgaben für den Kundenzugriff vertraglich geregelt, bevor Kunden Zugriff auf Daten, Ressourcen und Informationssysteme gewährt wird?

AWS-Kunden sind dafür verantwortlich, dass ihre Nutzung von AWS in Übereinstimmung mit geltenden Gesetzen und Vorschriften erfolgt. AWS vermittelt seinen Kunden die Sicherheits- und Kontrollumgebung anhand von branchenüblichen Zertifizierungen und Bestätigungen durch unabhängige Dritte, durch Whitepapers (erhältlich unter http://aws.amazon.com/compliance) sowie durch die direkte Bereitstellung von Zertifizierungen, Berichten und anderen geeigneten Dokumenten.

AIS-02.2

Sind alle Anforderungen und Vertrauensstufen für den Kundenzugriff definiert und dokumentiert?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 29 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Anwendungs- und Schnittstellensicherheit Datenintegrität

AIS-03.1

Sind Routinen für die Integrität der Ein- und Ausgabe von Daten (d. h. Abstimmungs- und Bearbeitungsüberprüfungen) für Anwendungsschnittstellen und Datenbanken implementiert, um manuelle oder systemgesteuerte Verarbeitungsfehler oder Datenbeschädigungen zu verhindern?

Die in AWS-SOC-Berichten beschriebenen Datenintegritätskontrollen sorgen in allen Phasen der Datenverwendung (Übertragung, Speicherung und Verarbeitung) für Datenintegrität. Darüber hinaus finden Sie in der Norm ISO 27001 in Anhang A, Abschnitt 14 weitere Informationen. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

Anwendungs- und Schnittstellensicherheit Datensicherheit und -integrität

AIS-04.1

Wurde Ihre Datensicherheitsarchitektur unter Verwendung eines Industriestandards (z. B. CDSA, MULITSAFE, Trusted Cloud Architectural Standard, FedRAMP, CAESARS) entworfen?

Die Datensicherheitsarchitektur von AWS wurde unter Berücksichtigung der in der Branche führenden Praktiken entwickelt. Details zu diesen von AWS verwendeten Praktiken finden Sie in AWS-Zertifikaten, Berichten und Whitepapers unter http://aws.amazon.com/compliance.

Prüfung von Sicherheit und Compliance Prüfungsplanung

AAC-01.1

Haben Sie Prüfungsberichte in einem strukturierten, in der Branche üblichen Format (z. B. CloudAudit/A6 URI Ontology, CloudTrust, SCAP/CYBEX, GRC XML, ISACA's Cloud Computing Management Audit/Assurance Program usw.) erstellt?

AWS hat bestimmte Branchenzertifizierungen und unabhängige Drittanbieterbescheinigungen erhalten und stellt AWS-Kunden bestimmte Zertifizierungen, Berichte und andere relevante Dokumente direkt zur Verfügung.

Prüfung von Sicherheit und Compliance Unabhängige Prüfungen

AAC-02.1

Erlauben Sie Mandanten Einsicht in Ihre SOC2/ISO 27001-Berichte oder in ähnliche Prüfberichte und Zertifizierungen von Drittanbietern?

AWS stellt Kunden mit einer Vertraulichkeitsvereinbarung Bescheinigungen von Drittanbietern, Zertifizierungen, Service Organization Controls (SOC)-Berichte und andere relevante Compliance-Berichte direkt zur Verfügung. Die AWS ISO 27001-Zertifizierung kann hier heruntergeladen werden: http://d0.awsstatic.com/certifications/iso_27001_global_certification.pdf. Der AWS SOC 3-Bericht kann heruntergeladen werden unter https://d0.awsstatic.com/whitepapers/compliance/soc3_amazon_web_services.pdf. In regelmäßigen Abständen überprüft das Sicherheitsteam von AWS alle mit dem Internet verbundenen IP-Adressen von Service-Endpunkten auf Schwachstellen (Instances von Kunden werden nicht untersucht). Das AWS-Sicherheitsteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen beheben können. Zusätzlich werden regelmäßig unabhängige externe Sicherheitsfirmen mit einer Schwachstellenüberprüfung beauftragt. Ergebnisse und Empfehlungen, die aus diesen Bewertungen resultieren, werden kategorisiert und an die AWS-Geschäftsführung weitergeleitet.

AAC-02.2

Führen Sie regelmäßige Netzwerkpenetrationstests Ihrer Cloud-Service-Infrastruktur gemäß branchenüblicher bewährter Methoden und Anleitungen durch?

AAC-02.3

Führen Sie regelmäßige Anwendungspenetrationstests Ihrer Cloud-Service-Infrastruktur gemäß branchenüblicher bewährter Methoden und Anleitungen durch?

AAC-02.4

Führen Sie regelmäßige interne Überprüfungen gemäß branchenüblicher bewährter Methoden und Anleitungen durch?

AAC-02.5

Führen Sie regelmäßige externe Überprüfungen gemäß branchenüblicher bewährter Methoden und Anleitungen durch?

AAC-02.6

Werden Mandanten die Ergebnisse von Penetrationstests auf Antrag vorgelegt?

AAC-02.7

Werden die Ergebnisse interner und externer Überprüfungen Mandanten auf Antrag vorgelegt?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 30 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

AAC-02.8

Verfügen Sie über ein internes Überprüfungsprogramm, das eine funktionsübergreifende Prüfung der Beurteilungen ermöglicht?

Zusätzlich erfolgen regelmäßig interne und externe Prüfungen und Risikobewertungen für die AWS-Kontrollumgebung. AWS beauftragt externe Zertifizierungsgremien und unabhängige Prüfer mit dem Prüfen und Testen der gesamten AWS-Kontrollumgebung.

Prüfung von Sicherheit und Compliance Regulatorische Anforderungen an das Informationssystem

AAC-03.1

Haben Sie die Möglichkeit, Kundendaten dergestalt logisch so zu segmentieren oder zu verschlüsseln, dass Daten nur für einen einzelnen Mandaten generiert werden können, ohne unbeabsichtigterweise auf Daten eines anderen Mandanten zuzugreifen?

Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten der strikten Trennung von Kundendaten. Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden, weshalb diese für die etwaige Verschlüsselung ihrer Daten zuständig sind. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS, SimpleDB und EC2. IPsec-Tunnel zu VPC sind ebenfalls verschlüsselt. Darüber hinaus können Kunden AWS Key Management Systems (KMS) nutzen, um Chiffrierschlüssel zu erstellen und zu kontrollieren (siehe https://aws.amazon.com/kms/). Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings keinen Bandsicherungsservice an. Die Services Amazon S3 und Glacier sind so ausgelegt, dass die Wahrscheinlichkeit von Datenverlusten bei nahezu 0 Prozent liegt. Die Beständigkeit von Datenobjekten wird mittels redundanter Datenspeicherung erreicht, was der Speicherung an mehreren Datenstandorten entspricht. Informationen zur Beständigkeit und Redundanz von Daten finden Sie auf der AWS-Website.

AAC-03.2

Können Sie die Daten eines bestimmten Kunden nach einem Systemausfall oder nach Datenverlust wiederherstellen?

AAC-03.3

Können Sie die Speicherung von Kundendaten auf bestimmte Länder oder geografische Standorte beschränken?

AWS-Kunden können angeben, in welcher Region sich ihre Daten physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies wäre erforderlich, um Gesetze oder Vorschriften einzuhalten. Derzeit gibt es elf Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), China (Peking) und Südamerika (São Paulo).

AAC-03.4

Verfügen Sie über ein Programm, das Änderungen der regulatorischen Anforderungen in der relevanten Rechtsprechung überwacht, Ihr Sicherheitsprogramm an Änderungen gesetzlicher Bestimmungen anpasst und die Compliance mit den relevanten regulatorischen Anforderungen sicherstellt?

AWS überwacht relevante gesetzliche, vertragliche und regulatorische Anforderungen. Weitere Details finden Sie in Anhang 18 der Norm ISO 27001. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

Betriebskontinuitäts-management und betriebliche

BCR-01.1

Bieten Sie Mandanten geografisch ausfallsichere Hosting-Optionen?

Rechenzentren sind in Clustern in verschiedenen Regionen weltweit errichtet. AWS bietet den Kunden ein Höchstmaß an Flexibilität. Es stehen ihnen

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 31 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Systemstabilität Betriebskontinuitätsplanung

BCR-01.2

Bieten Sie Mandanten mit Infrastruktur-Service eine Failover-Möglichkeit zu anderen Anbietern?

mehrere geografische Regionen und mehrere Availability Zones innerhalb jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten zu speichern. Kunden sollten ihre AWS-Nutzung so gestalten, dass mehrere Regionen und Availability Zones genutzt werden. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Betriebskontinuitätstests

BCR-02.1

Werden Betriebskontinuitätspläne in geplanten Abständen oder bei wesentlichen Organisations- oder Umgebungsänderungen getestet, um ihre Effektivität laufend sicherzustellen?

Die AWS-Richtlinien und -Pläne zur Betriebskontinuität wurden in Übereinstimmung mit ISO 27001-Normen entwickelt und getestet. Weitere Details zu AWS und Betriebskontinuität finden Sie in der Norm ISO 27001 in Anhang A, Abschnitt 17.

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Stromversorgung/Telekommunikation

BCR-03.1

Stellen Sie Mandanten Dokumentation zu den Transportrouten ihrer Daten zwischen Ihren Systemen zur Verfügung?

AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies wäre erforderlich, um Gesetze oder Vorschriften einzuhalten. Weitere Details finden Sie im den SOC-Berichten von AWS. Kunden können außerdem ihren Netzwerkpfad zu AWS-Anlagen auswählen, so z. B. auch Pfade über dedizierte, private Netzwerke, in denen der Kunden das Routing des Datenverkehrs steuert.

BCR-03.2

Können Mandanten bestimmen, wie ihre Daten transportiert werden und durch welche juristischen Zuständigkeitsbereiche?

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Dokumentation

BCR-04.1

Stehen Dokumente über das Informationssystem (z. B. Administrator- und Benutzerhandbücher, Architekturdiagramme usw.) befugten Mitarbeitern zur Verfügung, um sicherzustellen, dass Konfiguration, Installation und Betrieb des Informationssystems ordnungsgemäß erfolgen?

Die Dokumentation für das Informationssystem steht AWS-Mitarbeitern intern auf der Intranet-Website von Amazon zur Verfügung. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security/.

Siehe ISO 27001, Anhang A, Abschnitt 12.

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Umweltrisiken

BCR-05.1

Ist physischer Schutz gegen Schäden aufgrund natürlicher Ereignisse und Katastrophen sowie vorsätzlicher Angriffe vorgesehen und konzipiert und stehen Gegenmaßnahmen bereit?

AWS-Rechenzentren verfügen über physischen Schutz gegen Umweltrisiken. Der physische Schutz von AWS gegen Umweltrisiken wurde von einem unabhängigen Prüfer bestätigt und als in Übereinstimmung mit bewährten Methoden gemäß ISO 27002 zertifiziert. Siehe ISO 27001, Anhang A, Abschnitt 11.

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Anlagenstandort

BCR-06.1

Befinden sich Rechenzentren an Orten, an denen Umweltrisiken (Überschwemmungen, Wirbelstürme, Erdbeben, Orkane usw.) wahrscheinlich sind bzw. häufig auftreten?

AWS-Rechenzentren verfügen über physischen Schutz gegen Umweltrisiken. Der physische Schutz von AWS gegen Umweltrisiken wurde von einem unabhängigen Prüfer bestätigt und als in Übereinstimmung mit bewährten Methoden gemäß ISO 27002 zertifiziert. Siehe ISO 27001, Anhang A, Abschnitt 11.

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Anlagenwartung

BCR-07.1

Umfasst Ihre Cloud-Lösung bei Verwenden einer virtuellen Infrastruktur unabhängige Funktionen für Hardware-Wiederherstellung und Recovery?

Mithilfe der EBS Snapshot-Funktionalität können Kunden Images virtueller Maschinen jederzeit erstellen und wiederherstellen. Kunden können ihre AMIs exportieren und diese lokal oder bei einem anderen Anbieter nutzen (wofür ggf.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 32 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

BCR-07.2

Bieten Sie bei Verwenden einer virtuellen Infrastruktur Mandanten die Möglichkeit, eine virtuelle Maschine zeitpunktbezogen wiederherzustellen?

Softwarelizenzeinschränkungen gelten). Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

BCR-07.3

Ermöglichen Sie bei Verwenden einer virtuellen Infrastruktur das Herunterladen von Images virtueller Maschinen und Portieren zu einem neuen Cloud-Anbieter?

BCR-07.4

Werden dem Kunden bei Verwenden einer virtuellen Infrastruktur Images virtueller Maschinen so zur Verfügung gestellt, dass der Kunde diese Images an seinem eigenen standortexternen Speicherort replizieren kann?

BCR-07.5

Bietet Ihre Cloud-Lösung hardware-/softwareunabhängige Wiederherstellungsfunktionen?

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Stromausfälle in Anlagen

BCR-08.1

Sind Sicherheitsmechanismen und Redundanzen vorhanden, um Anlagen gegen Serviceunterbrechungen zu schützen (z. B. Strom- und Netzwerkausfälle)?

AWS-Anlagen sind in Einklang mit der Norm DIN ISO/IEC 27001 gegen Serviceunterbrechungen geschützt. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten. Der SOC-Bericht von AWS bietet weitere Details zu den vorhandenen Kontrollen zum Minimieren der Auswirkungen einer Fehlfunktion oder einer physischen Katastrophe auf Computer- und Rechenzentrumsanlagen. Weitere Informationen finden Sie außerdem im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security.

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Analyse von Auswirkungen

BCR-09.1

Versorgen Sie Mandanten laufend mit transparenten Berichten zu Ihrer Erfüllung von Service Level Agreements (SLAs)?

AWS CloudWatch ermöglicht die Überwachung der AWS-Cloud-Ressourcen und der Anwendungen, die Kunden in AWS ausführen. Unter aws.amazon.com/cloudwatch finden Sie weitere Details. AWS veröffentlicht außerdem in seiner Übersicht zum Servicestatus stets neueste Informationen zur Verfügbarkeit seiner Services. Siehe status.aws.amazon.com.

BCR-09.2

Stellen Sie Ihren Mandanten auf Standards basierende Metriken zur Informationssicherheit (CSA, CAMM usw.) zur Verfügung?

BCR-09.3

Versorgen Sie Kunden laufend mit transparenten Berichten zu Ihrer Erfüllung von SLAs?

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Richtlinien

BCR-10.1

Stehen allen Mitarbeitern zur angemessenen Erfüllung von Serviceaufgaben entsprechend definierte Richtlinien und Verfahren zur Verfügung?

Richtlinien und Verfahren wurden vom AWS-Team für Sicherheit gemäß den Standards NIST 800-53, DIN ISO/IEC 27001, DIN ISO/IEC 27017, DIN ISO/IEC 27018, ISO 9001 und den PCI DSS-Vorgaben festgelegt. Weitere Details finden Sie im AWS-Whitepaper „Risiko und Compliance“ unter http://aws.amazon.com/compliance.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 33 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Betriebskontinuitätsmanagement und betriebliche Systemstabilität Aufbewahrungsrichtlinien

BCR-11.1

Verfügen Sie über technische Kontrollmöglichkeiten zum Erzwingen der Datenaufbewahrungsrichtlinien von Mandanten?

AWS ermöglicht Kunden das Löschen ihrer Daten. Kontrolle und Besitz der eigenen Daten verbleiben allerdings bei den AWS-Kunden, weshalb sie für das Verwalten der Datenaufbewahrung gemäß ihren Anforderungen zuständig sind. Weitere Informationen finden Sie im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security. AWS geht beim Schutz der Kundendaten auf Nummer Sicher und achtet sorgfältig darauf, welche gesetzlichen Vorschriften einzuhalten sind. AWS zögert nicht, Verfügungen von Strafverfolgungsbehörden anzufechten, wenn das Unternehmen der Meinung ist, die Verfügungen seien ohne solide Grundlage. Weitere Informationen finden Sie unter https://aws.amazon.com/compliance/data-privacy-faq/.

BCR-11.2

Verfügen Sie über ein dokumentiertes Verfahren zum Beantworten von Anfragen nach Mandantendaten von Behörden oder Dritten?

BCR-11.4

Haben Sie Sicherungs- und Redundanzmechanismen implementiert, um die Einhaltung von behördlichen, gesetzlichen, vertraglichen oder geschäftlichen Anforderungen sicherzustellen?

Die Sicherungs- und Redundanzmechanismen von AWS wurden in Übereinstimmung mit DIN ISO/IEC 27001-Normen entwickelt und getestet. Weitere Informationen zu den Sicherungs- und Redundanzmechanismen von AWS finden Sie in der DIN ISO/IEC 27001-Norm im Anhang A, Abschnitt 12 und im AWS SOC 2-Bericht.

BCR-11.5

Testen Sie Ihre Sicherungs- oder Redundanzmechanismen mindestens einmal im Jahr?

Änderungskontrolle & Konfigurationsverwaltung Neuentwicklung/Beschaffung

CCC-01.1

Gibt es Richtlinien und Verfahren für die Genehmigung seitens der Geschäftsführung zur Entwicklung oder Beschaffung neuer Anwendungen, Systeme, Datenbanken, Infrastrukturkomponenten, Services, betrieblicher Abläufe und Anlagen?

Richtlinien und Verfahren wurden vom AWS-Team für Sicherheit gemäß den Standards NIST 800-53, DIN ISO/IEC 27001, DIN ISO/IEC 27017, DIN ISO/IEC 27018, ISO 9001 und den PCI DSS-Vorgaben festgelegt.

Unabhängig davon, ob Sie sich gerade erst mit AWS vertraut machen oder fortgeschrittener Benutzer sind, finden Sie nützliche Informationen über Amazon Web Services – von Einführungen bis hin zu erweiterten Funktionen – in der AWS-Dokumentation auf unserer Website unter https://aws.amazon.com/documentation/.

CCC-01.2

Steht eine Dokumentation mit Beschreibungen der Installation, Konfiguration und der Verwendung von Produkten, Services und Funktionen zur Verfügung?

Änderungskontrolle & Konfigurationsverwaltung Ausgelagerte Entwicklungsaufgaben

CCC-02.1

Gibt es Kontrollen, die sicherstellen, dass bei der gesamten Software-Entwicklung Qualitätsstandards befolgt werden?

AWS lagert die Entwicklung von Software generell nicht aus. AWS berücksichtigt Qualitätsstandards im Rahmen seiner Systementwicklungsprozesse. Weitere Details finden Sie in Anhang A, Abschnitt 12 der Norm DIN ISO/IEC 27001. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

CCC-02.2

Gibt es Kontrollen, die sicherstellen, dass bei ausgelagerten Software-Entwicklungsaufträgen Schwachstellen im Quellcode erkannt werden?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 34 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Änderungskontrolle & Konfigurations-verwaltung Qualitätstests

CCC-03.1

Stellen Sie Ihren Mandanten Dokumentation zur Verfügung, in der Ihr Qualitätssicherungsprozess beschrieben wird?

AWS ist nach der Norm DIN ISO/IEC 9001 zertifiziert. Diese Zertifizierung ist eine unabhängige Validierung des Qualitätssystems von AWS und bestätigt, dass die Aktivitäten von AWS den Anforderungen der Norm DIN ISO/IEC 9001 entspricht.

Mit Sicherheitsmitteilungen von AWS werden die Kunden über Sicherheits- und Datenschutzereignisse informiert. Die Kunden können den RSS Feed für Sicherheitsmitteilungen von AWS auf unserer Website abonnieren. Siehe aws.amazon.com/security/security-bulletins/. AWS veröffentlicht außerdem in seiner Übersicht zum Servicestatus stets neueste Informationen zur Verfügbarkeit seiner Services. Siehe status.aws.amazon.com.

Der Systementwicklungsprozess von AWS orientiert sich an branchenweit bewährten Methoden. Darunter fallen formale Design-Überprüfungen durch das Sicherheitsteam von AWS, die Modellierung von Bedrohungen und die Ausführung von Risikoanalysen. Weitere Informationen finden Sie im Whitepaper „Amazon Web Services – Übersicht über Sicherheitsverfahren“. In der Norm DIN ISO/IEC 27001 finden Sie außerdem in Anhang A, Abschnitt 14 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

CCC-03.2

Steht eine Dokumentation zur Verfügung, die bekannte Probleme mit bestimmten Produkten/Services beschreibt?

CCC-03.3

Bestehen Richtlinien und Verfahren, um gemeldete Bugs und Sicherheitslücken für Produkt- und Serviceangebote zu sichten und zu beheben?

CCC-03.4

Gibt es Mechanismen, um sicherzustellen, dass alle Debugging- und Testcodeelemente aus den veröffentlichten Softwareversionen entfernt werden?

Änderungskontrolle & Konfigurationsverwaltung Installation nicht autorisierter Software

CCC-04.1

Gibt es Kontrollen zum Einschränken und Überwachen der Installation nicht autorisierter Software auf Ihren Systemen?

Das AWS-Programm sowie dessen Prozesse und Verfahren in Bezug auf Schadsoftware sind in Einklang mit der Norm DIN ISO/IEC 27001. Weitere Details finden Sie in Anhang A, Abschnitt 12 der Norm DIN ISO/IEC 27001. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Änderungskontrolle & Konfigurationsverwaltung Produktionsänderungen

CCC-05.1

Bieten Sie Mandanten Dokumentation mit Beschreibungen Ihrer Verfahren für das Management von Produktionsänderungen und ihrer Rollen/Rechte/Zuständigkeiten darin?

Der SOC-Bericht von AWS bietet eine Übersicht über die eingerichteten Kontrollen für das Änderungsmanagement in der AWS-Umgebung. Darüber hinaus finden Sie in der Norm DIN ISO/IEC 27001 in Anhang A, Abschnitt 14 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 35 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Datensicherheit & Verwaltung des Lebenszyklus von Daten Klassifizierung

DSI-01.1

Verfügen Sie über eine Möglichkeit zum Identifizieren virtueller Maschinen über Richtlinien-Tags/Metadaten (Tags können beispielsweise genutzt werden, um das Gastbetriebssystem daran zu hindern, Daten im falschen Land zu laden/instanziieren/transportieren)?

Virtuelle Maschinen werden Kunden im Rahmen des EC2-Service zugewiesen. Kunden behalten die Kontrolle darüber, welche Ressourcen genutzt werden und wo sich diese befinden. Auf der AWS-Website (http://aws.amazon.com) finden Sie weitere Details.

DSI-01.2

Verfügen Sie über eine Möglichkeit zum Identifizieren von Hardware über Richtlinien-Tags/Metadaten/Hardware-Tags (z. B. TXT/TPM, VN-Tag)?

AWS bietet die Möglichkeit, EC2-Ressourcen mit Tags zu versehen. EC2-Tags sind ein Typ von Metadaten, der verwendet werden kann, um benutzerfreundliche Namen zu erstellen, die Durchsuchbarkeit zu optimieren und die Koordination zwischen mehreren Benutzern zu verbessern. Die AWS Management Console unterstützt ebenfalls das Arbeiten mit Tags.

DSI-01.3

Verfügen Sie über eine Möglichkeit, den geografischen Standort eines Systems als Authentifizierungsfaktor zu nutzen?

AWS bietet die Möglichkeit des auf der IP-Adresse basierenden bedingten Benutzerzugriffs. Kunden können Bedingungen hinzufügen, um zu steuern, wie Benutzer AWS nutzen, z. B. Tageszeiten, ihre Quell-IP-Adresse oder Anforderung von SSL.

DSI-01.4

Können Sie auf Anfrage den physischen Standort des Speichers der Daten eines Mandanten angeben?

AWS bietet den Kunden die Flexibilität, Instances und Daten in mehreren geografischen Regionen zu speichern. AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um Gesetze oder Vorschriften einzuhalten. Derzeit gibt es elf Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), China (Peking) und Südamerika (São Paulo).

DSI-01.5

Können Sie den physischen Standort des Speichers der Daten eines Mandanten vorab angeben?

DSI-01.6

Befolgen Sie einen strukturierten Standard für die Schriftgutverwaltung (z. B. DIN ISO 15489, Oasis XML Catalog Specification, CSA-Anleitung für Datentypen)?

AWS-Kunden behalten die Kontrolle über ihre eigenen Daten und können zum Erfüllen ihrer Anforderungen einen strukturierten Standard für die Schriftgutverwaltung implementieren.

DSI-01.7

Ermöglichen Sie Mandanten das Bestimmen akzeptabler geografischer Standorte für das Routing von Daten oder die Instanziierung von Ressourcen?

AWS bietet den Kunden die Flexibilität, Instances und Daten in mehreren geografischen Regionen zu speichern. AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um Gesetze oder Vorschriften einzuhalten. Derzeit gibt es elf Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), China (Peking) und Südamerika (São Paulo).

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 36 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Datensicherheit & Verwaltung des Lebenszyklus von Daten Datenbestand/-verkehr

DSI-02.1

Inventarisieren, dokumentieren und pflegen Sie den Datenverkehr für Daten, die innerhalb der Anwendungen und Infrastrukturnetzwerk und -systeme (dauerhaft oder temporär) gespeichert sind?

AWS-Kunden können angeben, in welcher Region sich ihre Daten physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um Gesetze oder Vorschriften einzuhalten. Derzeit gibt es elf Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), China (Peking) und Südamerika (São Paulo).

DSI-02.2

Können Sie sicherstellen, dass keine Daten über einen definierten geografischen Standort hinaus migriert werden?

Datensicherheit & Verwaltung des Lebenszyklus von Daten E-Commerce-Transaktionen

DSI-03.1

Bieten Sie Mandanten offene Verschlüsselungsmethoden (3.4ES, AES usw.) zum Schutz ihrer Daten, sobald diese in öffentlichen Netzwerken übertragen werden müssen (z. B. im Internet)?

Sämtliche APIs von AWS sind über durch SSH geschützte Endpunkte zugänglich, die für eine Serverauthentifizierung sorgen. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS, SimpleDB und EC2. IPsec-Tunnel zu VPC sind ebenfalls verschlüsselt. Darüber hinaus können Kunden AWS Key Management Systems (KMS) nutzen, um Verschlüsselungsschlüssel zu erstellen und zu kontrollieren (siehe https://aws.amazon.com/kms/). Kunden können auch Verschlüsselungsmethoden anderer Anbieter nutzen. Weitere Informationen finden Sie im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security.

DSI-03.2

Setzen Sie offene Verschlüsselungsmethoden immer dann ein, wenn Ihre Infrastrukturkomponenten über öffentliche Netzwerke kommunizieren müssen (z. B. bei der Replikation von Daten aus einer Umgebung in eine andere über das Internet)?

Datensicherheit & Verwaltung des Lebenszyklus von Daten Richtlinien für Verarbeitung/Benennung/Sicherheit

DSI-04.1

Gibt es Richtlinien und Verfahren für die Benennung, Verarbeitung und Sicherheit von Daten und Objekten, die Daten enthalten?

Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden, die zum Erfüllen ihrer Anforderungen Richtlinien und Verfahren für die Benennung und Verarbeitung implementieren können.

DSI-04.2

Sind Mechanismen für die Benennungsvererbung für Objekte implementiert, die als Sammelcontainer für Daten fungieren?

Datensicherheit & Verwaltung des Lebenszyklus von Daten Nicht für die Produktionsumgebung vorgesehene Daten

DSI-05.1

Verfügen Sie über Verfahren, die sicherstellen, dass Produktionsdaten nicht in andere Umgebungen als in die Produktionsumgebung repliziert oder in diesen verwendet werden?

Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS ermöglicht Kunden das Entwickeln und Pflegen von Produktions- und anderen Umgebungen. Kunden sind dafür zuständig, dass ihre Produktionsdaten nicht in andere Umgebungen repliziert werden.

Datensicherheit & Verwaltung des Lebenszyklus von Daten Besitz/Verwaltung

DSI-06.1

Werden die Pflichten hinsichtlich der Datenverwaltung definiert, zugewiesen, dokumentiert und kommuniziert?

Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. Weitere Informationen finden Sie im AWS-Kundenvertrag.

Datensicherheit & Verwaltung des Lebenszyklus von Daten Sicheres dauerhaftes Löschen

DSI-07.1

Unterstützen Sie das sichere Löschen (z. B. Entmagnetisieren/kryptografisches Löschen) archivierter und gesicherter Daten gemäß den Vorgaben des Mandanten?

Wenn die Lebensdauer eines Speichergeräts zu Ende geht, führt AWS einen speziellen Prozess zur Außerbetriebnahme durch, damit Kundendaten nicht an unbefugte Personen gelangen. AWS verwendet die in DoD 5220.22-M („National Industrial Security Program Operating Manual“) oder in NIST 800-88 („Guidelines for Media

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 37 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

DSI-07.2

Verfügen Sie über ein veröffentlichtes Verfahren zum Beenden der Servicevereinbarung einschließlich Zusicherung der Bereinigung von Mandantendaten aus allen EDV-Ressourcen, sobald ein Kunde Ihre Umgebung verlassen oder eine Ressource freigegeben hat?

Sanitation“) beschriebenen Verfahren, um Daten im Zuge der Außerbetriebnahme dauerhaft zu löschen. Falls eine Hardwarekomponente nicht mithilfe dieser Verfahren außer Betrieb genommen werden kann, wird das Gerät entmagnetisiert oder gemäß den branchenüblichen Verfahren zerstört. Weitere Informationen finden Sie im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security.

Amazon EBS-Volumes werden Ihnen als unformatierte Block-Geräte präsentiert, die vor ihrer Freigabe zur Verwendung gelöscht wurden. Das Löschen findet unmittelbar vor der erneuten Verwendung statt, damit Sie sichergehen können, dass der Löschvorgang abgeschlossen wurde. Wenn Sie Verfahren verwenden, die erfordern, dass alle Daten unter Verwendung einer bestimmten Methode gelöscht werden, wie zum Beispiel die in DoD 5220.22-M („National Industrial Security Program Operating Manual”) oder NIST 800-88 („Guidelines for Media Sanitization”) dargestellten Methoden, können Sie dies mit Amazon EBS einrichten. Sie sollten vor dem Formatieren des Volumes einen speziellen Löschvorgang durchführen, damit das Volume Ihren festgelegten Anforderungen entspricht.

Die Verschlüsselung von sensiblen Daten ist im Allgemeinen eine bewährte Methode für die Sicherheit. AWS bietet die Möglichkeit zur Verschlüsselung von EBS-Volumes und deren Snapshots mit AES-256. Die Verschlüsselung findet auf den Servern statt, auf denen die EC2 Instances gehostet werden. Die Datenverschlüsselung wird durchgeführt, wenn die Daten zwischen EC2 Instances und dem EBS-Speicher verschoben werden. Damit dies effizient und mit niedriger Latenz durchgeführt werden kann, steht die EBS-Verschlüsselungsfunktion nur auf den leistungsstärkeren Instance-Typen von EC2 zur Verfügung (z. B. M3, C3, R3, G2).

Sicherheit des Rechenzentrums Komponentenmanagement

DCS-01.1

Verfügen Sie über ein vollständiges Inventar aller ihrer kritischen Komponenten einschließlich dem jeweiligem Zuständigen?

In Übereinstimmung mit DIN ISO/IEC 27001-Normen werden AWS-Hardwarekomponenten vom AWS-Personal mit AWS-eigenen Inventarverwaltungstools einem Zuständigen zugewiesen, nachverfolgt und überwacht. Das AWS-Team für Beschaffung pflegt Beziehungen mit allen AWS-Lieferanten in der Lieferkette. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 8 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

DCS-01.2

Verfügen Sie über eine vollständige Aufstellung aller ihrer Beziehungen mit wichtigen Lieferanten?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 38 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Sicherheit des Rechenzentrums Kontrollierte Zugangspunkte

DCS-02.1

Sind physische Sicherheitsmaßnahmen (z. B. Zäune, Mauern, Barrieren, Wärter, Sperren, elektronische Überwachung, physische Authentifizierungsmechanismen, Empfangsschalter und Bewacher) vorhanden?

Zu den physischen Sicherheitsmaßnahmen zählen u. a. Vorkehrungen wie Zäune, Mauern, Sicherheitspersonal, Videoüberwachung, Einbruchmeldeanlagen und andere elektronische Systeme. Die AWS SOC-Berichte enthalten zusätzliche Details zu den spezifischen Kontrollmaßnahmen, die von AWS durchgeführt werden. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 11 weitere Informationen. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Sicherheit des Rechenzentrums Identifizierung von Geräten

DCS-03.1

Wird eine automatische Identifizierung von Geräten als Methode zur Bestätigung der Integrität der Verbindungsauthentifizierung basierend auf dem bekannten Gerätestandort genutzt?

AWS führt die Identifizierung von Geräten in Einklang mit der Norm DIN ISO/IEC 27001 durch. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Sicherheit des Rechenzentrums Standortexterne Autorisierung

DCS-04.1

Stellen Sie Mandanten Dokumentation zur Verfügung, in der Szenarien beschrieben werden, bei denen Daten ggf. von einem physischen Standort zu einem anderen verschoben werden? (z. B. standortexterne Sicherungen, Failover für Betriebskontinuität, Replikation)

AWS-Kunden können angeben, in welcher Region sich ihre Daten physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um Gesetze oder Vorschriften einzuhalten. Weitere Informationen finden Sie im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security.

Sicherheit des Rechenzentrums Standortexterne Anlagen

DCS-05.1

Können Sie Mandanten Nachweise vorlegen, die Ihre Richtlinien und Verfahren für das Komponentenmanagement und die Wiederverwendung von Anlagen belegen?

Zu den AWS-Prozessen gehört in Übereinstimmung mit den DIN ISO/IEC 27001-Normen ein Verfahren für die Außerbetriebnahme von Speichergeräten, die das Ende ihrer Nutzungsdauer erreicht haben. Bei diesem Verfahren wird sichergestellt, dass Kundendaten nur autorisierten Personen preisgegeben werden. AWS verwendet die in DoD 5220.22-M („National Industrial Security Program Operating Manual“) oder in NIST 800-88 („Guidelines for Media Sanitation“) beschriebenen Verfahren, um Daten im Zuge der Außerbetriebnahme dauerhaft zu löschen. Falls eine Hardwarekomponente nicht mithilfe dieser Verfahren außer Betrieb genommen werden kann, wird das Gerät entmagnetisiert oder gemäß den branchenüblichen Verfahren zerstört. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 8 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 39 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Sicherheit des Rechenzentrums Richtlinien

DCS-06.1

Können Sie nachweisen, dass Richtlinien, Standards und Verfahren zum Gewährleisten einer sicheren Arbeitsumgebung in Büros, Räumen, Anlagen und Sicherheitsbereichen befolgt werden?

AWS beauftragt externe Zertifizierungsgremien und unabhängige Prüfer mit dem Prüfen und Validieren der Einhaltung sämtlicher Compliance-Rahmenwerke. Der AWS SOC-Bericht bietet weitere Details zu den spezifischen physischen Sicherheitskontrollmaßnahmen von AWS. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 11 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

DCS-06.2

Können Sie nachweisen, dass Ihr Personal und beteiligte Dritte im Hinblick auf Ihre dokumentierten Richtlinien, Standards und Verfahren geschult wurden?

In Übereinstimmung mit der Norm DIN ISO/IEC 27001 nehmen alle AWS-Mitarbeiter regelmäßig an einer Schulung zur Informationssicherheit teil. Die Teilnahme muss bestätigt werden. Compliance-Überprüfungen erfolgen regelmäßig, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen. Weitere Informationen finden Sie im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten. Weitere Informationen finden Sie zudem in den SOC 1- und SOC 2-Berichten von AWS.

Sicherheit des Rechenzentrums Autorisierung für Sicherheitsbereich

DCS-07.1

Ermöglichen Sie Mandanten, anzugeben, welche Ihrer geografischen Standorte ihre Daten durchlaufen dürfen (zum Erfüllen rechtlicher Aspekte hinsichtlich des Orts, an dem Daten gespeichert werden bzw. an dem auf sie zugegriffen wird)?

AWS-Kunden geben an, in welcher Region sich ihre Daten physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um Gesetze oder Vorschriften einzuhalten. Derzeit gibt es elf Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Irland), EU (Frankfurt), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), China (Peking) und Südamerika (São Paulo).

Sicherheit des Rechenzentrums Zugang unbefugter Personen

DCS-08.1

Werden Eingangs- und Ausgangspunkte wie beispielsweise Servicebereiche und andere Punkte, an denen nicht befugtes Personal das Betriebsgelände betreten kann, überwacht, kontrolliert und von der Datenspeicherung und -verarbeitung isoliert?

Der physische Zugang wird durch professionelles Sicherheitspersonal streng kontrolliert, sowohl an der Geländegrenze als auch an den Gebäudeeingängen. Dabei werden unter anderem Videoüberwachung, Einbruchmeldeanlagen und andere elektronische Vorrichtungen eingesetzt. Autorisierte Mitarbeiter müssen mindestens zweimal eine Zwei-Faktor-Authentifizierung durchlaufen, bevor sie die Rechenzentrumsebenen betreten dürfen. Physische Zugangspunkte zu Serverstandorten werden von CCTV-Kameras gemäß der AWS Data Center Physical Security Policy aufgezeichnet.

Die physischen Sicherheitsmechanismen von AWS werden von unabhängigen, externen Auditoren während der Prüfungen bezüglich der Compliance mit SOC, PCI DSS, ISO 27001 und FedRAMP überprüft.

Sicherheit des Rechenzentrums Benutzerzugriff

DCS-09.1

Beschränken Sie den physischen Zugriff auf Informationskomponenten und Funktionen durch Benutzer und Supportmitarbeiter?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 40 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Verwaltung von Verschlüsselungss-chlüsseln Berechtigung

EKM-01.1

Sind Richtlinien für die Schlüsselverwaltung vorhanden, mit denen Schlüssel an identifizierbare Eigentümer gebunden werden?

AWS gibt Ihnen die Möglichkeit, für nahezu alle Services einschließlich S3, EBS und EC2 Ihren eigenen Verschlüsselungsmechanismus zu verwenden. VPC-Sitzungen sind ebenfalls verschlüsselt. Darüber hinaus können Kunden AWS Key Management Systems (KMS) nutzen, um Verschlüsselungsschlüssel zu erstellen und zu kontrollieren (siehe https://aws.amazon.com/kms/).

AWS erstellt und verwaltet intern kryptographische Schlüssel für die in der AWS-Infrastruktur erforderliche Verschlüsselung. Zur Erstellung, zum Schutz und zur Verteilung symmetrischer Schlüssel wird ein von AWS entwickelter Verschlüsselungs- und Anmeldungsmanager verwendet. Damit wird Folgendes gesichert und verteilt: AWS-Anmeldeinformationen, die für Hosts, öffentliche/private RSA-Schlüssel und X.509-Zertifizierungen benötigt werden. Die kryptografischen Prozesse von AWS werden regelmäßig von unabhängigen Auditoren auf Erfüllung der Anforderungen von SOC, PCI DSS, ISO 27001 und FedRAMP geprüft.

Verwaltung von Verschlüsselungss-chlüsseln Schlüsselgenerierung

EKM-02.1

Ermöglichen Sie das Erstellen mandantenbezogener eindeutiger Verschlüsselungsschlüssel?

AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS und EC2. IPsec-Tunnel zu VPC sind ebenfalls verschlüsselt. Darüber hinaus können Kunden AWS Key Management Systems (KMS) nutzen, um Verschlüsselungsschlüssel zu erstellen und zu kontrollieren (siehe https://aws.amazon.com/kms/). Weitere Details zu KMS finden Sie in den SOC-Berichten von AWS. Weitere Informationen finden Sie im AWS-Whitepaper „Übersicht über die Sicherheitsprozesse“ unter http://aws.amazon.com/security.

AWS erstellt und verwaltet intern kryptographische Schlüssel für die in der AWS-Infrastruktur erforderliche Verschlüsselung. AWS erstellt, steuert und verteilt symmetrische kryptografische Schlüssel mithilfe NIST-zugelassener Schlüsselverwaltungstechnologie und -prozesse im AWS-Informationssystem. Zur Erstellung, zum Schutz und zur Verteilung symmetrischer Schlüssel wird ein von AWS entwickelter Verschlüsselungs- und Anmeldungsmanager verwendet. Damit wird Folgendes gesichert und verteilt: AWS-Anmeldeinformationen, die für Hosts, öffentliche/private RSA-Schlüssel und X.509-Zertifizierungen benötigt werden. Die kryptografischen Prozesse von AWS werden regelmäßig von unabhängigen Auditoren auf Erfüllung der Anforderungen von SOC, PCI DSS, ISO 27001 und FedRAMP geprüft.

EKM-02.2

Können Sie Verschlüsselungsschlüssel im Auftrag von Mandanten verwalten?

EKM-02.3

Verfügen Sie über Verfahren zur Schlüsselverwaltung?

EKM-02.4

Dokumentieren Sie die Eigentümerschaft jeder einzelnen Phase im Lebenszyklus von Verschlüsselungsschlüssel?

EKM-02.5

Setzen Sie zur Verwaltung von Verschlüsselungsschlüssel Drittanbieter-/Open-Source-/firmeneigene Rahmenwerke ein?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 41 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Verwaltung von Verschlüsselungss-chlüsseln Verschlüsselung

EKM-03.1

Verschlüsseln Sie in Ihrer Umgebung (auf Datenträgern/Speicher) abgelegte Mandantendaten?

AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS und EC2. IPsec-Tunnel zu VPC sind ebenfalls verschlüsselt. Darüber hinaus können Kunden AWS Key Management Systems (KMS) nutzen, um Verschlüsselungsschlüssel zu erstellen und zu kontrollieren (siehe https://aws.amazon.com/kms/). Weitere Details zu KMS finden Sie in den SOC-Berichten von AWS. Weitere Informationen finden Sie im AWS-Whitepaper „Übersicht über die Sicherheitsprozesse“ unter http://aws.amazon.com/security.

EKM-03.2

Setzen Sie eine Verschlüsselung ein, um Daten und Images virtueller Maschinen während des Transports durch oder zwischen Netzwerken und Hypervisor-Instances zu schützen?

EKM-03.3

Unterstützen Sie von Mandanten generierte Verschlüsselungsschlüssel oder erlauben Sie Mandanten die Verschlüsselung von Daten mit einer Identität ohne Zugriff auf ein Public-Key-Zertifikat (z. B. identitätsbasierte Verschlüsselung)?

EKM-03.4

Ist eine Dokumentation vorhanden, in der Ihre Richtlinien, Verfahren und Leitlinien für die Verschlüsselungsverwaltung festgelegt und definiert werden?

Verwaltung von Verschlüsselungsschlüsseln Speicher und Zugriff

EKM-04.1

Verfügen Sie über eine für Plattformen und Daten geeignete Verschlüsselung, die offene/validierte Formate und Standardalgorithmen verwendet?

AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS und EC2. Darüber hinaus können Kunden AWS Key Management Systems (KMS) nutzen, um Verschlüsselungsschlüssel zu erstellen und zu kontrollieren (siehe https://aws.amazon.com/kms/). Weitere Details zu KMS finden Sie in den SOC-Berichten von AWS. AWS erstellt und verwaltet kryptographische Schlüssel für die in der AWS-Infrastruktur erforderliche Verschlüsselung. AWS erstellt, steuert und verteilt symmetrische kryptografische Schlüssel mithilfe NIST-zugelassener Schlüsselverwaltungstechnologie und -prozesse im AWS-Informationssystem. Zur Erstellung, zum Schutz und zur Verteilung symmetrischer Schlüssel wird ein von AWS entwickelter Verschlüsselungs- und Anmeldungsmanager verwendet. Damit wird Folgendes gesichert und verteilt: AWS-Anmeldeinformationen, die für Hosts, öffentliche/private RSA-Schlüssel und X.509-Zertifizierungen benötigt werden. Die kryptografischen Prozesse von AWS werden regelmäßig von unabhängigen Auditoren auf Erfüllung der Anforderungen von SOC, PCI DSS, ISO 27001 und FedRAMP geprüft.

EKM-04.2

Werden Ihre Verschlüsselungsschlüssel vom Cloud-Nutzer oder einem vertrauenswürdigen Schlüsselverwaltungsanbieter gewartet?

EKM-04.3

Speichern Sie Verschlüsselungsschlüssel in der Cloud?

EKM-04.4

Verfügen Sie über getrennte Aufgaben für die Schlüsselverwaltung und die Schlüsselverwendung?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 42 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Überwachung und Risikomanagement Basisanforderungen

GRM-01.1

Haben Sie Basiswerte für die Informationssicherheit aller Komponenten Ihrer Infrastruktur (z. B. Hypervisors, Betriebssysteme, Router, DNS-Server) dokumentiert?

In Übereinstimmung mit DIN ISO/IEC 27001-Normen verwendet AWS Systembasiswerte für kritische Komponenten. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A in den Abschnitten 14 und 18 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Kunden können ein eigenes Abbild ihrer virtuellen Maschine bereitstellen. Mit VM Import können Kunden auf einfache Weise Abbilder virtueller Maschinen aus Ihrer vorhandenen Umgebung in Amazon EC2 Instances importieren.

GRM-01.2

Haben Sie eine Möglichkeit, fortlaufend zu überwachen, ob Ihre Infrastruktur Ihre Basiswerte zur Informationssicherheit einhält und entsprechende Berichte zu erstellen?

GRM-01.3

Ermöglichen Sie Ihren Kunden die Bereitstellung ihres eigenen vertrauenswürdigen Abbilds einer virtuellen Maschine, um die Einhaltung ihrer eigenen internen Standards zu gewährleisten?

Überwachung und Risikomanagement Risikobewertungen

GRM-02.1

Bieten Sie Statusdaten zur Sicherheitskontrolle, um Mandanten die Implementierung einer fortlaufenden branchenüblichen Überwachung zu ermöglichen (die eine laufende Überwachung Ihres physischen und logischen Kontrollstatus durch den Mandanten zulässt)?

AWS veröffentlicht Berichte von unabhängigen Auditoren und Zertifizierungsstellen, um Kunden mit umfassenden Informationen zu Richtlinien, Prozessen und Kontrollen zu versorgen, die von AWS definiert wurden und umgesetzt werden. Die entsprechenden Zertifizierungen und Berichte können AWS-Kunden zur Verfügung gestellt werden. Eine fortlaufende Überwachung logischer Kontrollen kann durch Kunden in ihren eigenen Systemen erfolgen.

GRM-02.2

Nehmen Sie mindestens einmal im Jahr Risikobewertungen in Verbindung mit den Anforderungen der Datenüberwachung vor?

In Übereinstimmung mit der Norm DIN ISO/IEC 27001 unterhält AWS ein umfassendes Programm für das Management und die Entschärfung von Risiken. Darüber hinaus verfügt AWS über eine Zertifizierung nach DIN ISO/IEC 27018. Die Übereinstimmung mit der Norm DIN ISO/IEC 27018 zeigt Kunden, dass AWS über ein Kontrollsystem verfügt, das speziell auf den Datenschutz seiner Inhalte ausgerichtet ist. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Compliance von AWS mit DIN ISO/IEC 27018 unter http://aws.amazon.com/compliance/iso-27018-faqs/.

Überwachung und Risikomanagement Aufsichtsführung des Managements

GRM-03.1

Sind Ihre Führungskräfte in den Bereichen Technik, Business und Geschäftsleitung für sich und ihre Mitarbeiter zuständig für die Sensibilisierung für und Einhaltung von Sicherheitsrichtlinien, Verfahren und Normen, die für ihren und den Zuständigkeitsbereich der Mitarbeiter relevant sind?

Die Kontrollumgebung von Amazon setzt auf der Führungsebene des Unternehmens ein. Die Geschäftsleitung und die leitenden Angestellten spielen bei der Bestimmung der Firmenphilosophie und bei der Festlegung der Grundwerte des Unternehmens eine entscheidende Rolle. Jeder Mitarbeiter muss den Verhaltenskodex des Unternehmens befolgen, der in regelmäßigen Schulungen vermittelt wird. Compliance-Überprüfungen erfolgen, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen. Weitere Details finden Sie im AWS-Whitepaper „Risiko und Compliance“ unter http://aws.amazon.com/compliance.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 43 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Überwachung und Risikomanagement Managementprogramm

GRM-04.1

Stellen Sie Mandanten Dokumentation mit einer Beschreibung Ihres Managementprogramms zur Informationssicherheit zur Verfügung?

AWS stellt seinen Kunden die Dokumentation zur DIN ISO/IEC 27001-Zertifizierung zur Verfügung. Die DIN ISO/IEC 27001-Zertifizierung konzentriert sich vor allem auf das AWS-ISMS und bewertet, inwieweit die internen AWS-Prozesse dem ISO-Standard entsprechen. Die Zertifizierung wird erst vergeben, nachdem ein unabhängiger, externer Auditor eine Bewertung der AWS-Prozesse und -Kontrollen durchgeführt und bestätigt hat, dass diese den DIN ISO/IEC 27001-Zertifizierungsstandard erfüllen. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Compliance von AWS mit DIN ISO/IEC 27001 unter http://aws.amazon.com/compliance/iso-27001-faqs/.

GRM-04.2

Überprüfen Sie Ihr Managementprogramm zur Informationssicherheit mindestens einmal im Jahr?

Überwachung und Risikomanagement Managementunterstützung/-beteiligung

GRM-05.1

Stellen Sie sicher, dass Ihre Lieferanten Ihre Richtlinien für Informationssicherheit und Datenschutz befolgen?

AWS hat einen Rahmen für die Informationssicherheit und Richtlinien festgelegt und hat das zertifizierbare Framework DIN ISO/IEC 27001 mithilfe der DIN ISO/IEC 27002-Kontrollen, der American Institute of Certified Public Accountants (AICPA) Trust Services Principles, dem PCI DSS v3.1 und der Veröffentlichung 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems) des National Institute of Standards and Technology (NIST) integriert. AWS verwaltet Beziehungen mit Dritten gemäß den Standards der Norm DIN ISO/IEC 27001. Die AWS-Anforderungen an Dritte werden von unabhängigen, externen Auditoren während der Prüfungen bezüglich der Compliance mit PCI DSS, ISO 27001 und FedRAMP überprüft.

Informationen über die Compliance-Programme von AWS werden auf unserer Website unter http://aws.amazon.com/compliance/ veröffentlicht.

Überwachung und Risikomanagement Richtlinien

GRM-06.1

Stimmen Ihre Richtlinien für Informationssicherheit und Datenschutz mit Branchennormen (DIN ISO/IEC 27001, ISO-22307, CoBIT usw.) überein?

GRM-06.2

Gibt es Vereinbarungen, um sicherzustellen, dass Ihre Lieferanten Ihre Richtlinien für Informationssicherheit und Datenschutz befolgen?

GRM-06.3

Können Sie nachweisen, dass Ihre Kontrollen, Architektur und Prozesse Vorschriften und/oder Normen ordnungsgemäß entsprechen?

GRM-06.4

Legen Sie offen, welche Kontrollen, Standards, Zertifizierungen bzw. Vorschriften Sie erfüllen?

Überwachung und Risikomanagement Richtliniendurchsetzung

GRM-07.1

Gilt eine formelle Richtlinie für Disziplinar- oder Sanktionsmaßnahmen für Mitarbeiter, die gegen Sicherheitsrichtlinien oder -verfahren verstoßen?

AWS bietet Mitarbeitern eine Schulung in Sachen Sicherheit und Sicherheitsrichtlinien, um sie mit ihren Rollen und Zuständigkeiten hinsichtlich der Informationssicherheit vertraut zu machen. Mitarbeiter, die gegen Amazon-Standards oder -Vorschriften verstoßen, werden einer Untersuchung unterzogen, auf die die entsprechende Disziplinarmaßnahme folgt (z. B. Verwarnung, Leistungsplan, Suspendierung und/oder Kündigung). Weitere Informationen finden Sie im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 7 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

GRM-07.2

Ist Mitarbeitern bekannt, welche Maßnahmen ggf. bei einem Verstoß aufgrund der Richtlinien und Verfahren erfolgen?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 44 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Überwachung und Risikomanagement Auswirkungen von Richtlinienänderungen

GRM-08.1

Führen die Ergebnisse von Risikobewertungen zu Aktualisierungen von Sicherheitsrichtlinien, Verfahren, Standards und Kontrollen, um zu gewährleisten, dass diese maßgeblich und wirkungsvoll bleiben?

Aktualisierungen von Sicherheitsrichtlinien, Verfahren, Standards und Kontrollen von AWS erfolgen jährlich in Übereinstimmung mit der Norm DIN ISO/IEC 27001. Weitere Informationen finden Sie in der Norm DIN ISO/IEC 27001. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Überwachung und Risikomanagement Richtlinienüberprüfungen

GRM-09.1

Benachrichtigen Sie Mandanten, wenn Sie wesentliche Änderungen an Ihren Richtlinien für Informationssicherheit und/oder Datenschutz vornehmen?

Das AWS Cloud-Sicherheits-Whitepaper und das Whitepaper „Risiko und Compliance“ unter http://aws.amazon.com/security bzw. http://aws.amazon.com/compliance werden regelmäßig mit den Änderungen an den AWS-Richtlinien aktualisiert.

GRM-09.2

Nehmen Sie mindestens einmal pro Jahr Überprüfungen Ihrer Datenschutz- und Sicherheitsrichtlinien vor?

Die SOC-Berichte von AWS enthalten Details zu den Überprüfungen der Datenschutz- und Sicherheitsrichtlinien.

Überwachung und Risikomanagement Bewertungen

GRM-10.1

Sind formelle Risikobewertungen im Einklang mit dem unternehmensweit geltenden Rahmenwerk und erfolgen diese mindestens jährlich oder in geplanten Abständen zur Bestimmung der Wahrscheinlichkeit und Auswirkungen aller erkannten Risiken mithilfe qualitativer und quantitativer Methoden?

In Übereinstimmung mit der Norm DIN ISO/IEC 27001 hat AWS ein umfassendes Programm für das Management und die Entschärfung von Risiken entwickelt. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten. Weitere Details zum AWS-Rahmenwerk zum Risikomanagement finden Sie im AWS-Whitepaper „Risiko und Compliance” unter http://aws.amazon.com/security.

GRM-10.2

Werden die Wahrscheinlichkeit und Auswirkungen von immanenten und Restrisiken unter Berücksichtigung sämtlicher Risikokategorien (z. B. Prüfergebnisse, Analyse auf Bedrohungen und Schwachstellen und Compliance mit Vorschriften) unabhängig bestimmt?

Überwachung und Risikomanagement Programm

GRM-11.1

Ist ein dokumentiertes, unternehmensweites Programm zum Risikomanagement vorhanden?

In Übereinstimmung mit der Norm DIN ISO/IEC 27001 unterhält AWS ein umfassendes Programm für das Management und die Entschärfung von Risiken. Die Geschäftsleitung von AWS hat einen strategischen Unternehmensplan entwickelt, der die Risikoerkennung sowie die Implementierung von Kontrollen zur Verringerung und Bewältigung von Risiken vorsieht. Die Geschäftsleitung von AWS bewertet den strategischen Unternehmensplan mindestens halbjährlich neu. Aufgrund dieses Plans muss die Geschäftsleitung Risiken innerhalb ihrer Zuständigkeitsbereiche erkennen und angemessene Maßnahmen für den Umgang mit solchen Risiken umsetzen. Das AWS-Rahmenwerk zum Risikomanagement wird von unabhängigen, externen Auditoren während der Prüfungen bezüglich der Compliance mit PCI DSS, ISO 27001 und FedRAMP überprüft.

GRM-11.2

Stellen Sie eine Dokumentation Ihres unternehmensweiten Risikomanagementprogramms zur Verfügung?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 45 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Personalabteilung Datenschutzverletzungen

HRS-01.1

Sind Systeme zur Überwachung auf Datenschutzverletzungen und schnellen Benachrichtigung von Mandanten vorhanden, wenn der Schutz ihrer Daten ggf. verletzt wurde?

AWS-Kunden sind weiter für die Überwachung ihrer eigenen Umgebung auf Datenschutzverletzungen zuständig. Der SOC-Bericht von AWS bietet eine Übersicht über die vorhandenen Kontrollmaßnahmen zur Überwachung der von AWS verwalteten Umgebung. HRS-

01.2 Entspricht Ihre Datenschutzrichtlinie Branchenstandards?

Personalabteilung Hintergrundüberprüfung

HRS-02.1

Werden alle Einstellungskandidaten, Auftragnehmer und beteiligten Drittparteien gemäß geltenden Gesetzen, Vorschriften, ethischen Grundsätzen und Vertragsbedingungen einer Hintergrundprüfung unterzogen?

AWS führt gemäß geltendem Recht im Rahmen seiner Prüfpraktiken vor einer Einstellung Untersuchungen auf Vorstrafen bei Mitarbeitern durch, und zwar entsprechend der Position des Mitarbeiters und seinem Grad des Zugangs zu AWS-Anlagen. Der SOC-Bericht von AWS bietet weitere Details zu den vorhandenen Kontrollen zur Hintergrundprüfung.

Personalabteilung Mitarbeiterverträge

HRS-03.1

Schulen Sie Ihre Mitarbeiter für ihre jeweilige Rolle und die Kontrollen der Informationssicherheit, die sie erfüllen müssen?

In Übereinstimmung mit der Norm DIN ISO/IEC 27001 nehmen alle AWS-Mitarbeiter regelmäßig an einer rollenabhängigen Schulung teil, die die Sicherheitsschulung von AWS einschließt. Die Teilnahme muss bestätigt werden. Compliance-Überprüfungen erfolgen regelmäßig, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen. Weitere Details finden Sie in den SOC-Berichten. Alle Mitarbeiter, die an AWS-Systemen und -Geräten arbeiten, müssen eine Vertraulichkeitsvereinbarung unterzeichnen, bevor ihnen der Zugang gewährt wird. Zusätzlich müssen die Mitarbeiter bei der Einstellung die Acceptable Use Policy und den Verhaltens- und Ethikkodex von Amazon lesen und unterzeichnen.

HRS-03.2

Wie dokumentieren Sie die Bestätigung von Schulungen, die Mitarbeiter absolviert haben?

HRS-03.3

Müssen alle Mitarbeiter Vertraulichkeits- oder Geheimhaltungsvereinbarungen als Bedingung für die Einstellung zum Schutz der Daten von Kunden/Mandanten unterzeichnen?

HRS-03.4

Ist die erfolgreiche und zeitnahe Absolvierung des Schulungsprogramms eine Voraussetzung dafür, Zugriff auf Systeme mit vertraulichen Daten zu erhalten und zu behalten?

HRS-03.5

Werden die Mitarbeiter mindestens einmal pro Jahr geschult und mit Programmen zur Sensibilisierung versorgt?

Personalabteilung Mitarbeiterkündigung

HRS-04.1

Sind dokumentierte Richtlinien, Verfahren und Leitlinien vorhanden, um Änderungen der Beschäftigungsverhältnisse und/oder Kündigung zu überwachen?

Die AWS-Personalabteilung definiert interne zu übernehmende Managementzuständigkeiten für die Kündigung und Rollenänderung von Mitarbeitern und Lieferanten. Die AWS SOC-Berichte enthalten weitere Details.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 46 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

HRS-04.2

Berücksichtigen die oben angegebenen Verfahren und Leitlinien die zeitnahe Aufhebung des Zugriffs und Rückgabe der Geräte?

Der Zugriff wird automatisch aufgehoben, sobald die Akte eines Mitarbeiters aus dem Personalmanagementsystem von Amazon gelöscht wird. Sobald sich die Position eines Mitarbeiters ändert, muss der fortgesetzte Zugriff dem Mitarbeiter ausdrücklich genehmigt werden. Andernfalls wird er automatisch aufgehoben. Die SOC-Berichte von AWS enthalten weitere Details zum Aufheben des Benutzerzugriffs. Darüber hinaus finden sich im AWS-Whitepaper zur Sicherheit im Abschnitt „Employee Lifecycle” weitere Informationen. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 7 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Personalabteilung Tragbare/Mobile Geräte

HRS-05.1

Gibt es Richtlinien, Verfahren und Maßnahmen für die strenge Einschränkung des Zugriffs auf Ihre vertraulichen Daten und Mandantendaten über tragbare und mobile Geräte (z. B. Laptops, Mobiltelefone und persönliche digitale Assistenten (PDAs)), die generell mit einem höheren Risiko behaftet sind als stationäre Geräte (wie Desktop-Computer an den Standorten der Anbieterorganisation)?

Die Kunden behalten die Kontrolle über und die Verantwortung für ihre Daten und zugehörigen Medienkomponenten. Es liegt im Verantwortungsbereich des Kunden, die Sicherheit der mobilen Geräte und den Zugriff auf die eigenen Inhalte zu verwalten.

Personalabteilung Vertraulichkeitsvereinbarungen

HRS-06.1

Werden Vorgaben von Geheimhaltungs- bzw. Vertraulichkeitsvereinbarungen, die die Anforderungen der Organisation an den Datenschutz und betriebliche Details wiedergeben, in regelmäßigen Abständen dokumentiert und überprüft?

Die Vertraulichkeitsvereinbarung von Amazon wird vom Rechtsbeistand von Amazon verwaltet und entsprechend den geschäftlichen Anforderungen von AWS regelmäßig überarbeitet.

Personalabteilung Rollen/Zuständigkeiten

HRS-07.1

Stellen Sie Mandanten ein Dokument mit der Rollendefinition zur Verfügung, in dem Ihre administrativen Zuständigen und die des Mandanten herausgestellt werden?

Das AWS Cloud-Sicherheits-Whitepaper und das Whitepaper „Risiko und Compliance“ enthalten Details zu den Rollen und Zuständigkeiten von AWS und denen seiner Kunden. Die Whitepaper sind verfügbar unter: http://aws.amazon.com/security und http://aws.amazon.com/compliance.

Personalabteilung Zulässige Nutzung

HRS-08.1

Stellen Sie Dokumentation zur etwaigen Nutzung von oder den etwaigen Zugriff auf Daten und Metadaten von Mandanten zur Verfügung?

AWS verfügt über eine formale Richtlinie für die Zugriffskontrolle, die jährlich (oder bei größeren Änderungen am System, die die Richtlinie betreffen) überprüft und aktualisiert wird. Diese Richtlinie beschreibt die Zielsetzung, den Umfang, die Rollen, die Verantwortlichkeiten und das Engagement der Unternehmensleitung. Bei AWS gilt das Konzept der geringstmöglichen Rechte, bei dem den Benutzern nur die Zugriffsrechte erteilt werden, die sie haben müssen, um ihre Job-Funktionen auszuführen.

HRS-08.2

Erfassen oder erstellen Sie Metadaten zur Nutzung von Mandantendaten mithilfe von Untersuchungstechnologien (Suchmaschinen usw.)?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 47 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

HRS-08.3

Bieten Sie Mandanten eine Möglichkeit, den Zugriff auf ihre Daten/Metadaten über Untersuchungstechnologien zu deaktivieren?

Die Kunden behalten die Kontrolle über und die Verantwortung für ihre Daten und zugehörigen Medienkomponenten. Es liegt im Verantwortungsbereich des Kunden, die Sicherheit der mobilen Geräte und den Zugriff auf die eigenen Inhalte zu verwalten. Weitere Informationen finden Sie in der Norm DIN ISO/IEC 27001 und im Verhaltenskodex 27018. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Normen DIN ISO/IEC 27001 und ISO 27018 eine entsprechende Zertifizierung erhalten.

Personalabteilung Schulung/Sensibilisierung

HRS-09.1

Bieten oder ermöglichen Sie allen Personen mit Zugriff auf Mandantendaten ein formelles, rollenbasiertes Schulungsprogramm zur Sensibilisierung für Sicherheitsfragen beim Cloud-Zugriff oder bei Datenmanagementproblemen (z. B. mehrere Mandanten, Nationalität, Auswirkungen der Aufgabentrennung im Cloud-Bereitstellungsmodell, Interessenkonflikte)?

In Übereinstimmung mit der Norm DIN ISO/IEC 27001 nehmen alle AWS-Mitarbeiter regelmäßig an einer Schulung zur Informationssicherheit teil. Die Teilnahme muss bestätigt werden. Compliance-Überprüfungen erfolgen regelmäßig, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen. Die Rollen und Verantwortlichkeiten von AWS werden von unabhängigen, externen Auditoren während der Prüfungen bezüglich der Compliance mit SOC, PCI DSS, ISO 27001 und FedRAMP überprüft.

HRS-09.2

Sind Administratoren und Datenverwalter hinsichtlich ihrer rechtlichen Zuständigkeiten mit Blick auf Sicherheit und Datenintegrität ordnungsgemäß geschult?

Personalabteilung Zuständigkeiten von Benutzern

HRS-10.1

Werden Benutzer auf ihre Zuständigkeiten beim Aufrechterhalten der Sensibilisierung für und Einhaltung von veröffentlichten Sicherheitsrichtlinien, Verfahren, Normen und geltenden Vorschriften aufmerksam gemacht?

AWS hat weltweit mehrere Verfahren zur internen Kommunikation eingeführt, um seinen Mitarbeitern dabei zu helfen, ihre individuellen Funktionen und Zuständigkeiten zu verstehen, und um wichtige Ereignisse zeitgerecht zu kommunizieren. Hierzu zählen Orientierungs- und Schulungsprogramme für neu eingestellte Mitarbeiter sowie E-Mail-Nachrichten und das Bereitstellen von Informationen über das Intranet von Amazon. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A in den Abschnitten 7 und 8 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten. Weitere Informationen finden Sie außerdem im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security.

HRS-10.2

Werden Benutzer auf ihre Zuständigkeiten für die Aufrechterhaltung einer sicheren Arbeitsumgebung aufmerksam gemacht?

HRS-10.3

Werden Benutzer auf ihre Zuständigkeiten für das sichere Verlassen unbeaufsichtigter Anlagen aufmerksam gemacht?

Personalabteilung Arbeitsbereich

HRS-11.1

Berücksichtigen Ihre Richtlinien und Verfahren für die Datenverwaltung Interessenkonflikte zwischen Mandanten und Service Level?

Die AWS-Richtlinien für die Datenverwaltung befolgen die Norm DIN ISO/IEC 27001. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A in den Abschnitten 8 und 9 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten. Die AWS SOC-Berichte bieten weitere Details zu den spezifischen Kontrollmaßnahmen von AWS zur Verhinderung des unautorisierten Zugriffs auf AWS-Ressourcen.

HRS-11.2

Sehen Ihre Richtlinien und Verfahren zur Datenverwaltung eine Überwachung auf Manipulationen oder Softwareintegritätsfunktion für unbefugte Zugriffe auf Mandantendaten vor?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 48 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

HRS-11.3

Sieht die Infrastruktur zur Verwaltung virtueller Maschinen eine Überwachung auf Manipulationen oder Softwareintegritätsfunktion zum Erkennen von Änderungen an der Einrichtung/Konfiguration der virtuellen Maschinen vor?

AWS hat für alle Systeme und Geräte innerhalb des AWS-Systems Ereigniskategorien ermittelt, die sich durch Audits prüfen lassen. Service-Teams konfigurieren die Auditfunktionen so, dass sicherheitsrelevante Ereignisse fortlaufend gemäß den Anforderungen aufgezeichnet werden. Die Auditdaten enthalten eine Gruppe von Datenelementen, die die erforderlichen Analyseanforderungen unterstützen. Zusätzlich stehen sie dem AWS-Sicherheitsteam oder anderen relevanten Teams bei Bedarf zur Prüfung oder Analyse und für die Behebung sicherheitsrelevanter oder geschäftsschädigender Ereignisse zur Verfügung.

Identity & Access Management Überwachen des Zugriffs durch Tools

IAM-01.1

Beschränken, protokollieren und überwachen Sie den Zugriff auf Ihre Systeme zur Verwaltung der Informationssicherheit (z. B. Hypervisors, Firewalls, Tools zur Schwachstellenanalyse (Vulnerability Scanner), Netzwerk-Sniffer, APIs)?

In Übereinstimmung mit DIN ISO/IEC 27001-Normen hat AWS formale Richtlinien und Verfahren zum Bestimmen der Mindeststandards für den logischen Zugriff auf AWS-Ressourcen definiert. In den SOC-Berichten von AWS sind die Kontrollmaßnahmen bei der Bereitstellung des Zugriffs auf AWS-Ressourcen beschrieben. Weitere Details finden Sie im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security.

IAM-01.2

Überwachen und protokollieren Sie den privilegierten Zugriff (Administratorebene) auf Ihre Systeme zur Verwaltung der Informationssicherheit?

AWS hat für alle Systeme und Geräte innerhalb des AWS-Systems Ereigniskategorien ermittelt, die sich durch Audits prüfen lassen. Service-Teams konfigurieren die Auditfunktionen so, dass sicherheitsrelevante Ereignisse fortlaufend gemäß den Anforderungen aufgezeichnet werden. Das Protokollspeichersystem ist dafür ausgelegt, einen hoch skalierbaren und hoch verfügbaren Service zu bieten, dessen Kapazität bei steigendem Protokollspeicherbedarf automatisch erweitert wird. Die Auditdaten enthalten eine Gruppe von Datenelementen, die die erforderlichen Analyseanforderungen unterstützen. Zusätzlich stehen sie dem AWS-Sicherheitsteam oder anderen relevanten Teams bei Bedarf zur Prüfung oder Analyse und für die Behebung sicherheitsrelevanter oder geschäftsschädigender Ereignisse zur Verfügung. Mitarbeiter des AWS-Teams erhalten automatisierte Benachrichtigungen, wenn Fehler in überwachten Prozessen auftreten. Dazu gehören unter anderem Software- oder Hardwarefehler. Nach Erhalt einer Fehlermeldung stellen die benachrichtigten Mitarbeiter ein Fehlerticket aus und behandeln das Problem, bis es gelöst ist. Die Verfahren der AWS-Protokollierung und -Überwachung werden regelmäßig von unabhängigen Auditoren auf Erfüllung der Anforderungen von SOC, PCI DSS, ISO 27001 und FedRAMP geprüft.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 49 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Identity & Access Management Benutzerzugriffsrichtlinie

IAM-02.1

Gibt es Kontrollen, die das zeitgerechte Aufheben des Systemzugriffs gewährleisten, sobald dieser nicht mehr für geschäftliche Zwecke nötig ist?

Die SOC-Berichte von AWS enthalten weitere Details zum Aufheben des Benutzerzugriffs. Darüber hinaus finden sich im AWS-Whitepaper zur Sicherheit im Abschnitt „Employee Lifecycle” weitere Informationen. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 9 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

IAM-02.2

Stellen Sie Metriken bereit, um das Tempo zu bestimmen, in dem Sie einen Systemzugriff aufheben können, der nicht mehr für geschäftliche Zwecke benötigt wird?

Identity & Access Management Zugriff auf Diagnose-/Konfigurations-Ports

IAM-03.1

Nutzen Sie dedizierte sichere Netzwerke zum Ermöglichen des Verwaltungszugriffs auf Ihre Cloud-Service-Infrastruktur?

Vorhandene Kontrollen begrenzen den Zugriff auf Systeme und Daten und sorgen dafür, dass der Zugriff auf Systeme und Daten entsprechend der Zugriffsrichtlinie von AWS eingeschränkt und überwacht wird. Darüber hinaus sind Kundendaten und Server-Instances standardmäßig logisch von anderen Kunden isoliert. Die Zugriffskontrollen für berechtigte Benutzer werden von einem unabhängigen Auditor im Rahmen der SOC-, ISO 27001-, PCI-, ITAR- und FedRAMP-Audits bei AWS überprüft.

Identity & Access Management Richtlinien und Verfahren

IAM-04.1

Verwalten und speichern Sie die Identität, einschließlich Zugriffsebene, aller Mitarbeiter, die Zugriff auf die IT-Infrastruktur haben?

IAM-04.2

Verwalten und speichern Sie die Benutzeridentität, einschließlich Zugriffsebene, aller Mitarbeiter, die Zugriff auf das Netzwerk haben?

Identity & Access Management Aufgabentrennung

IAM-05.1

Versehen Sie Mandanten mit einer Dokumentation dazu, wie in Ihrem Cloud-Service-Angebot die Trennung von Aufgaben erfolgt?

Kunden behalten die Fähigkeit, die Aufgaben bei der Verwaltung ihrer AWS-Ressourcen zu trennen. Intern befolgt AWS die Norm DIN ISO/IEC 27001 für die Verwaltung der Aufgabentrennung. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 6.1 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Identity & Access Management Beschränkung des Zugriffs auf Quellcode

IAM-06.1

Gibt es Kontrollen zum Verhindern des unbefugten Zugriffs auf den Quellcode Ihrer Anwendungen, Programme und Objekte? Ist gewährleistet, dass nur befugte Personen Zugriff haben?

In Übereinstimmung mit DIN ISO/IEC 27001-Normen hat AWS formale Richtlinien und Verfahren zum Bestimmen der Mindeststandards für den logischen Zugriff auf AWS-Ressourcen definiert. In den SOC-Berichten von AWS sind die Kontrollmaßnahmen bei der Bereitstellung des Zugriffs auf AWS-Ressourcen beschrieben. Weitere Informationen finden Sie im Whitepaper „Amazon Web Services – Übersicht über Sicherheitsverfahren” unter http://aws.amazon.com/security.

IAM-06.2

Gibt es Kontrollen zum Verhindern des unbefugten Zugriffs auf den Quellcode von Anwendungen, Programmen und Objekten von Mandanten? Ist gewährleistet, dass nur befugte Personen Zugriff haben?

Identity & Access Management Zugriff durch Dritte

IAM-07.1

Bieten Sie bei mehrfachen Funktionsausfällen eine Möglichkeit der Notfallwiederherstellung?

AWS bietet den Kunden ein Höchstmaß an Flexibilität. Es stehen ihnen mehrere geografische Regionen und mehrere Availability Zones innerhalb

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 50 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

IAM-07.2

Überwachen Sie die Betriebskontinuität bei vorgelagerten Anbietern im Falle eines Ausfalls bei einem Anbieter?

jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten zu speichern. Jede dieser Availability Zones ist als unabhängige Ausfallzone angelegt. Bei einem Funktionsausfall wird der Kundendatenverkehr von dem vom Ausfall betroffenen Bereich zu einem anderen umgeleitet. Weitere Details finden Sie in den SOC-Berichten von AWS. Außerdem enthält DIN ISO/IEC 27001, Anhang A, Abschnitt 15 zusätzliche Informationen. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

IAM-07.3

Verfügen Sie bei jedem Service, von dem Sie abhängig sind, über mehr als einen Anbieter?

IAM-07.4

Bieten Sie Zugriff auf Übersichten zur Betriebsredundanz und -kontinuität auch für die Services, von denen Sie abhängig sind?

IAM-07.5

Bieten Sie Mandanten die Möglichkeit, einen Systemausfall zu deklarieren?

IAM-07.6

Bieten Sie Mandanten eine Möglichkeit zum Auslösen eines Failovers?

IAM-07.7

Geben Sie Ihren Mandanten Ihre Pläne zu Betriebsredundanz und -kontinuität bekannt?

Identity & Access Management Einschränkung/Autorisierung des Benutzerzugriffs

IAM-08.1

Dokumentieren Sie, wie der Zugriff auf Mandantendaten gewährt und genehmigt wird?

Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. Vorhandene Kontrollen begrenzen den Zugriff auf Systeme und Daten und sorgen dafür, dass der Zugriff auf Systeme und Daten eingeschränkt ist und überwacht wird. Darüber hinaus sind Kundendaten und Server-Instances standardmäßig logisch von anderen Kunden isoliert. Die Zugriffskontrollen für berechtigte Benutzer werden von einem unabhängigen Auditor im Rahmen der SOC-, ISO 27001-, PCI-, ITAR- und FedRAMP-Audits bei AWS überprüft.

IAM-08.2

Verfügen Sie über eine Möglichkeit, um zum Zweck der Zugriffskontrolle Klassifizierungsmethoden für Anbieter- und Mandantendaten aufeinander abzustimmen?

Identity & Access Management Autorisierung des Benutzerzugriffs

IAM-09.1

Stellt Ihre Geschäftsleitung die Autorisierung und Beschränkungen für den Benutzerzugriff (z. B. Mitarbeiter, Zeitarbeitskräfte, Kunden (Mandanten), Geschäftspartner und/oder Lieferanten) bereit, bevor die Benutzer auf Daten, eigene oder verwaltete (physische und virtuelle) Anwendungen, Infrastruktursysteme und Netzwerkkomponenten zugreifen?

Im Rahmen des Workflowprozesses bei der Einstellung werden im AWS-System für die Personalverwaltung eindeutige Benutzerkennungen erstellt. Mithilfe des Gerätebereitstellungsprozesses werden eindeutige Kennungen für Geräte sichergestellt. Für beide Prozesse ist die Genehmigung eines Managers erforderlich, damit ein Benutzerkonto oder ein Gerät erstellt werden kann. Erste Authentifikatoren werden dem Benutzer persönlich zugestellt oder dem Gerät im Rahmen des Bereitstellungsprozesses zugewiesen. Interne Benutzer können ihrem Konto öffentliche SSH-Schlüssel zuordnen. Im Rahmen des Kontoerstellungsprozesses werden dem Anfragesteller nach der Überprüfung seiner Identität Authentifikatoren für das Systemkonto zur Verfügung gestellt.

IAM-09.2

Stellen Sie auf Anfrage Benutzerzugriff (z. B. Mitarbeiter, Zeitarbeitskräfte, Kunden (Mandanten), Geschäftspartner und/oder Lieferanten) auf Daten, eigene oder verwaltete (physische und virtuelle) Anwendungen, Infrastruktursysteme und Netzwerkkomponenten bereit?

AWS hat bestimmte Kontrollen eingerichtet, die sich auf das Risiko eines unangemessenen Zugriffs durch Unternehmensangehörige beziehen. Bei sämtlichen Zertifizierungen und Drittanbieterbescheinigungen werden präventive und nachträglich aufdeckende Kontrollen des logischen Zugriffs überprüft. Darüber hinaus konzentrieren sich regelmäßige Risikobewertungen darauf, wie der Zugriff durch Unternehmensangehörige kontrolliert und überwacht wird.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 51 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Identity & Access Management Überprüfungen des Benutzerzugriffs

IAM-10.1

Führen Sie mindestens jährlich eine Überprüfung der Berechtigungen aller Systembenutzer und Administratoren (mit Ausnahme der Benutzer, die von Ihren Mandanten verwaltet werden) durch?

In Übereinstimmung mit der Norm DIN ISO/IEC 27001 werden sämtliche erteilten Zugriffsberechtigungen regelmäßig überprüft. Eine ausdrückliche erneute Genehmigung ist erforderlich, andernfalls wird der Zugriff des Mitarbeiters automatisch aufgehoben. In den SOC-Berichten sind die für die Überprüfung des Benutzerzugriffs spezifischen Kontrollen dargelegt. Ausnahmen bei den Kontrollen der Benutzerberechtigung sind in den SOC-Berichten dokumentiert. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 9 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

IAM-10.2

Werden sämtliche Abhilfe- und Bescheinigungsmaßnahmen aufgezeichnet, falls Benutzer mit ungeeigneten Berechtigungen gefunden werden?

IAM-10.3

Stellen Sie Ihren Mandanten Berichte zu Abhilfe- und Bescheinigungsmaßnahmen für Benutzerberechtigungen zur Verfügung, wenn ein unangemessener Zugriff auf Mandantendaten zugelassen wurde?

Identity & Access Management Aufhebung des Benutzerzugriffs

IAM-11.1

Erfolgt bei einer etwaigen Änderung des Status von Mitarbeitern, Auftragnehmern, Kunden, Geschäftspartnern oder anderen beteiligten Dritten eine zeitgerechte Außerbetriebnahme, Aufhebung oder Änderung des Benutzerzugriffs auf Systeme, Informationskomponenten und Daten der Organisation?

Der Zugriff wird automatisch aufgehoben, sobald die Akte eines Mitarbeiters aus dem Personalmanagementsystem von Amazon gelöscht wird. Sobald sich die Position eines Mitarbeiters ändert, muss der fortgesetzte Zugriff dem Mitarbeiter ausdrücklich genehmigt werden. Andernfalls wird er automatisch aufgehoben. Die SOC-Berichte von AWS enthalten weitere Details zum Aufheben des Benutzerzugriffs. Darüber hinaus finden sich im AWS-Whitepaper zur Sicherheit im Abschnitt „Employee Lifecycle” weitere Informationen. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 9 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

IAM-11.2

Werden bei einer Änderung des Benutzerzugriffstatus auch die Kündigung des Beschäftigungsverhältnisses, Vertrags oder der Vereinbarung, eine Änderung des Beschäftigungsverhältnisses oder eine Versetzung innerhalb der Organisation berücksichtigt?

Identity & Access Management Benutzeranmelde-informationen

IAM-12.1

Unterstützen Sie die Nutzung von bzw. Integration mit bei Kunden vorhandenen Lösungen für einmaliges Anmelden bei Ihrem Service?

Der AWS-Service Identity and Access Management (IAM) bietet einen Identitätsverbund mit der AWS Management Console. Die Multifaktor-Authentifizierung ist eine optionale Funktion, die Kunden nutzen können. Weitere Details finden Sie auf der AWS-Website unter http://aws.amazon.com/mfa. AWS Identity and Access Management (IAM) unterstützt den Identitätsverbund für den delegierten Zugriff auf die AWS Management Console oder AWS-APIs. Mit dem Identitätsverbund erhalten externe Identitäten (verbundene Benutzer) sicheren Zugriff auf Ressourcen in Ihrem AWS-Konto, ohne dass IAM-Benutzer erstellt werden müssen. Diese externen Identitäten können von Ihrem Unternehmensidentitätsanbieter (wie Microsoft Active Directory oder vom AWS Directory Service) oder von einem Web-Identitätsanbieter wie Amazon Cognito, „Login with Amazon” (oder Facebook oder Google) oder einem mit OpenID Connect (OIDC) kompatiblen Anbieter kommen.

IAM-12.2

Nutzen Sie offene Standards zum Delegieren von Authentifizierungsmöglichkeiten an Ihre Mandanten?

IAM-12.3

Unterstützen Sie Identitätsverbundstandards (SAML, SPML, WS-Federation usw.) als Möglichkeit der Authentifizierung/Autorisierung von Benutzern?

IAM-12.4

Bieten Sie eine Funktion zur Richtliniendurchsetzung (z. B. XACML) zum Durchsetzen regionaler gesetzlicher oder richtlinienbezogener Einschränkungen beim Benutzerzugriff?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 52 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

IAM-12.5

Verfügen Sie über ein Identitätsmanagementsystem, das eine sowohl rollen- als auch kontextbasierte Berechtigung für Daten, d. h. eine Klassifizierung von Daten für einen Mandanten, ermöglicht?

IAM-12.6

Bieten Sie Mandanten für den Benutzerzugriff sehr sichere (Multifaktor-) Authentifizierungsoptionen (digitale Zertifikate, Token, Biometrie usw.)?

IAM-12.7

Erlauben Sie Mandanten die Nutzung von Drittanbieterservices für den Identitätsnachweis?

IAM-12.8

Unterstützen Sie die Richtliniendurchsetzung für Passwort- (Mindestlänge, Alter, Verlauf, Komplexität) und Kontosperrung (Grenzwert für die Sperrung, Dauer der Sperrung)?

AWS Identity and Access Management (IAM) ermöglicht Kunden, den Zugriff auf AWS-Services und -Ressourcen für ihre Benutzer sicher zu steuern. Weitere Informationen über IAM finden Sie auf der Website unter https://aws.amazon.com/iam/. Die AWS SOC-Berichte enthalten Details zu den spezifischen Kontrollmaßnahmen, die von AWS durchgeführt werden. IAM-

12.9 Können Mandanten/Kunden Richtlinien für die Passwort- und Kontosperrung für ihre Konten definieren?

IAM-12.10

Unterstützen Sie das Erzwingen von Passwortänderungen bei der Erstanmeldung?

IAM-12.11

Sind Mechanismen vorhanden, um die Sperrung von Konten aufzuheben (z. B. Self-Service per E-Mail, definierte Sicherheitsfragen, manuelles Aufheben der Sperre)?

Identity & Access Management Zugriff auf Hilfsprogramme

IAM-13.1

Werden Hilfsprogramme zur Verwaltung virtualisierter Partitionen (z. B. zum Herunterfahren, Klonen usw.) entsprechend eingeschränkt und überwacht?

In Übereinstimmung mit DIN ISO/IEC 27001-Normen werden Systemhilfsprogramme entsprechend eingeschränkt und überwacht. Die AWS SOC-Berichte enthalten Details zu den spezifischen Kontrollmaßnahmen, die von AWS durchgeführt werden. Weitere Informationen finden Sie im Whitepaper „Amazon Web Services – Übersicht über Sicherheitsverfahren” unter http://aws.amazon.com/security.

IAM-13.2

Haben Sie Möglichkeiten zum Erkennen direkter Angriffe auf die virtuelle Infrastruktur (z. B. Shimming, Blue Pill, Hyper Jumping usw.)?

IAM-13.3

Werden Angriffe auf die virtuelle Infrastruktur mithilfe technischer Kontrollmaßnahmen verhindert?

Infrastruktur- & Virtualisierungssicherheit Prüfungsprotokollierung/ Erkennung von Eindringversuchen

IVS-01.1

Sind Tools für Dateiintegrität (Host) und zum Erkennen von Eindringversuchen in das Netzwerk (IDS) implementiert, um eine schnelle Erkennung, Ursachenanalyse und Reaktion auf Vorfälle zu erleichtern?

Das AWS-Programm für die Reaktion auf Vorfälle (Erkennung, Untersuchung, Reaktion) wurde in Einklang mit der Norm DIN ISO/IEC 27001 entwickelt. Systemhilfsprogramme werden entsprechend eingeschränkt und überwacht. Die SOC-Berichte von AWS bietet weitere Details zu den vorhandenen Kontrollmaßnahmen zur Einschränkung des Systemzugriffs.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 53 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

IVS-01.2

Ist der physische und logische Benutzerzugriff auf Prüfprotokolle auf autorisierte Mitarbeiter begrenzt?

Weitere Informationen finden Sie im Whitepaper „Amazon Web Services – Übersicht über Sicherheitsverfahren” unter http://aws.amazon.com/security. IVS-

01.3 Können Sie nachweisen, dass Ihre Kontrollen/Architektur/Prozesse ordnungsgemäß auf Vorschriften und Standards abgestimmt sind?

IVS-01.4

Werden Prüfprotokolle zentral gespeichert und aufbewahrt?

In Übereinstimmung mit den DIN ISO/IEC 27001-Normen nutzen AWS-Informationssysteme über NTP (Network Time Protocol) synchronisierte Systemuhren. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten. AWS nutzt automatische Überwachungssysteme, um ein Höchstmaß an Leistungsqualität und Verfügbarkeit der Services zu gewährleisten. Sowohl für den internen als auch für den externen Gebrauch steht eine Reihe von Online-Tools für die dynamische Überwachung zur Verfügung. Die Systeme innerhalb von AWS sind umfassend ausgestattet, um wichtige Betriebsmetriken überwachen zu können. Alarmsignale werden konfiguriert, damit das Betriebspersonal und die Geschäftsleitung benachrichtigt werden, wenn für die wichtigsten Betriebsgrößen die Frühwarnschwellen aktiviert sind. Es wurde ein Rufbereitschaftsdienst eingerichtet, sodass das Personal stets erreichbar ist, um auf Betriebsprobleme zu reagieren. Dazu gehört ein Funkrufsystem, damit alle Alarme zuverlässig an das Betriebspersonal weitergeleitet werden. Weitere Informationen finden Sie im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security.

IVS-01.5

Werden Prüfprotokolle regelmäßig auf Sicherheitsereignisse hin überwacht (z. B. mit automatisierten Tools)?

Infrastruktur- & Virtualisierungssicherheit Änderungserkennung

IVS-02.1

Werden alle Änderungen, die an virtuellen Maschinenabbildern vorgenommen werden, unabhängig von ihrem Betriebszustand (z. B. inaktiv, aus, in Betrieb) protokolliert und gemeldet?

Virtuelle Maschinen werden Kunden im Rahmen des EC2-Service zugewiesen. Kunden behalten die Kontrolle darüber, welche Ressourcen genutzt werden und wo sich diese befinden. Auf der AWS-Website (http://aws.amazon.com) finden Sie weitere Details.

IVS-02.2

Werden Änderungen an virtuellen Maschinen oder das Verschieben eines Abbilds und die darauf folgende Validierung seiner Integrität den Kunden unmittelbar durch elektronische Methoden (z. B. Portale oder Benachrichtigungen) mitgeteilt?

Infrastruktur- & Virtualisierungssicherheit Uhrsynchronisierung

IVS-03.1

Nutzen Sie ein synchronisiertes Zeitserviceprotokoll (z. B. NTP), um für alle Systeme einen gemeinsamen Zeitbezug sicherzustellen?

In Übereinstimmung mit den DIN ISO/IEC 27001-Normen nutzen AWS-Informationssysteme über NTP (Network Time Protocol) synchronisierte Systemuhren. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 54 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Infrastruktur- & Virtualisierungssicherheit Kapazitäts-/Ressourcenplanung

IVS-04.1

Dokumentieren Sie den Grad der Überbuchung von Systemen (Netzwerk, Speicher, Arbeitsspeicher, E/A usw.) und die entsprechenden Szenarien?

Details zu den AWS Service-Grenzen und der Vorgehensweise zum Anfordern einer Erhöhung für bestimmte Services finden Sie auf der AWS-Website unter http://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html. AWS verwaltet Kapazitäts- und Nutzungsdaten in Einklang mit der Norm DIN ISO/IEC 27001. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

IVS-04.2

Schränken Sie die Nutzung der vom Hypervisor gebotenen Funktionen zur Überbuchung von Arbeitsspeicher ein?

IVS-04.3

Werden bei Ihren Systemkapazitätsanforderungen aktuelle, geplante und erwartete Kapazitätsanforderungen für alle Systeme berücksichtigt, mit denen den Mandanten Services bereitgestellt werden?

IVS-04.4

Wird die Systemleistung überwacht und optimiert, um gesetzliche, vertragliche und geschäftliche Anforderungen für alle Systeme zu erfüllen, mit denen den Mandanten Services bereitgestellt werden?

Infrastruktur- & Virtualisierungssicherheit Management – Schwachstellenmanagement

IVS-05.1

Entsprechen die Tools oder Services zur Bewertung der Schwachstellen den Virtualisierungtechnologien, die zum Einsatz kommen (z. B. virtualisierungsfähig)?

Amazon EC2 nutzt derzeit eine stark angepasste Version des Xen-Hypervisors. Der Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft und eignet sich gut für die Aufrechterhaltung einer strikten Trennung zwischen virtuellen Gastmaschinen. Im Verlauf von Begutachtungen und Überprüfungen wird der Xen-Hypervisor von AWS regelmäßig von unabhängigen Auditoren beurteilt. Es werden regelmäßig interne und externe Schwachstellen-Scans mit verschiedenen Tools auf dem Host-Betriebssystem, der Webanwendung und den Datenbanken in der AWS-Umgebung durchgeführt. Die Schwachstellen-Scans und Wiederherstellungsverfahren von AWS werden regelmäßig auf die Erfüllung der Anforderungen mit PCI DSS und FedRAMP geprüft.

Infrastruktur- & Virtualisierungssicherheit Netzwerksicherheit

IVS-06.1

Stellen Sie Mandanten im Rahmen Ihres IaaS-Angebots Anleitungen zum Erstellen einer geeigneten abgestuften Sicherheitsarchitektur mithilfe Ihrer virtualisierten Lösung zur Verfügung?

Die AWS-Website http://aws.amazon.com/documentation/ bietet in einer Vielzahl von Whitepaper Anleitungen zum Erstellen einer abgestuften Sicherheitsarchitektur.

IVS-06.2

Aktualisieren Sie Netzwerkarchitekturdiagramme, die Informationsflüsse zwischen Sicherheitsdomänen/-zonen umfassen, regelmäßig?

Überwachungsgeräte für Netzwerkgrenzen (Boundary Protection Devices) wenden Regelsätze, Zugriffskontrolllisten (ACL, Access Control Lists) und Konfigurationen an, um den Informationsfluss zwischen Netzwerk-Fabrics sicherzustellen.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 55 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

IVS-06.3

Überprüfen Sie regelmäßig die Eignung des zugelassenen Zugriffs/der Konnektivität (z. B. Firewall-Regeln) zwischen Sicherheitsdomänen/-zonen im Netzwerk?

Bei Amazon gibt es etliche Netzwerk-Fabrics. Diese werden jeweils durch Geräte voneinander abgegrenzt, die den Informationsfluss zwischen den Fabrics steuern. Der Informationsfluss zwischen Fabrics wird durch geprüfte Autorisierungsmechanismen gesteuert. Es handelt sich dabei um Zugriffskontrolllisten (ACL, Access Control Lists), die auf diesen Geräten implementiert sind. Diese Geräte steuern den Informationsfluss zwischen Fabrics anhand der ACLs. ACLs werden mithilfe des ACL-Manage-Tools von AWS definiert, geprüft (von geeigneten Mitarbeitern), verwaltet und bereitgestellt. Amazon Information Security überprüft diese ACLs. Der Informationsfluss zwischen Fabrics wird durch bewährte Firewall-Regeln und geprüfte ACLs auf spezifische Informationssystem-Services beschränkt. Die Zugriffskontrolllisten und Regelsätze werden überprüft, genehmigt und in regelmäßigen Abständen (mindestens alle 24 Stunden) den Boundary Protection Devices zugewiesen, um sicherzustellen, dass Regelsätze und Zugriffskontrolllisten auf dem neusten Stand sind. AWS Network Management wird regelmäßig von unabhängigen Auditoren auf Erfüllung der Anforderungen von SOC, PCI DSS, ISO 27001 und FedRAMP geprüft. AWS implementiert das Prinzip der geringsten Rechte innerhalb der Infrastrukturkomponenten. AWS unterbindet die Verwendung aller Ports und Protokolle, die keinen speziellen geschäftlichen Zweck erfüllen. AWS verfolgt konsequent den Ansatz der minimalen Implementierung von nur den Merkmalen und Funktionen, die für die Verwendung des Geräts notwendig sind. Netzwerkscans werden durchgeführt und unnötige Ports oder Protokolle deaktiviert. Es werden regelmäßig mit verschiedenen Tools interne und externe Schwachstellen-Scans auf dem Host-Betriebssystem, der Webanwendung und den Datenbanken in der AWS-Umgebung vollzogen. Die Schwachstellen-Scans und Wiederherstellungsverfahren von AWS werden regelmäßig auf die Erfüllung der Anforderungen mit PCI DSS und FedRAMP geprüft.

IVS-06.4

Werden alle Firewall-Zugriffskontrolllisten mit Geschäftszweck dokumentiert?

Infrastruktur- & Virtualisierungssicherheit Härtung des Betriebssystems und Basiskontrollen

IVS-07.1

Werden Betriebssysteme im Rahmen des Basisstandards oder der Basisvorlage mit technischen Kontrollsystemen (d. h. Virenschutz, Überwachen und Protokollieren der Dateiintegrität) gehärtet, um nur die für die geschäftlichen Anforderungen notwendigen Ports, Protokolle und Services bereitzustellen?

Infrastruktur- & Virtualisierungssicherheit Produktions- und Testumgebungen

IVS-08.1

Stellen Sie Mandanten im Rahmen Ihres Saas- bzw. PaaS-Angebots getrennte Umgebungen für Produktions- und Testprozesse zur Verfügung?

AWS-Kunden haben weiterhin die Möglichkeit, Produktions- und Testumgebungen zu erstellen und zu verwalten, für die sie zuständig bleiben. Die AWS-Website bietet Anleitungen zum Erstellen einer Umgebung unter Einsatz von AWS-Services (siehe http://aws.amazon.com/documentation/).

IVS-08.2

Stellen Sie Mandanten im Rahmen Ihres IaaS-Angebots Anleitungen zum Erstellen geeigneter Produktions- und Testumgebungen zur Verfügung?

IVS-08.3

Trennen Sie Produktions- und Testumgebungen logisch und physisch voneinander?

AWS-Kunden bleiben zur Erfüllung ihrer definierten Vorgaben für das Management ihrer eigenen Netzwerksegmentierung zuständig.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 56 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Infrastruktur- & Virtualisierungssicherheit Segmentierung

IVS-09.1

Sind System- und Netzwerkumgebungen durch eine Firewall oder eine virtuelle Firewall geschützt, damit die Anforderungen an die Unternehmens- und Kundensicherheit erfüllt sind?

Intern befolgt die AWS-Netzwerk-Segmentierung die DIN ISO/IEC 27001-Normen. In der Norm DIN ISO/IEC 27001 finden Sie in Anhang A, Abschnitt 13 weitere Details. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

IVS-09.2

Sind System- und Netzwerkumgebungen durch eine Firewall oder virtuelle Firewall geschützt, um die Einhaltung der gesetzlichen, behördlichen und vertraglichen Anforderungen sicherzustellen?

IVS-09.3

Sind System- und Netzwerkumgebungen durch eine Firewall oder virtuelle Firewall geschützt, damit die Trennung von Produktions- und Testumgebungen gewährleistet ist?

IVS-09.4

Sind System- und Netzwerkumgebungen durch eine Firewall oder eine virtuelle Firewall geschützt, damit Schutz und die Isolierung sensibler Daten gewährleistet sind?

Infrastruktur- & Virtualisierungssicherheit VM-Sicherheit – vMotion-Datenschutz

IVS-10.1

Werden beim Migrieren von physischen Servern, Anwendungen oder Daten nach virtuellen Servern sichere und verschlüsselte Kommunikationskanäle eingesetzt?

AWS gibt Ihnen die Möglichkeit, für nahezu alle Services einschließlich S3, EBS und EC2 Ihren eigenen Verschlüsselungsmechanismus zu verwenden. VPC-Sitzungen sind ebenfalls verschlüsselt.

IVS-10.2

Verwenden Sie beim Migrieren von physischen Servern, Anwendungen oder Daten nach virtuellen Servern ein von Netzwerken auf Produktionsebene getrenntes Netzwerk?

Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS ermöglicht Kunden das Entwickeln und Pflegen von Produktions- und anderen Umgebungen. Kunden sind dafür zuständig, dass ihre Produktionsdaten nicht in andere Umgebungen repliziert werden.

Infrastruktur- & Virtualisierungssicherheit VMM-Sicherheit – Hypervisor-Härtung

IVS-11.1

Beschränken Sie den Zugriff der Mitarbeiter auf alle Hypervisor-Managementfunktionen oder Verwaltungskonsolen für Systeme, die virtualisierte Systeme hosten, basierend auf dem Prinzip der geringsten Rechte und unterstützt durch technische Kontrollinstanzen (z. B. .Zwei-Faktor-Authentifizierung, Prüfpfade, IP-Adressenfilterung, Firewalls und über TLS gekapselte Kommunikation mit den Verwaltungskonsolen)?

Bei AWS gilt das Konzept der geringstmöglichen Rechte, bei dem den Benutzern nur die Zugriffsrechte erteilt werden, die sie haben müssen, um ihre Job-Funktionen auszuführen. Wenn Benutzerkonten erstellt werden, werden sie immer mit dem geringsten Zugriffsrecht erstellt. Für Zugriffsrechte über diesen geringsten Berechtigungen muss eine entsprechende Autorisierung erfolgen. Weitere Informationen über die Zugriffskontrollen finden Sie in den SOC-Berichten von AWS.

Infrastruktur- & Virtualisierungssicherheit Funksicherheit

IVS-12.1

Sind Richtlinien und Verfahren definiert und Mechanismen konfiguriert und implementiert, um die WLAN-Umgebung zu schützen, und nicht autorisierten WLAN-Datenverkehr einzuschränken?

Zum Schutz der AWS-Netzwerkumgebung sind Richtlinien, Verfahren und Mechanismen definiert. Die Sicherheitskontrollen von AWS werden von unabhängigen, externen Auditoren während der Prüfungen bezüglich der Compliance mit SOC, PCI DSS, ISO 27001 und FedRAMP überprüft.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 57 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

IVS-12.2

Sind Richtlinien und Verfahren definiert und Mechanismen implementiert, um sicherzustellen, dass WLAN-Sicherheitseinstellungen mit sehr starker Verschlüsselung für die Authentifizierung und Übertragung aktiviert sind, die die Standardeinstellungen der Hersteller ersetzen? (Beispiele: Verschlüsselungsschlüssel, Kennwörter, SNMP Community-Zeichenfolgen)

IVS-12.3

Sind Richtlinien und Verfahren definiert und Mechanismen implementiert, um WLAN-Netzwerkumgebungen zu schützen und das Vorhandensein nicht autorisierter Netzwerkgeräte zu erkennen, um diese angemessen schnell vom Netzwerk zu trennen?

Infrastruktur- & Virtualisierungssicherheit Netzwerkarchitektur

IVS-13.1

Sind in Ihren Netzwerkarchitekturdiagrammen Umgebungen und Datenflüsse mit hohem Risiko, die Auswirkungen auf die Einhaltung von Vorschriften haben können, klar erkennbar?

AWS-Kunden bleiben zur Erfüllung ihrer definierten Vorgaben für das Management ihrer eigenen Netzwerksegmentierung zuständig. Intern befolgt die AWS-Netzwerk-Segmentierung die Norm DIN ISO/IEC 27001. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

IVS-13.2

Sind technische Maßnahmen und tiefgreifende Vorbeugungsmaßnahmen (z. B. Deep Packet Analysis, Drosselung des Datenverkehrs und Blackholing) zur Erkennung und zeitnahen Reaktion auf netzwerkbasierte Angriffe in Verbindung mit ungewöhnlichen Mustern des ein- und ausgehenden Datenverkehrs (z. B. Angriffe durch MAC-Spoofing und ARP-Poisoning) und/oder mit Distributed Denial Of Service (DDoS)-Angriffen implementiert?

In regelmäßigen Abständen überprüft das Sicherheitsteam von AWS alle mit dem Internet verbundenen IP-Adressen von Service-Endpunkten auf Schwachstellen (Instances von Kunden werden nicht untersucht). Das AWS-Sicherheitsteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen schließen können. Zusätzlich werden regelmäßig unabhängige externe Sicherheitsfirmen mit einer Schwachstellenüberprüfung beauftragt. Ergebnisse und Empfehlungen, die aus diesen Bewertungen resultieren, werden kategorisiert und an die AWS-Geschäftsführung weitergeleitet. Zusätzlich erfolgen regelmäßig interne und externe Risikobewertungen für die AWS-Kontrollumgebung. AWS beauftragt externe Zertifizierungsgremien und unabhängige Prüfer mit dem Prüfen und Testen der gesamten AWS-Kontrollumgebung. Die Sicherheitskontrollen von AWS werden von unabhängigen, externen Auditoren während der Prüfungen bezüglich der Compliance mit SOC, PCI DSS, ISO 27001 und FedRAMP überprüft.

Kompatibilität und Portabilität APIs

IPY-01

Veröffentlichen Sie eine Liste aller im Service verfügbaren APIs mit der Angabe, welche standardmäßig und welche angepasst sind?

Details zu APIs von AWS finden Sie auf der AWS-Website unter https://aws.amazon.com/documentation/.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 58 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Kompatibilität und Portabilität Datenanforderung

IPY-02

Sind unstrukturierte Kundendaten auf Anfrage in einem branchenüblichen Format (z. B. DOC, XLS oder PDF) verfügbar?

In Übereinstimmung mit DIN ISO/IEC 27001-Normen hat AWS formale Richtlinien und Verfahren zum Bestimmen der Mindeststandards für den logischen Zugriff auf AWS-Ressourcen definiert. In den SOC-Berichten von AWS sind die Kontrollmaßnahmen bei der Bereitstellung des Zugriffs auf AWS-Ressourcen beschrieben. Weitere Details finden Sie im AWS Cloud-Sicherheits-Whitepaper unter http://aws.amazon.com/security.

Kompatibilität und Portabilität Richtlinien und rechtliche Hinweise

IPY-03.1

Stellen Sie Richtlinien und Verfahren (d. h. Service Level Agreements) zur Verfügung, die den Einsatz von APIs im Hinblick auf die Kompatibilität zwischen Ihrem Service und Drittanbieteranwendungen regeln?

IPY-03.2

Stellen Sie Richtlinien und Verfahren (d. h. Service Level Agreements) zur Verfügung, die die Migration von Anwendungsdaten nach und von Ihrem Service regeln?

Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden. Die Kunden können nach eigenem Ermessen entscheiden, wie sie Anwendungen und Inhalte auf und außerhalb der Plattform von AWS migrieren.

Kompatibilität und Portabilität Standardisierte Netzwerkprotokolle

IPY-04.1

Können Datenimport, -export und Serviceverwaltung über sichere (z. B. nicht Klartext und authentifiziert), branchenweit akzeptierte, standardisierte Netzwerkprotokolle abgewickelt werden?

AWS ermöglicht Kunden das Verschieben von Daten zwischen ihrem eigenen und AWS-Speicher den Anforderungen entsprechend. Weitere Informationen über Speicheroptionen finden Sie unter http://aws.amazon.com/choosing-a-cloud-platform.

IPY-04.2

Stellen Sie Kunden (Mandanten) Dokumentation zu den relevanten Kompatibilitäts- und Portabilitätsnetzwerkprotokollstandards zur Verfügung?

Kompatibilität und Portabilität Virtualisierung

IPY-05.1

Verwenden Sie eine branchenanerkannte Virtualisierungsplattform und standardmäßige Virtualisierungsformate (z. B. OVF) zur Sicherstellung der Kompatibilität?

Amazon EC2 nutzt derzeit eine stark angepasste Version des Xen-Hypervisors. Der Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft und eignet sich gut für die Aufrechterhaltung einer strikten Trennung zwischen virtuellen Gastmaschinen. Im Verlauf von Begutachtungen und Überprüfungen wird der Xen-Hypervisor von AWS regelmäßig von unabhängigen Auditoren beurteilt. Weitere Informationen finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

IPY-05.2

Dokumentieren Sie benutzerdefinierte Änderungen an allen verwendeten Hypervisors und allen lösungsspezifischen Virtualisierungszugängen, die für die Kundenprüfung verfügbar sind?

Mobile Sicherheit Anti-Malware

MOS-01

Bieten Sie Anti-Malware-Schulungen speziell für mobile Geräte im Rahmen Ihrer Schulungen zur Informationssicherheit an?

Das AWS-Programm sowie dessen Prozesse und Verfahren in Bezug auf Antiviren-/Anti-Schadsoftware sind in Einklang mit der Norm ISO 27001. Weitere Informationen finden Sie in der Norm DIN ISO/IEC 27001 in Anhang A, Abschnitt 12.

Mobile Sicherheit App Stores

MOS-02

Dokumentieren und stellen Sie Listen mit genehmigten App Stores für mobile Geräte zur Verfügung, die auf Unternehmensdaten und/oder Unternehmenssysteme zugreifen oder diese speichern?

AWS hat einen Rahmen für die Informationssicherheit und Richtlinien festgelegt und hat das zertifizierbare Framework DIN ISO/IEC 27001 mithilfe der DIN ISO/IEC 27002-Kontrollen, der American Institute of Certified Public Accountants (AICPA) Trust Services Principles, dem PCI DSS v3.1 und der Veröffentlichung 800-53 Rev

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 59 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Mobile Sicherheit Genehmigte Anwendungen

MOS-03

Bieten Sie eine Funktion zur Richtliniendurchsetzung (z. B. XACML), um sicherzustellen, dass nur genehmigte Anwendungen und Apps von genehmigten App Stores auf ein mobiles Gerät geladen werden?

3 (Recommended Security Controls for Federal Information Systems) des National Institute of Standards and Technology (NIST) effektiv integriert.

Die Kunden behalten die Kontrolle über und die Verantwortung für ihre Daten und zugehörigen Medienkomponenten. Es liegt im Verantwortungsbereich des Kunden, die Sicherheit der mobilen Geräte und den Zugriff auf die eigenen Inhalte zu verwalten.

Mobile Sicherheit Genehmigte Software für BYOD

MOS-04

Wird in Ihrer BYOD-Richtlinie und der entsprechenden Schulung eindeutig angegeben, welche Anwendungen und App Stores zur Verwendung auf BYOD-Geräten genehmigt sind?

Mobile Sicherheit Sensibilisierung und Schulung

MOS-05

Ist in Ihrer Mitarbeiterschulung eine Richtlinie für mobile Geräte dokumentiert, die die mobilen Geräten und die akzeptierte Verwendung und entsprechenden Anforderungen für mobile Geräte eindeutig festlegt?

Mobile Sicherheit Cloud-basierte Services

MOS-06

Haben Sie eine Liste der vorab genehmigten Cloud-basierten Services dokumentiert, die zur Verwendung und zum Speichern von Geschäftsdaten des Unternehmens über ein mobiles Gerät verwendet werden dürfen?

Mobile Sicherheit Kompatibilität

MOS-07

Haben Sie einen Anwendungsvalidierungsprozess zum Testen von Kompatibilitätsproblemen in Verbindung mit Geräten, Betriebssystemen und Anwendungen dokumentiert?

Mobile Sicherheit Geräteberechtigung

MOS-08

Verfügen Sie über eine BYOD-Richtlinie, die die für die BYOD-Verwendung zulässigen Geräte und Berechtigungsanforderungen definieren?

Mobile Sicherheit Gerätebestand

MOS-09

Führen Sie eine Bestandsliste mit allen mobilen Geräten, die Unternehmensdaten speichern und darauf zugreifen, einschließlich Gerätestatus (Betriebssystem- und Patch-Ebene, verloren oder deaktiviert, Person, der das Gerät zugewiesen ist)?

Mobile Sicherheit Geräteverwaltung

MOS-10

Haben Sie eine zentrale Lösung zur Verwaltung mobiler Geräte auf allen mobilen Geräten bereitgestellt, die Unternehmensdaten speichern, übertragen oder verarbeiten dürfen?

Mobile Sicherheit Verschlüsselung

MOS-11

Verlangt Ihre Richtlinie für mobile Geräte die Verschlüsselung durch technische Kontrollen für alle mobilen Geräte entweder für das gesamte Geräte oder für Daten, die als sensibel identifiziert wurden?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 60 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Mobile Sicherheit Jailbreaking und Rooting

MOS-12.1

Untersagt Ihre Richtlinie für mobile Geräte die Umgehung integrierter Sicherheitskontrollen auf mobilen Geräten (z. B. Jailbreaking oder Rooting)?

MOS-12.2

Verfügen Sie auf dem Gerät oder über ein zentrales Geräteverwaltungssystem über präventive und nachträglich aufdeckende Kontrollen, die die Umgehung integrierter Sicherheitskontrollen untersagen?

Mobile Security Gesetzliche Hinweise

MOS-13.1

Definiert Ihre BYOD-Richtlinie die Erwartungen im Hinblick auf Datenschutz, Anforderungen für Gerichtsverfahren, E-Discovery und gesetzliche Aufbewahrungsfristen eindeutig?

Die Kunden behalten die Kontrolle über und die Verantwortung für ihre Daten und zugehörigen Medienkomponenten. Es liegt im Verantwortungsbereich des Kunden, die Sicherheit der mobilen Geräte und den Zugriff auf die eigenen Inhalte zu verwalten.

MOS-13.2

Verfügen Sie auf dem Gerät oder über ein zentrales Geräteverwaltungssystem über präventive und nachträglich aufdeckende Kontrollen, die die Umgehung integrierter Sicherheitskontrollen untersagen?

Mobile Sicherheit Sperrbildschirm

MOS-14

Ist ein automatischer Sperrbildschirm für BYOD- und unternehmenseigene Geräte erforderlich und wird dieser über technische Kontrollen durchgesetzt?

Mobile Sicherheit Betriebssysteme

MOS-15

Verwalten Sie alle Änderungen an den Betriebssystemen, Patch-Ebenen und Anwendungen der mobilen Geräte über die Änderungsverwaltungsprozesses Ihres Unternehmens?

Mobile Security Passwörter

MOS-16.1

Verfügen Sie über Passwortrichtlinien für vom Unternehmen ausgegebene mobile Geräte und/oder mobile BYOD-Geräte?

MOS-16.2

Werden Ihre Passwortrichtlinien durch technische Kontrollen (d. h. MDM) durchgesetzt?

MOS-16.3

Untersagen Ihre Passwortrichtlinien die Änderung der Authentifizierungsanforderungen (d. h. Passwort/PIN-Länge) über ein mobiles Gerät?

Mobile Sicherheit Richtlinien

MOS-17.1

Verfügen Sie über eine Richtlinie, die verlangt, dass BYOD-Benutzer Sicherungen von bestimmten Unternehmensdaten vornehmen?

MOS-17.2

Verfügen Sie über eine Richtlinie, die verlangt, dass BYOD-Benutzer die Verwendung nicht genehmigter App Stores untersagen?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 61 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

MOS-17.3

Verfügen Sie über eine Richtlinie, die verlangt, dass BYOD-Benutzer Antimalwaresoftware (sofern sie unterstützt wird) verwenden?

Mobile Sicherheit Remotezurücksetzung

MOS-18.1

Stellt Ihre IT-Abteilung Remotezurücksetzung oder Zurücksetzung von Unternehmensdaten für alle vom Unternehmen akzeptierten BYOD-Geräte bereit?

MOS-18.2

Stellt Ihre IT-Abteilung Remotezurücksetzung oder Zurücksetzung von Unternehmensdaten für alle vom Unternehmen zugewiesenen mobilen Geräte bereit?

Mobile Sicherheit Sicherheits-Patches

MOS-19.1

Sind auf Ihren mobilen Geräten nach allgemeiner Veröffentlichung durch den Gerätehersteller oder Anbieter die aktuellen Sicherheits-Patches installiert?

MOS-19.2

Ist auf Ihren mobilen Geräte eine Remote-Validierung zum Herunterladen der aktuellen Sicherheits-Patches durch die IT-Mitarbeiter des Unternehmens zulässig?

Mobile Security Benutzer

MOS-20.1

Sind in Ihrer BYOD-Richtlinie die Systeme und Server eindeutig angegeben, die für die Verwendung oder den Zugriff auf BYOD-fähigen Geräten zulässig sind?

MOS-20.2

Gibt Ihre BYOD-Richtlinie die Benutzerrollen an, denen der Zugriff über ein BYOD-fähiges Gerät erlaubt ist?

Sicherheitsvorfallmanagement, E-Discovery und Cloud-Forensik Kontakt mit Behörden

SEF-01.1

Pflegen Sie gemäß Verträgen und geltenden Vorschriften Kontakte mit lokalen Behörden?

AWS pflegt gemäß der Norm DIN ISO/IEC 27001 Kontakte mit Branchengremien, Risikomanagement- und Compliance-Organisationen, lokalen Behörden und Regulierungsgremien. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Sicherheitsvorfallmanagement, E-Discovery und Cloud-Forensik Vorfallmanagement

SEF-02.1

Gibt es einen dokumentierten Plan für die Reaktion auf Sicherheitsvorfälle?

Der AWS-Vorfallreaktionsprogramm sowie dessen Prozesse und Verfahren stehen im Einklang mit der Norm ISO 27001. AWS wurde von einem unabhängigen Auditor geprüft und hat als Nachweis der Befolgung der Norm DIN ISO/IEC 27001 eine entsprechende Zertifizierung erhalten.

Die AWS SOC-Berichte enthalten Details zu den spezifischen Kontrollmaßnahmen, die von AWS durchgeführt werden. Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten der strikten Trennung von Kundendate

SEF-02.2

Integrieren Sie besondere Anforderungen von Mandanten in Ihre Pläne für die Reaktion auf Sicherheitsvorfälle?

SEF-02.3

Veröffentlichen Sie ein Dokument zu Rollen und Zuständigkeiten, in denen angegeben wird, wofür Sie bzw. Ihre Mandanten bei Sicherheitsvorfällen zuständig sind?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 62 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

SEF-02.4

Haben Sie Ihre Pläne für die Reaktion auf Sicherheitsvorfälle im letzten Jahr getestet?

Weitere Informationen finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

Sicherheitsvorfallmanagement, E-Discovery und Cloud-Forensik Erstellung von Vorfallberichten

SEF-03.1

Sorgt Ihr System für das Management von Informationen zu Sicherheit und Ereignissen für eine Zusammenführung von Datenquellen (Protokolle zu Anwendungen, Firewalls, Eindringversuchen, physischem Zugang usw.) zum Ermöglichen einer präzisen Analyse und von Warnbenachrichtigungen?

SEF-03.2

Lässt Ihr Rahmenwerk für Protokollierung und Überwachung eine Isolierung eines Vorfalls auf bestimmte Mandanten zu?

Sicherheitsvorfallmanagement, E-Discovery und Cloud-Forensik Vorfallreaktion – Rechtliche Vorbereitung

SEF-04.1

Entspricht Ihr Vorfallreaktionsplan den Branchenstandards für rechtlich zulässige Prozesse und Kontrollmaßnahmen für das Management von Kontrollketten?

SEF-04.2

Sehen Ihre Möglichkeiten zur Vorfallreaktion den Einsatz rechtlich zulässiger Methoden für die forensische Datenerfassung und -analyse vor?

SEF-04.3

Können Sie für ein Beweissicherungsverfahren Daten eines bestimmten Mandanten ab einem bestimmten Zeitpunkt einfrieren, ohne dass Daten anderer Mandanten eingefroren werden?

SEF-04.4

Erzwingen und bescheinigen Sie die Trennung von Mandantendaten, wenn Daten als Reaktion auf gerichtliche Vorladungen vorgelegt werden sollen?

Sicherheitsvorfallmanagement, E-Discovery und Cloud-Forensik Vorfallreaktionsmetriken

SEF-05.1

Überwachen und quantifizieren Sie Typ, Umfang und Auswirkung aller Vorfälle bezüglich der Informationssicherheit?

Die Sicherheitsmetriken von AWS werden gemäß der Norm ISO 27001 überwacht und analysiert. In der Norm ISO 27001 finden Sie in Anhang A, Abschnitt 16 weitere Details. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

SEF-05.2

Geben Sie Ihren Mandanten auf Antrag statistische Informationen zu Sicherheitsvorfällen bekannt?

Supply-Chain-Management, Transparenz und Verantwortlichkeit Datenqualität und Datenintegrität

STA-01.1

Ermitteln und begründen Sie Datenqualitätsfehler und die damit verbundenen Risiken, und arbeiten Sie zusammen mit Ihren Partnern der Cloud-Supply-Chain daran, solche Fehler zu korrigieren?

Kunden bleiben Besitzer Ihrer Daten und sind für deren Kontrolle und Qualität verantwortlich sowie für potenzielle Qualitätsfehler, die durch die Verwendung von AWS-Services entstehen können.

Spezielle Details in Bezug auf die Datenintegrität und die Zugriffsverwaltung (einschließlich des Prinzips der geringstmöglichen Zugriffsrechte) finden Sie im AWS SOC-Bericht.

STA-01.2

Entwerfen und implementieren sie Kontrollen, um Datensicherheitsrisiken zu mildern und einzugrenzen – durch eine angemessene Trennung der Aufgaben, rollenbasierten Zugriff und geringstmöglichen Zugriffsrechte für alle Mitarbeiter innerhalb Ihrer Supply Chain?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 63 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Supply-Chain-Management, Transparenz und Verantwortlichkeit Vorfallsberichte

STA-02.1

Stellen Sie Informationen über Sicherheitsvorfälle allen betroffenen Kunden und Anbietern in regelmäßigen Abständen durch elektronische Verfahren (z. B. über Portale) zur Verfügung?

Der AWS-Vorfallreaktionsprogramm sowie dessen Prozesse und Verfahren stehen im Einklang mit der Norm ISO 27001. Die AWS SOC-Berichte enthalten Details zu den spezifischen Kontrollmaßnahmen, die von AWS durchgeführt werden. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

Supply-Chain-Management, Transparenz und Verantwortlichkeit Netzwerk/Infrastruktur-Services

STA-03.1

Sammeln Sie Kapazitäts- und Nutzungsdaten zu allen relevanten Komponenten Ihres Cloud-Service-Angebots?

AWS verwaltet Kapazitäts- und Nutzungsdaten in Übereinstimmung mit der Norm ISO 27001. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

STA-03.2

Stellen Sie Mandanten Berichte zur Kapazitätsplanung und -nutzung zur Verfügung?

Supply-Chain-Management, Transparenz und Verantwortlichkeit Interne Bewertungen beim Provider

STA-04.1

Führen Sie jährliche interne Bewertungen der Konformität und Wirksamkeit Ihrer Richtlinien, Verfahren und unterstützenden Maßnahmen und Kennzahlen durch?

Das AWS-Team für Beschaffung pflegt Beziehungen mit allen AWS-Lieferanten in der Lieferkette. Weitere Details finden Sie in der Norm ISO 27001 in Anhang A, Abschnitt 8. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

Supply-Chain-Management, Transparenz und Verantwortlichkeit Vereinbarungen mit Drittanbietern

STA-05.1

Werden Vertragspartner für ausgelagerte Leistungen in Übereinstimmung mit den Gesetzen des Landes ausgewählt und überwacht, in dem die Daten verarbeitet, gespeichert und übertragen werden?

Sicherheitsanforderungen für das Personal von Drittanbietern, die an AWS-Systemen und -Geräten arbeiten, werden in einer beidseitigen Vertraulichkeitsvereinbarung zwischen der Muttergesellschaft von AWS (Amazon.com) und dem jeweiligen Drittanbieter festgelegt. Der Rechtsbeistand von Amazon und das AWS-Beschaffungsteam definieren die Sicherheitsanforderungen von AWS für die Mitarbeiter von Drittanbietern in vertraglichen Vereinbarungen mit dem Drittanbieter. Sämtliche Personen, die mit AWS-Informationen arbeiten, müssen mindestens den Prüfungsprozess für die Hintergrundüberprüfungen vor der Einstellung durchlaufen und eine Geheimhaltungsvereinbarung unterzeichnen, bevor sie Zugriff auf AWS-Informationen erhalten. AWS lagert die Entwicklung von Software generell nicht an Subunternehmer aus.

STA-05.2

Werden Vertragspartner für ausgelagerte Leistungen in Übereinstimmung mit den Gesetzen des Landes ausgewählt und überwacht, aus dem die Daten stammen?

STA-05.3

Überprüft der Rechtsbeistand sämtliche Verträge mit Drittanbietern?

STA-05.4

Beinhalten Verträge mit Drittanbietern Vorkehrungen für die Sicherheit und den Schutz von Informationen und Vermögenswerten?

STA-05.5

Stellen Sie dem Client eine Liste und Kopien aller Vereinbarungen mit Subunternehmern zur Verfügung und aktualisieren Sie diese Liste laufend?

Supply-Chain-Management, Transparenz und Verantwortlichkeit Überprüfungen der Lieferketten-Governance

STA-06.1

Überprüfen Sie das Risikomanagement und die Governance-Prozesse der Partner im Hinblick auf Risiken, die möglicherweise von andere Mitgliedern der Lieferkette dieses Partners übernommen werden?

AWS unterhält förmliche Vereinbarungen mit den wichtigsten Drittanbieterlieferanten und implementiert entsprechende Beziehungsmanagement-Mechanismen, die den geschäftlichen Beziehungen mit diesen Lieferanten entsprechen. Die Prozesse von AWS zur Verwaltung von Drittanbietern werden regelmäßig von unabhängigen Prüfern auf Erfüllung der Anforderungen von SOC und ISO 72001 geprüft.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 64 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

Supply-Chain-Management, Transparenz und Verantwortlichkeit Kennzahlen für die Lieferkette

STA-07.1

Sind Richtlinien und Verfahren etabliert sowie unterstützende Geschäftsprozesse und technische Maßnahmen implementiert, die zur Aufrechterhaltung vollständiger, genauer und relevanter Vereinbarungen (z. B. SLAs) zwischen Anbietern und Kunden (Mandanten) dienen?

STA-07.2

Haben Sie die Möglichkeit, die Nichtkonformität von Bestimmungen und/oder Bedingungen in der gesamten Lieferkette (Upstream/Downstream) zu messen und zu behandeln?

STA-07.3

Können Sie Service-Level-Konflikte oder Widersprüche verwalten, die aus unterschiedlichen Lieferantenbeziehungen resultieren?

STA-07.4

Überprüfen und aktualisieren Sie alle Vereinbarungen, Richtlinien und Prozesse mindestens einmal pro Jahr?

Supply-Chain-Management, Transparenz und Verantwortlichkeit Bewertung von Drittanbietern

STA-08.1

Gewährleisten Sie eine angemessene Informationssicherheit in Ihrer Informationslieferkette durch eine jährliche Überprüfung?

STA-8.2

Enthält Ihr Jahresbericht alle Partner/Drittanbieter, von denen Ihre Informationslieferkette abhängt?

Supply-Chain-Management, Transparenz und Verantwortlichkeit Überprüfung durch Drittanbieter

STA-09.1

Erlauben Sie Mandanten unabhängige Überprüfungen auf Schwachstellen?

Kunden können die Berechtigung zur Durchführung von Untersuchungen der eigenen Cloud-Infrastruktur beantragen, sofern sich diese Untersuchungen auf die Instances des Kunden beschränken und nicht gegen die Richtlinien zur angemessenen Nutzung von AWS verstoßen. Eine erweiterte Genehmigung für solche Untersuchungen kann mit dem Formular AWS Vulnerability/Penetration Testing beantragt werden. Das AWS-Sicherheitsteam beauftragt regelmäßig unabhängige Sicherheitsexperten mit der Durchführung externer Überprüfungen auf Schwachstellen. Die AWS SOC-Berichte enthalten zusätzliche Details zu den spezifischen Kontrollmaßnahmen, die von AWS durchgeführt werden.

STA-09.2

Beauftragen Sie externe Unternehmen mit Untersuchungen auf Schwachstellen und regelmäßigen Penetrationstests Ihrer Anwendungen und Netzwerke?

Bedrohungs- und Schwachstellen-management Antivirusprogramme/ Schädliche Software

TVM-01.1

Ist auf allen Systemen, die Ihre Cloud-Service-Angebote unterstützen, Anti-Schadsoftware installiert?

Das AWS-Programm sowie dessen Prozesse und Verfahren in Bezug auf Antiviren-/Anti-Schadsoftware sind in Einklang mit der Norm ISO 27001. Weitere Details finden Sie in den SOC-Berichten von AWS.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 65 von 93

Kontrollgruppe CID Consensus Assessments-Fragen Antwort von AWS

TVM-01.2

Gewährleisten Sie, dass Systeme zur Erkennung von Sicherheitsrisiken, die mit Signaturen, Listen oder Verhaltensmustern arbeiten, für alle Infrastrukturkomponenten binnen branchenüblicher Zeitrahmen aktualisiert werden?

Weitere Details finden Sie in der Norm ISO 27001 in Anhang A, Abschnitt 12. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

Bedrohungs- und Schwachstellen-management Schwachstellen- und Patch-Management

TVM-02.1

Führen Sie regelmäßige Überprüfungen auf Schwachstellen auf Netzwerkebene gemäß branchenüblicher Methoden durch?

Kunden obliegt die Kontrolle ihrer eigenen Gastbetriebssysteme, Software und Anwendungen, weshalb sie für Überprüfungen auf Schwachstellen und das Einspielen von Patches in ihre eigenen Systeme selbst verantwortlich sind. Kunden können die Berechtigung zur Durchführung von Untersuchungen der eigenen Cloud-Infrastruktur beantragen, sofern sich diese Untersuchungen auf die Instances des Kunden beschränken und nicht gegen die Richtlinien zur angemessenen Nutzung von AWS verstoßen. In regelmäßigen Abständen untersucht das Sicherheitsteam von AWS alle mit dem Internet verbundenen IP-Adressen von Service-Endpunkten auf Schwachstellen ab. Das AWS-Sicherheitsteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen beheben können. Die internen Wartungs- und System-Patching-Vorgänge bei AWS haben in der Regel keine Auswirkungen auf Kunden. Weitere Details finden Sie im Whitepaper „AWS Cloud-Sicherheit“ unter http://aws.amazon.com/security. Weitere Details finden Sie in der Norm ISO 27001 in Anhang A, Abschnitt 12. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

TVM-02.2

Führen Sie regelmäßige Überprüfungen auf Schwachstellen auf Anwendungsebene gemäß branchenüblicher Methoden durch?

TVM-02.3

Führen Sie regelmäßige Überprüfungen auf Schwachstellen auf Ebene des lokalen Betriebssystems gemäß branchenüblicher Methoden durch?

TVM-02.4

Werden die Ergebnisse der Überprüfungen auf Schwachstellen Mandanten auf Antrag vorgelegt?

TVM-02.5

Sind Sie in der Lage, Schwachstellen bei sämtlichen Geräten, Anwendungen und Systemen schnell mithilfe von Patches zu schließen?

TVM-02.6

Geben Sie auf Antrag Ihren Mandanten Ihre Zeitrahmen für das risikoabhängige Beheben von Schwachstellen bekannt?

Bedrohungs- und Schwachstellen-management Code für Mobilgeräte

TVM-03.1

Wird der Code für Mobilgeräte vor seiner Installation und Nutzung autorisiert und die Codekonfiguration überprüft, um sicherzustellen, dass der für Mobilgeräte autorisierte Code gemäß einer unmissverständlich definierten Sicherheitsrichtlinie arbeitet?

AWS erlaubt Kunden die Verwaltung von Client- und mobilen Anwendungen entsprechend ihren Anforderungen.

TVM-03.2

Wird die Ausführung von nicht autorisiertem Code für Mobilgeräte verhindert?

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 66 von 93

Anhang B: AWS-Übereinstimmung mit den Sicherheitsüber-legungen zum Cloud Computing (Cloud Computing Security Considerations) des Australian Signals Directorate (ASD)

Die Sicherheitsüberlegungen zum Cloud Computing wurden erstellt, um Behörden bei der Risikobewertung für Services zu unterstützen, die von Cloud Service-Anbietern angeboten werden. Im Folgenden finden Sie die AWS-Ausrichtung auf die Sicherheitsüberlegungen zum Cloud Computing, die im September 2012 veröffentlicht wurden. Weitere Details finden Sie unter: http://www.asd.gov.au/publications/csocprotect/Cloud_Computing_Security_Considerations.pdf

Schlüssel-bereich

Fragen ANTWORT von AWS

Pflege der Verfügbarkeit und Geschäftsfunktionalität

a. Geschäftliche Bedeutung von Daten oder Funktionalität. Verschiebe ich geschäftlich wichtige Daten oder Funktionalitäten in die Cloud?

Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. Kunden sind für die Klassifikation und die Verwendung ihrer Inhalte verantwortlich.

b. Geschäftskontinuität und Notfallwiederherstellungsplan des Anbieters. Kann ich eine Kopie des Geschäftskontinuitäts- und Notfallwiederherstellungsplans des Anbieters genau überprüfen, die die Verfügbarkeit und Wiederherstellung sowohl meiner Daten als auch der von mir verwendeten Services des Anbieters abdecken? Wie lange dauert es, meine Daten und die von mir verwendeten Services nach einem Notfall wiederherzustellen, und haben andere Kunden des Anbieters, die größer sind und mehr zahlen, Vorrang vor mir?

Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS bietet den Kunden ein Höchstmaß an Flexibilität. Es stehen ihnen mehrere geografische Regionen und mehrere Availability Zones innerhalb jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten zu speichern. Jede dieser Availability Zones ist als unabhängige Ausfallzone angelegt. Bei einem Funktionsausfall wird der Kundendatenverkehr von dem vom Ausfall betroffenen Bereich zu einem anderen umgeleitet. Weitere Details finden Sie im SOC 1 Type 2-Bericht von AWS. Außerdem enthält ISO 27001, Anhang A, Abschnitt 11.2 zusätzliche Informationen. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten. Kunden nutzen AWS für eine schnellere Notfallwiederherstellung ihrer kritischen IT-Systeme, ohne die Infrastrukturkosten eines zweiten physischen Standorts tragen zu müssen. Die AWS-Cloud unterstützt viele gängige Architekturen für die Notfallwiederherstellung. Das reicht von Umgebungen, die umgehend skaliert werden können („Zündflammenprinzip“), bis zu sofort einsatzbereiten Standby-Umgebungen, die ein schnelles Failover ermöglichen. Weitere Informationen zur Notfallwiederherstellung durch AWS finden Sie unter https://aws.amazon.com/disaster-recovery/. Mit AWS können Kunden einen zuverlässigen Kontinuitätsplan implementieren, der häufige Server-Instance-Backups, Datenredundanz-Replikation und Bereitstellungsarchitekturen für mehrere Regionen bzw. Availability Zones umfasst. AWS bietet den Kunden ein Höchstmaß an Flexibilität. Es stehen ihnen mehrere geografische Regionen und mehrere Availability Zones innerhalb jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten zu speichern. Jede dieser Availability Zones ist als unabhängige Ausfallzone angelegt. Bei einem Funktionsausfall wird der Kundendatenverkehr von dem vom Ausfall betroffenen Bereich zu einem anderen umgeleitet.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 67 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

AWS-Rechenzentren verfügen über physischen Schutz gegen Umweltrisiken. Der physische Schutz von AWS gegen Umweltrisiken wurde von einem unabhängigen Prüfer bestätigt und als in Übereinstimmung mit bewährten Methoden gemäß ISO 27002 zertifiziert. Weitere Details finden Sie in der Norm ISO 27001 im Anhang A, Abschnitt 9.1 und im SOC 1 Type II-Bericht von AWS.

c. Sicherungsplan für meine Daten. Muss ich zusätzliches Geld ausgeben, um eine aktuelle Sicherungskopie meiner Daten zu pflegen, die sich entweder am Standort meiner Agentur befindet oder bei einem zweiten Anbieter gespeichert ist, bei dem mögliche Fehlerquellen des ersten Anbieters nicht gegeben sind?

Kontrolle und Besitz der eigenen Inhalte verbleiben bei den AWS-Kunden, weshalb sie für das Verwalten der Datensicherungspläne zuständig sind. AWS ermöglicht es Kunden, ihren AWS-Datenspeicher je nach Bedarf zum Speichern oder Abrufen von Daten zu nutzen. Der AWS Import/Export-Service für S3 beschleunigt das Verschieben großer Datenmengen in und aus AWS mithilfe tragbarer Speichergeräte für den Transport. AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings keinen Bandsicherungsservice an. Der Amazon S3-Service ist mit einer Wahrscheinlichkeit von Datenverlusten auf nahezu 0 % ausgelegt. Die Beständigkeit von Datenobjektkopien an mehreren Standorten wird mittels redundanter Datenspeicherung erreicht. Weitere Informationen über die Beständigkeit und Redundanz von Daten finden Sie auf der AWS-Website. AWS bietet eine Reihe von Cloud Computing-Services für Notfallwiederherstellungen an. Weitere Informationen über Notfallwiederherstellung finden Sie unter https://aws.amazon.com/disaster-recovery/.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 68 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

d. Mein Geschäftskontinuitäts- und Notfallwiederherstellungsplan. Muss ich zusätzliches Geld ausgeben, um meine Daten oder Geschäftsfunktionalität bei einem zweiten Anbieter zu replizieren, der ein anderes Rechenzentrum verwendet und idealerweise keine gemeinsamen Problemstellen mit dem ersten Anbieter hat? Diese Replikation sollte vorzugsweise auf ein automatisches „Failover“ konfiguriert sein, damit die Kontrolle automatisch und problemlos auf den zweiten Anbieter übergeht, falls der Service des ersten Anbieters nicht verfügbar ist.

Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden. Kunden können ihre AMIs exportieren und diese lokal oder bei einem anderen Anbieter nutzen (wofür ggf. Softwarelizenzeinschränkungen gelten). Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security. AWS ermöglicht Kunden das Verschieben von Daten zwischen ihrem eigenen und AWS-Speicher den Anforderungen entsprechend. Der AWS Import/Export-Service für S3 beschleunigt das Verschieben großer Datenmengen in und aus AWS mithilfe tragbarer Speichergeräte für den Transport. AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings keinen Bandsicherungsservice an. AWS-Rechenzentren werden gruppenweise in verschiedenen Regionen der Welt errichtet. Alle Rechenzentren sind online und bedienen Kunden; kein Rechenzentrum ist abgeschaltet. Bei einem Ausfall verschieben automatische Prozesse den Kundendatenverkehr weg von den betroffenen Bereichen. Für wichtige Anwendungen gilt die N+1-Konfiguration. Kommt es in einem Rechenzentrum zu einem Funktionsausfall, stehen genügend Kapazitäten zur Verfügung, damit der Datenverkehr auf die verbleibenden Standorte aufgeteilt werden kann. AWS bietet den Kunden ein Höchstmaß an Flexibilität. Es stehen ihnen mehrere geografische Regionen und mehrere Availability Zones innerhalb jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten zu speichern. Jede dieser Availability Zones ist als unabhängige Ausfallzone angelegt. Das bedeutet, dass Availability Zones physisch in einer gewöhnlichen Metropolregion voneinander getrennt sind und sich in verschiedenen Risikozonen befinden (die Kategorisierung der Risikozonen unterscheidet sich je nach der Region). Neben einer separaten unterbrechungsfreien Stromversorgung (USV) und Notstromeinrichtungen vor Ort werden die Zonen jeweils über unterschiedliche Versorgungsnetze unabhängiger Energieversorger mit Strom versorgt, um das Risiko von „Single Points of Failure“ weiter zu reduzieren. Sie sind alle redundant mit mehreren Energieversorgern der Stufe 1 verbunden. Kunden sollten ihre AWS-Nutzung so gestalten, dass mehrere Regionen und Availability Zones genutzt werden. Durch das Verteilen von Anwendungen über mehrere Availability Zones bleibt die Architektur angesichts der meisten Fehlermodi stabil, einschließlich Naturkatastrophen oder Systemausfällen. Weitere Details finden Sie im AWS-SOC 1-Typ II-Bericht. Außerdem enthält ISO 27001, Anhang A, Abschnitt 11.2 zusätzliche Informationen. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 69 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

e. Meine private Netzwerkverbindung zur Cloud. Ist die Netzwerkverbindung zwischen den Benutzern meiner Agentur und dem Netzwerk meines Anbieters hinsichtlich Verfügbarkeit, Datendurchsatz (Bandbreite), Verzögerungen (Latenz) und Paketverlust geeignet?

Kunden können auch ihren Netzwerkpfad zu den AWS-Einrichtungen auswählen, z. B. mehrere VPN-Endpunkte für die einzelnen AWS-Regionen. Zudem ist es mit AWS Direct Connect einfach, eine dedizierte Netzwerkverbindung zwischen Ihrem Standort und AWS herzustellen. Mit AWS Direct Connect können Sie eine private Verbindung zwischen AWS und Ihrem Rechenzentrum, Ihrer Niederlassung oder Ihrer Colocation-Umgebung herstellen, wodurch Sie in vielen Fällen die Netzwerkkosten senken, die Bandbreiten bzw. den Durchsatz erhöhen und eine konsistentere Netzwerkumgebung als mit internetbasierten Verbindungen herstellen können. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

f. Verfügbarkeitsgarantie des Anbieters. Garantiert das Service Level Agreement (SLA ), dass der Anbieter passende Systemverfügbarkeit und Servicequalität mithilfe robuster Systemarchitektur und Geschäftsprozessen bietet?

In seinen Service Level Agreements (SLAs) verpflichtet sich AWS zu hohen Verfügbarkeitsgraden. Für Amazon EC2 verpflichtet sich AWS beispielsweise zu einer Betriebszeit von 99,95 % im Jahr der Serviceleistung. Amazon S3 verpflichtet sich zu einer monatlichen Verfügbarkeit von mindestens 99,99 %. Sollten diese Verfügbarkeitszeiten nicht eingehalten werden, erfolgen Servicegutschriften. Kunden sollten ihre AWS-Nutzung so gestalten, dass mehrere Regionen und Availability Zones genutzt werden. Durch das Verteilen von Anwendungen über mehrere Availability Zones bleibt die Architektur angesichts der meisten Fehlerszenarien stabil, einschließlich Naturkatastrophen oder Systemausfällen. AWS verwendet automatisierte Kontrollsysteme, um ein hohes Maß an Leistung und Verfügbarkeit der Services sicherzustellen. Sowohl für den internen als auch für den externen Gebrauch steht eine Reihe von Online-Tools für die dynamische Überwachung zur Verfügung. Die Systeme innerhalb von AWS sind umfassend ausgestattet, um wichtige Betriebsmetriken überwachen zu können. Alarmsignale werden konfiguriert, damit das Betriebspersonal und die Geschäftsleitung benachrichtigt werden, wenn für die wichtigsten Betriebsgrößen die Frühwarnschwellen aktiviert sind. Es wurde ein Rufbereitschaftsdienst eingerichtet, sodass das Personal stets erreichbar ist, um auf Betriebsprobleme zu reagieren. Ein Funkrufempfängersystem garantiert, dass Alarme schnell und zuverlässig an das Betriebspersonal übermittelt werden. Das Netzwerkmanagement von AWS wird regelmäßig von unabhängigen Prüfern auf Erfüllung der Anforderungen von SOC, PCI DSS, ISO 27001

und FedRAMPsm geprüft.

g. Auswirkungen von Ausfällen. Kann ich die maximal mögliche Ausfallzeit der SLA akzeptieren? Sind die geplanten Ausfallzeiten hinsichtlich der Dauer und der Tageszeit akzeptabel oder werden geplante Ausfälle meine wichtigen Geschäftsprozesse stören?

AWS muss Systeme für regelmäßige Wartungs- und System-Patch-Aufgaben nicht offline schalten. Die internen Wartungs- und System-Patching-Vorgänge bei AWS haben in der Regel keine Auswirkungen auf Kunden. Die Wartung der Instances selbst ist Aufgabe des Kunden.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 70 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

h. In der SLA festgehaltene geplante Ausfallzeiten. Sind in der durch die SLA garantierte Verfügbarkeitsgarantie geplante Ausfälle berücksichtigt?

AWS betreibt keine Umgebung mit geplanten Ausfällen, da AWS den Kunden die Möglichkeit bietet, ihre eigene Umgebung zu gestalten und dabei mehrere Verfügbarkeitszonen und Regionen zu nutzen.

i. SLA-Erstattung. Wird ein tatsächlicher Schaden aufgrund eines Verstoßes gegen die SLA (z. B. nicht geplanter Ausfall oder Datenverlust) adäquat in der SLA widergespiegelt?

AWS bietet Kunden bei Verlusten, die sie aufgrund von Ausfällen erleiden, eine Vergütung gemäß der SLA von AWS.

j. Integrität und Verfügbarkeit von Daten. Wie implementiert der Anbieter Mechanismen wie Redundanz und standortexterne Sicherungen, um Beschädigung oder Verlust meiner Daten zu verhindern und sowohl die Integrität als auch die Verfügbarkeit meiner Daten zu gewährleisten?

Die im SOC 1 Type II-Bericht von AWS beschriebenen Datenintegritätskontrollen sorgen in angemessenem Maß dafür, dass Datenintegrität in allen Phasen, einschließlich Übertragung, Speicherung und Verarbeitung, gewährleistet ist. Darüber hinaus finden Sie in der Norm ISO 27001 in Anhang A, Abschnitt 12.2 weitere Informationen. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten. Rechenzentren wurden in Clustern in verschiedenen Regionen weltweit errichtet. AWS bietet den Kunden ein Höchstmaß an Flexibilität. Es stehen ihnen mehrere geografische Regionen und mehrere Availability Zones innerhalb jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten zu speichern. Kunden sollten ihre AWS-Nutzung so gestalten, dass mehrere Regionen und Availability Zones genutzt werden. Sie selbst entscheiden, wo Ihre Daten gespeichert werden, indem Sie (für Amazon S3) eine Region oder (für Amazon EBS) eine Availability Zone innerhalb einer Region angeben. In Amazon Elastic Block Store (Amazon

EBS) gespeicherte Daten werden redundant an mehreren physischen Standorten vorgehalten. Dies erfolgt im Rahmen des normalen Betriebs dieser Services und ohne Zusatzkosten. Amazon EBS-Replikationen werden jedoch innerhalb derselben Availability Zone und nicht zonenübergreifend gespeichert. Amazon S3 bietet eine Speicherinfrastruktur mit hoher Beständigkeit. Objekte werden auf mehreren Geräten an mehreren Standorten einer Amazon S3-Region redundant gespeichert. Nach der Speicherung bewahrt Amazon S3 die Beständigkeit von Objekten durch schnelle Erkennung und Behebung etwaiger Redundanzverluste. Amazon S3 überprüft außerdem regelmäßig die Integrität der gespeicherten Daten anhand von Prüfsummen. Wenn Datenbeschädigungen festgestellt werden, erfolgt eine Reparatur mittels redundanter Daten. In S3 gespeicherte Daten sind auf eine Beständigkeit von 99,999999999 % und eine Verfügbarkeit von Objekten von 99,99 % über einen Zeitraum von einem Jahr ausgelegt. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 71 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

k. Datenwiederherstellung. Wenn ich eine Datei, E-Mail oder andere Daten versehentlich lösche, wie lange dauert es, bis meine Daten teilweise oder vollständig aus einer Sicherung wiederhergestellt sind, und ist die maximal akzeptable Zeit in der SLA festgehalten?

Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS bietet den Kunden ein Höchstmaß an Flexibilität. Es stehen ihnen mehrere geografische Regionen und mehrere Availability Zones innerhalb jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten zu speichern.

l. Skalierbarkeit. Wie viel Datenverarbeitungsressourcen hat der Anbieter in Reserve verfügbar, damit die Services des Anbieters kurzfristig skaliert werden können?

Die AWS-Cloud zeichnet sich durch Verteilung, hohe Sicherheit und Ausfallsicherheit aus und bietet Kunden ein großes Skalierungspotenzial. Kunden können ihre Bereitstellung vergrößern oder verkleinern und zahlen stets nur, was sie nutzen.

m. Anbieterwechsel. Wenn ich meine Daten auf meine Agentur oder zu einem anderen Anbieter verschieben möchte oder wenn der Anbieter plötzlich insolvent wird oder das Cloud-Geschäft auf andere Weise niederlegt, wie erhalte ich in einem vom Anbieter unabhängigen Format Zugriff auf meine Daten, um zu vermeiden, auf diesen Anbieter beschränkt zu sein? Wie kooperativ wird sich der Anbieter verhalten? Wie stelle ich sicher, dass meine Daten dauerhaft vom Speichermedium des Anbieters gelöscht werden? Welchen Standard verwendet der Anbieter für Platform-as-a-Service, mit dem die Portabilität und Kompatibilität vereinfacht werden, sodass meine Anwendung einfach zu einem anderen Anbieter oder in meine Agentur verschoben werden kann?

Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden. Kunden können ihre AMIs exportieren und diese lokal oder bei einem anderen Anbieter nutzen (wofür ggf. Softwarelizenzeinschränkungen gelten). Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security. AWS ermöglicht Kunden das Verschieben von Daten zwischen ihrem eigenen und AWS-Speicher den Anforderungen entsprechend. Der AWS Import/Export-Service für S3 beschleunigt das Verschieben großer Datenmengen in und aus AWS mithilfe tragbarer Speichergeräte für den Transport. AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings keinen Bandsicherungsservice an.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 72 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

Schutz von Daten vor unerlaubtem Zugriff durch einen Dritten

a. Auswahl an Modellen für die Cloud-Bereitstellung. Sollte ich eine potenziell weniger sichere öffentliche Cloud, eine potenziell sicherere hybride Cloud oder Community-Cloud oder eine potenziell höchst sichere private Cloud nutzen?

Die Compliance- und Sicherheitsteams von AWS haben ein Framework für die Informationssicherheit und dazugehörige Richtlinien entwickelt, das auf dem COBIT-Framework (Control Objectives for Information and related Technology) basiert. Der Sicherheits-Framework von AWS umfasst die bewährten Methoden nach ISO 27002 ISO sowie den PCI-Datensicherheitsstandard. Weitere Details finden Sie im AWS-Whitepaper „Risiko und Compliance“ unter http://aws.amazon.com/security. AWS stellt Kunden mit einer Vertraulichkeitsvereinbarung Drittanbieterbescheinigungen, Zertifizierungen, einen Service Organization Controls 1 (SOC 1) Type II-Bericht und andere relevante Compliance-bezogene Berichte direkt zur Verfügung. Amazon Virtual Private Cloud (Amazon VPC) ermöglicht die Bereitstellung eines logisch isolierten Bereichs der Amazon Web Services (AWS)-Cloud, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk ausführen können. Sie haben die vollständige Kontrolle über Ihre virtuelle Netzwerkumgebung, u. a. bei der Auswahl Ihres eigenen IP-Adressbereichs, dem Erstellen von Subnetzen und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways. Die Netzwerkkonfiguration für Ihre Amazon VPC kann auf einfache Weise angepasst werden. Sie können beispielsweise ein öffentlich zugängliches Subnetz mit Zugriff auf das Internet für Ihre Webserver einrichten und Ihre Backend-Systeme, z. B. Datenbanken oder Anwendungsserver, in einem privaten Subnetz ohne Internetzugang betreiben. Sie können mehrere Sicherheitsebenen verwenden, einschließlich Sicherheitsgruppen und Netzwerk-Zugriffssteuerungslisten, um den Zugriff auf Amazon EC2-Instances in jedem Subnetz zu steuern. Darüber hinaus können Sie eine hardwarebasierte Virtual Private Network (VPN)-Verbindung zwischen Ihrem Unternehmensrechenzentrum und Ihrer VPC erstellen und so die AWS-Cloud als Erweiterung Ihres Unternehmensrechenzentrums nutzen.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 73 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

b. Vertraulichkeit meiner Daten. Sind meine Daten, die in der Cloud gespeichert oder verarbeitetwerden, klassifiziert, vertraulich, privat oder öffentlich verfügbar, wie Informationen von meiner öffentlichen Website? Sind meine Daten nach der Aggregation einem höheren Risiko ausgesetzt als einzelne Datenbestände? Beispielsweise könnte das Risiko steigen, wenn große Datenmengen gespeichert werden, oder die Speicherung einer Vielfalt an Daten könnte einen Identitätsdiebstahl erleichtern, sofern die Daten kompromittiert werden. Sollten Daten kompromittiert werden, kann ich dann meine mit der gebotener Sorgfalt durchgeführte Risikoprüfung gegenüber der Geschäftsleistung, Regierungsvertretern und der Öffentlichkeit nachweisen?

AWS-Kunden behalten die Kontrolle über ihre eigenen Daten und können zum Erfüllen ihrer Anforderungen ein Programm für die Datenklassifizierung implementieren.

c. Gesetzliche Verpflichtungen. Welche Verpflichtungen muss ich erfüllen, um meine Daten gemäß unterschiedlicher Rechtsvorschriften (z. B. dem Privacy Act, dem Archives Act und anderen Gesetzen für einen bestimmten Datentyp) zu verwalten und zu schützen? Verpflichtet sich der Anbieter vertraglich dazu, diese Auflagen einzuhalten, um sicherzustellen, dass sie für mich zur Zufriedenheit der australischen Regierung eingehalten werden?

AWS-Kunden sind weiter dafür zuständig, dass ihre Nutzung von AWS in Übereinstimmung mit geltenden Gesetzen und Vorschriften erfolgt. AWS kommuniziert seine Sicherheits- und Kontrollumgebung seinen Kunden mithilfe von Branchenzertifizierungen und Drittanbieterbescheinigungen (siehe http://aws.amazon.com/security) und stellt Kunden Zertifizierungen, Berichte und andere wichtige Dokumentation direkt zur Verfügung. AWS hat ein Whitepaper veröffentlich, das die Verwendung von AWS im Rahmen der australischen Vorgaben zur Berücksichtigung der Privatsphäre beschreibt. Es ist hier verfügbar.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 74 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

d. Länder mit Zugriff auf meine Daten. In welchen Ländern werden meine Daten gespeichert, gesichert und verarbeitet? Durch welche Ländern werden meine Daten übertragen? In welchen Ländern befinden sich Failover- oder redundante Rechenzentren? Erhalte ich im Fall von Änderungen an diesen Informationen eine Benachrichtigung vom Anbieter?

AWS-Kunden geben an, in welcher AWS-Region sich ihre Inhalte und Server physisch befinden sollen. Damit können Kunden, die geografische Anforderungen erfüllen müssen, Umgebungen an einem Standort ihrer Wahl erstellen. AWS-Kunden in Australien können ihre AWS-Services exklusiv in der Asien-Pazifik-Region (Sydney) bereitstellen und ihre Inhalte in Australien speichern. Wenn die Kunden diese Wahl getroffen haben, werden sich ihre Inhalte in Australien befinden, wenn der Kunden die Daten nicht verschiebt. Kunden können Inhalt replizieren und in mehreren Regionen sichern, doch AWS verschiebt oder repliziert Kundendaten nicht außerhalb der vom Kunden gewählten Region oder Regionen. AWS behandelt die Sicherheit der Kunden mit größter Vorsicht und veröffentlicht oder verschiebt keine Daten auf Anfrage der australischen, US-amerikanischen oder anderer Regierungen, wenn dies nicht gesetzlich erforderlich ist und ein gesetzlicher oder rechtlich bindender Auftrag wie z. B. eine Vorladung oder ein Gerichtsbeschluss erfüllt werden muss oder dies aufgrund von geltendem Recht anderweitig erforderlich ist. Behörden, die nicht der US-Regierung unterstehen, oder andere Aufsichtsbehörden müssen in der Regel international anerkannte Verfahren wie bilaterale Rechtshilfeverträge mit der US-Regierung einhalten, um solche gültigen oder bindenden Aufträge zu erhalten. Wenn möglich und wenn uns dies nicht per Gesetz verboten ist, benachrichtigen wir zudem die Kunden, bevor wir ihre Inhalte veröffentlichen, damit sie versuchen können, von dieser Veröffentlichung befreit zu werden.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 75 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

e. Datenverschlüsselungstechnologien. Sind Hash-Algorithmen, Verschlüsselungsalgorithmen und Schlüssellängen gemäß DSD ISM geeignet, um meine Daten zu schützen, während diese über ein Netzwerk übertragen werden und sowohl auf den Computern des Anbieters als auch auf einem Sicherungsdatenträger gespeichert werden? Die Möglichkeit, Daten zu verschlüsseln, während sie von den Computern des Anbieters verarbeitet werden, ist immer noch eine neue Technologie und wird derzeit noch in der Branche und der Wissenschaft erforscht. Gilt Datenverschlüsselung als leistungsfähig genug, um meine Daten für den Zeitraum zu schützen, in dem sie einem Risiko ausgesetzt sind?

AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS, SimpleDB und EC2. VPC-Sitzungen sind ebenfalls verschlüsselt. Amazon S3 bietet Kunden als Option auch die serverseitige Verschlüsselung an. Kunden können auch Verschlüsselungsmethoden anderer Anbieter nutzen. AWS erstellt und verwaltet intern kryptographische Schlüssel für die in der AWS-Infrastruktur erforderliche Verschlüsselung. AWS erstellt, steuert und verteilt symmetrische kryptografische Schlüssel mithilfe NIST-zugelassener Schlüsselverwaltungstechnologie und -prozesse im AWS-Informationssystem. Zur Erstellung, zum Schutz und zur Verteilung symmetrischer Schlüssel wird ein von AWS entwickelter Verschlüsselungs- und Anmeldungsmanager verwendet. Damit wird Folgendes gesichert und verteilt: AWS-Anmeldeinformationen, die für Hosts, öffentliche/private RSA-Schlüssel und X.509-Zertifizierungen benötigt werden. Die kryptografischen Prozesse von AWS werden regelmäßig von unabhängigen Prüfern auf Erfüllung der Anforderungen von SOC, PCI

DSS, ISO 27001 und FedRAMPsm geprüft. Der AWS CloudHSM-Service ermöglicht Ihnen das Schützen Ihrer Verschlüsselungsschlüssel in HSMs, die gemäß gesetzlichen Standards zur sicheren Schlüsselverwaltung entwickelt und bestätigt wurden. Sie können die zur Verschlüsselung von Daten verwendeten kryptografischen Schlüssel sicher so erstellen, speichern und verwalten, dass nur Sie Zugriff darauf haben. Dank AWS CloudHSM können Sie strenge Schlüsselverwaltungsanforderungen erfüllen, ohne dafür die Anwendungsleistung zu opfern. Der AWS CloudHSM-Service wird mit der Amazon Virtual Private Cloud (VPC) zusammen eingesetzt. CloudHSMs werden in Ihrer VPC mit einer von Ihnen angegebenen IP-Adresse bereitgestellt und ermöglichen eine einfache und private Netzwerkanbindung an Ihre Amazon Elastic Compute Cloud (EC2)-Instances. Durch Platzieren von CloudHSMs in der Nähe Ihrer EC2-Instances verkürzen Sie die Netzwerklatenz, wodurch sich die Anwendungsleistung verbessern kann. AWS bietet einen dedizierten und exklusiven Zugriff auf CloudHSMs, der von anderen AWS-Kunden isoliert ist. AWS CloudHSM ist in mehreren Regionen und Availability Zones (AZs) verfügbar und ermöglicht Ihnen das Hinzufügen eines sicheren und beständigen Schlüsselspeichers für Ihre Amazon EC2-Anwendungen.

f. Medienbereinigung. Welche Prozesse werden am Ende seines Lebenszyklus für die Bereinigung des Speichermediums verwendet, das meine Daten enthält, und gelten diese Prozesse gemäß DSD ISM als geeignet?

Zu den AWS-Prozessen gehört u. a. ein Verfahren für die Außerbetriebnahme von Speichergeräten, die das Ende ihrer Nutzungsdauer erreicht haben. Bei diesem Verfahren wird sichergestellt, dass Kundendaten nicht autorisierten Personen nicht preisgegeben werden. AWS verwendet die in DoD 5220.22-M („National Industrial Security Program Operating Manual“) oder in NIST 800-88 („Guidelines for Media Sanitation“) beschriebenen Verfahren, um Daten im Zuge der Außerbetriebnahme dauerhaft zu löschen. Falls eine Hardwarekomponente nicht mithilfe dieser Verfahren außer Betrieb genommen werden kann, wird das Gerät entmagnetisiert oder gemäß den branchenüblichen Verfahren zerstört. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 76 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

g. Ferne Verwaltung und Überwachung des Anbieters. Überwacht oder verwaltet der Anbieter Computer, auf denen meine Daten gespeichert oder verarbeitet werden? Falls ja, geschieht dies aus der Ferne in anderen Ländern oder von Australien aus? Kann der Anbieter Patch-Compliance-Berichte oder andere Details zur Sicherheit der Arbeitsstationen bereitstellen, die für diese Arbeit verwendet werden, und welche Kontrollen verhindern, dass die Mitarbeiter des Anbieters eigene Laptops verwenden, die nicht vertrauenswürdig sind?

Wenn Sie Ihre IT-Infrastruktur in AWS-Services verlagern, entsteht ein Modell übergreifender Verantwortlichkeit zwischen Kunde und AWS. Dieses Modell bedeutet für die Kunden eine Erleichterung des Betriebs, da AWS die Komponenten des Hostbetriebssystems und der Virtualisierungsebene betreibt, verwaltet und steuert und zudem für die physische Sicherheit der Standorte sorgt, an denen die Services ausgeführt werden. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe.

h. Meine Verwaltung und Überwachung. Kann ich meine vorhandenen Tools für Integritätsprüfungen, Compliance-Überprüfungen, Sicherheitsüberwachung und Netzwerkverwaltung verwenden, um Transparenz für alle meine Systeme zu erlangen, unabhängig davon, ob die Systeme lokal vorliegen oder sich in der Cloud befinden? Muss ich weitere, vom Anbieter bereitgestellte Tools kennenlernen? Stellt der Anbieter für mich auch einen Mechanismus zur Verfügung, mit dem eine Überwachung durchgeführt werden kann?

Amazon CloudWatch ermöglicht die Überwachung der AWS-Cloud-Ressourcen und der Anwendungen, die Kunden in AWS ausführen. Unter aws.amazon.com/cloudwatch finden Sie weitere Details. AWS veröffentlicht außerdem in seiner Übersicht zum Servicestatus stets neueste Informationen zur Verfügbarkeit seiner Services. Näheres dazu unter status.aws.amazon.com. Der AWS Trusted Advisor untersucht Ihre AWS-Umgebung und gibt Empfehlungen, wenn Sie Kosten senken, die Systemleistung und Verlässlichkeit verbessern oder Sicherheitslücken schließen können.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 77 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

i. Rechte an Daten. Behalte ich das Eigentumsrecht an meinen Daten oder gehören sie dem Anbieter und können für den Fall, dass der Anbieter Insolvenz anmeldet, als Ressourcen für den Verkauf durch einen Liquidator verwendet werden?

Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden. AWS verwendet den Inhalt der Kunden nur, um die vom Kunden gewählten AWS-Services für diesen Kunden bereitzustellen. Inhalte von Kunden werden für keine sekundären Zwecke verwendet. AWS behandelt alle Kundeninhalte auf die gleiche Weise und hat keinen Einblick in die Art des Inhalts, den der Kunde in AWS speichert. AWS stellt lediglich die vom Kunden gewählten Datenverarbeitungs-, Speicher-, Datenbank- und Netzwerkservices zur Verfügung. Zur Bereitstellung dieser Services muss AWS nicht auf Kundeninhalte zugreifen.

j. Gateway-Technologien. Welche Technologien verwendet der Anbieter, um eine sichere Gateway-Umgebung zu erstellen? Beispiele für geeignete Technologien sind Firewalls, Filter für den Datenverkehrsfluss, Inhaltsfilter sowie ggf. Virenschutzsoftware und Datendioden.

Das AWS-Netzwerk bietet hohen Schutz vor gängigen Netzwerksicherheitsproblemen. Zudem können Benutzer weitere Schutzmaßnahmen implementieren. Weitere Details finden Sie im AWS-Whitepaper „Sicherheitsprozesse im Überblick“ unter http://aws.amazon.com/security. Amazon-Geräte, z. B. Laptops, sind mit Virenschutzsoftware konfiguriert, die E-Mail-Filterung und Malware-Erkennung umfasst. AWS Network Firewall-Management und die Virenschutzsoftware von Amazon werden regelmäßig von unabhängigen Prüfern auf Erfüllung der

Anforderungen von SOC, PCI DSS, ISO 27001 und FedRAMPsm geprüft.

k. Gateway-Zertifizierung. Ist die Gateway-Umgebung des Anbieters für die staatlichen Sicherheitsnormen und -vorschriften zertifiziert?

AWS erwirbt Branchenzertifizierungen und Bescheinigungen unabhängiger Dritter unter anderem für die AWS-Gateway-Umgebung.

l. Filterung von E-Mail-Inhalten. Stellt der Anbieter für E-Mail als Software-as-a-Service anpassbare Mechanismen zum Filtern von Inhalt zur Verfügung, mit denen die Richtlinie für E-Mail-Inhalte meiner Agentur umgesetzt werden kann?

Ein Kunde kann ein System zum Hosten von E-Mail-Funktionen verwenden. In diesem Fall unterliegt es jedoch der Verantwortung des Kunden, die entsprechenden Levels zum Schutz vor Spam und Schadsoftware an den Eintritts- und Austrittspunkten für E-Mails anzuwenden und Spam- und Schadsoftwaredefinitionen zu aktualisieren, wenn neue Versionen verfügbar sind.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 78 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

m. Richtlinien und Verfahren zur Unterstützung der IT-Sicherheitslage des Anbieters. Kann ich genaue Informationen dazu erhalten, wie die Sicherheitslage für Computer und Netzwerke meines Anbieters durch Richtlinien und Verfahren unterstützt wird, wie z. B. Gefahren- und Risikobewertung, laufendes Schwachstellenmanagement und ein Änderungsmanagementprozess, der Sicherheit, Penetrationstests, Protokollierung und regelmäßige Protokollanalyse umfasst? Kann ich genaue Informationen erhalten über die Verwendung von Sicherheitsprodukten, die von der australische Regierung unterstützt werden, und über die Einhaltung der Sicherheitsnormen und -vorschriften der australischen Regierung?

Richtlinien und Verfahren wurden vom AWS-Team für Informationssicherheit gemäß dem COBIT-Framework, ISO 27001-Normen und den PCI DSS-Vorgaben festgelegt. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten. Darüber hinaus veröffentlicht AWS einen SOC 1 Type II-Bericht. Weitere Details finden Sie im SOC 1-Bericht. Weitere Details finden Sie im AWS-Whitepaper „Risiko und Compliance“ unter http://aws.amazon.com/security. AWS-Kunden können von AWS verwaltete Schlüsselkontrollen identifizieren. Schlüsselkontrollen sind für die Kontrollumgebung des Kunden sehr wichtig und erfordern eine externe Bescheinigung ihrer Betriebseffektivität, um Compliance-Anforderungen zu erfüllen, z. B. die jährliche Bilanzprüfung. Zu diesem Zweck veröffentlicht AWS eine Vielzahl von IT-Kontrollen in seinem Bericht „Service Organization Controls 1 (SOC 1), Type II“. Der Service Organization Controls 1 (SOC 1) Type II-Bericht, zuvor Statement on Auditing Standards (SAS) No. 70, Service Organizations-Bericht und früher SSAE 16-Bericht (Statement on Standards for Attestation Engagements No. 16 genannt, ist eine umfassend anerkannte Prüfungsvorschrift des American Institute of Certified Public Accountants (AICPA). Die SOC 1-Prüfung ist eine umfassende Untersuchung sowohl des Entwurfs als auch der Betriebseffektivität der von AWS definierten Kontrollziele und -aktivitäten (zu der die Kontrollziele und -aktivitäten für den Teil der Infrastruktur zählen, der von AWS verwaltet wird). „Type II“ bezieht sich auf die Tatsache, dass alle in dem Bericht beschriebenen Kontrollen vom externen Prüfer nicht nur auf Angemessenheit des Entwurfs, sondern auch auf Betriebseffektivität getestet werden. Aufgrund der Unabhängigkeit und Kompetenz des externen Prüfers von AWS sollten die in dem Bericht genannten Kontrollen beim Kunden für ein hohes Maß an Vertrauen in die AWS-Kontrollumgebung sorgen.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 79 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

n. Technologien zur Unterstützung der IT-Sicherheitslage des Anbieters. Kann ich genaue Informationen dazu erhalten, wie die Sicherheitslage für Computer und Netzwerke meines Anbieters durch direkte technische Kontrollen unterstützt wird, z. B. die rechtzeitige Anwendung von Sicherheits-Patches, die regelmäßige Aktualisierung von Virenschutzsoftware, Mechanismen zum Schutz vor unbekannten Gefahren, sichere Betriebssysteme und Softwareanwendungen, die mit den strengstmöglichen Sicherheitseinstellungen konfiguriert sind, Systeme zur Eindringungserkennung und -verhinderung und Mechanismen zum Schutz vor Datenverlust?

AWS stellt Kunden mit einer Vertraulichkeitsvereinbarung Drittanbieterbescheinigungen, Zertifizierungen, einen Service Organization Controls 1 (SOC 1) Type II-Bericht und andere relevante Compliance-bezogene Berichte direkt zur Verfügung. In regelmäßigen Abständen überprüft das Sicherheitsteam von AWS alle mit dem Internet verbundenen IP-Adressen von Service-Endpunkten auf Schwachstellen (Instances von Kunden werden nicht untersucht). Das AWS-Sicherheitsteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen beheben können. Zusätzlich werden regelmäßig unabhängige externe Sicherheitsfirmen mit einer Schwachstellenüberprüfung beauftragt. Die Ergebnisse und Empfehlungen dieser Überprüfungen werden kategorisiert und an die Geschäftsleitung von AWS weitergeleitet. Zusätzlich wird die Kontrollumgebung von AWS regelmäßigen internen und externen Risikoanalysen unterzogen. AWS beauftragt externe Zertifizierungsgremien und unabhängige Prüfer mit dem Prüfen und Testen der gesamten AWS-Kontrollumgebung.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 80 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

o. Audits der IT-Sicherheitslage des Anbieters. Kann ich die Implementierung der Sicherheitsmaßnahmen auditieren z. B. durch die Durchführung von Scans und anderer Penetrationstests der für mich bereitgestellten Umgebung? Wenn ein gerechtfertigter Grund besteht, warum eine Überwachung nicht möglich ist, welcher namhafte Drittanbieter hat dann Überwachungen oder andere Gefahrenbewertungen durchgeführt? Welche Art interner Audits führt der Anbieter durch und welche Einhaltungsstandards und andere empfohlenen Praktiken von Unternehmen wie die Cloud Security Alliance (Cloud-Sicherheitsbündnis) werden für diese Bewertungen durchgeführt? Kann ich eine Kopie der aktuellsten Berichte einer genauen Prüfung unterziehen?

AWS stellt Kunden mit einer Vertraulichkeitsvereinbarung Drittanbieterbescheinigungen, Zertifizierungen, einen Service Organization Controls 1 (SOC 1) Type II-Bericht und andere relevante Compliance-bezogene Berichte direkt zur Verfügung. Kunden können die Berechtigung zur Durchführung von Untersuchungen der eigenen Cloud-Infrastruktur beantragen, sofern sich diese Untersuchungen auf die Instances des Kunden beschränken und nicht gegen die Richtlinien zur angemessenen Nutzung von AWS verstoßen. Eine erweiterte Genehmigung für solche Untersuchungen kann mit dem Formular „AWS Vulnerability/Penetration Testing“ beantragt werden. AWS Security beauftragt regelmäßig unabhängige Sicherheitsfirmen, externe Schwachstellen- und Bedrohungsanalysen durchzuführen. Der AWS SOC 1 Type 2-Bericht bietet weitere Details zu den spezifischen Kontrollmaßnahmen von AWS.

p. Benutzerauthentifizierung. Welche Identity and Access Management-Systeme unterstützt der Anbieter für die Benutzeranmeldung bei Software-as-a-Service?

AWS Identity and Access Management (IAM) ermöglicht es Ihnen, sicher den Zugriff auf AWS-Services und -Ressourcen für Ihre Benutzer zu steuern. Mithilfe von IAM können Sie AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen zulassen oder verweigern. AWS unterstützt den Identitätsverbund, mit dem Benutzer einfacher verwaltet werden können, indem ihre Identitäten an einem einzelnen Ort gespeichert sind. AWS IAM umfasst die Unterstützung von SAML 2.0 (Security Assertion Markup Language), eines offenen Standards, der von vielen Identitätsanbietern verwendet wird. Mit dieser neuen Funktion ist Einmalanmeldung (Single Sign-On, SSO) möglich, das heißt, Benutzer können sich bei der AWS Management Console anmelden oder programmgesteuert AWS-APIs aufrufen, indem sie Zusicherungen eines SAML-kompatiblen Identitätsanbieters (wie Shibboleth oder Windows Active Directory Federation Services) verwenden.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 81 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

q. Zentralisierte Datenkontrolle. Welche Benutzerschulungen, Richtlinien und technischen Kontrollen verhindern, dass die Benutzer meiner Agentur nicht genehmigte oder unsichere Datenverarbeitungsgeräte ohne vertrauenswürdige Betriebsumgebung verwenden, um vertrauliche Daten zu speichern oder zu verarbeiten, auf die über Software-as-a-Service zugegriffen werden kann?

–

r. Physische Sicherheitslage des Anbieters. Verwendet der Anbieter physische Sicherheitsprodukte und -geräte, die von der australischen Regierung unterstützt werden? Durch welche Maßnahmen wird im physischen Rechenzentrum des Anbieters unbefugte Nutzung oder Diebstahl von Servern, Infrastruktur und Daten verhindert, die darauf gespeichert sind? Ist das physische Rechenzentrum des Anbieters durch eine dritte, behördliche Partei akkreditiert?

Die Definition der von AWS definierten logischen und physischen Kontrollen ist im SOC 1 Type II-Bericht dokumentiert. Dieser Bericht steht Audit- und Compliance-Teams zur Prüfung zur Verfügung. AWS ISO 27001 und anderen Zertifizierungen sind ebenfalls für Prüfern verfügbar. Zu den physischen Sicherheitsmaßnahmen zählen u. a. Vorkehrungen wie Zäune, Mauern, Sicherheitspersonal, Videoüberwachung, Einbruchmeldeanlagen und andere elektronische Systeme. Der physische Zugang wird durch professionelles Sicherheitspersonal streng kontrolliert, sowohl an der Geländegrenze als auch an den Gebäudeeingängen. Dabei werden unter anderem Videoüberwachung, Einbruchmeldeanlagen und andere elektronische Vorrichtungen eingesetzt. Autorisierte Mitarbeiter müssen mindestens zweimal eine Zwei-Faktor-Authentifizierung durchlaufen, bevor sie die Rechenzentrumsebenen betreten dürfen. Physische Zugangspunkte zu Serverstandorten werden von CCTV-Kameras gemäß der AWS Data Center Physical Security Policy aufgezeichnet. Die Bilder werden 90 Tage aufbewahrt, es sei denn, die Aufbewahrungsfrist ist durch gesetzliche oder vertragliche Verpflichtungen auf 30 Tage beschränkt. AWS gestattet zugelassenen Mitarbeitern und Auftragnehmern, die einen legitimen geschäftlichen Grund für diese Berechtigung haben, den Zugang zum Rechenzentrum. Alle Besucher müssen sich ausweisen, werden registriert und von autorisiertem Personal begleitet. Der SOC 1 Typ II-Bericht beschreibt bestimmte Kontrollen für den physischen Zugriff, die Zugangsberechtigung für das Rechenzentrum und ähnliche Kontrollen. Weitere Informationen finden Sie in der Norm ISO 27001 im Anhang A, Abschnitt 9.1 AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 82 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

s. Software- und Hardware-Beschaffung. Welcher Beschaffungsprozess wird verwendet, um sicherzustellen, dass Software und Hardware für die Cloud-Infrastruktur aus einer rechtmäßigen Quelle stammen und während der Lieferung nicht böswillig verändert wurden?

In Übereinstimmung mit ISO 27001-Normen werden AWS-Hardwarekomponenten vom AWS-Personal mit AWS-eigenen Inventarverwaltungstools einem Zuständigen zugewiesen, nachverfolgt und überwacht. Das AWS-Team für Beschaffung pflegt Beziehungen mit allen AWS-Lieferanten in der Lieferkette. Weitere Details finden Sie in der Norm ISO 27001 in Anhang A, Abschnitt 7.1. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

Schützen von Daten vor unbefugtem Zugriff durch Kunden des Anbieters

a. Trennung verschiedener Kunden. Wie wird sichergestellt, dass Virtualisierung und Mechanismen für mehrere Mandanten eine angemessene Logik- und Netzwerktrennung mehrerer Mandanten gewährleisten, sodass ein böswilliger Kunde, der denselben physischen Computer verwendet wie ich, nicht auf meine Daten zugreifen kann?

Amazon EC2 nutzt derzeit eine stark angepasste Version des Xen-Hypervisors. Der Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft und eignet sich gut für die Aufrechterhaltung einer strikten Trennung zwischen virtuellen Gastmaschinen. Im Verlauf von Begutachtungen und Überprüfungen wird der Xen-Hypervisor von AWS regelmäßig von unabhängigen Prüfern beurteilt. Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten der strikten Trennung von Kundendaten. Kontrolle und Besitz der eigenen Daten verbleiben bei den Kunden, weshalb diese für die etwaige Verschlüsselung ihrer Daten zuständig sind. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS und EC2. VPC-Sitzungen sind ebenfalls verschlüsselt. Amazon S3 bietet Kunden als Option auch die serverseitige Verschlüsselung an. Weitere Details finden Sie im AWS-Whitepaper „Risiko und Compliance“ unter http://aws.amazon.com/security.

b. Schwächung meiner Sicherheitslage. Inwiefern würde die Nutzung der Cloud-Infrastruktur des Anbieters die bestehende Netzwerksicherheitslage meiner Agentur schwächen? Würde der Anbieter mich ohne meine explizite Zustimmung als einen seiner Kunden aufführen und damit einem Gegner helfen, der speziell auf mich abzielt?

Dass jemand AWS-Kunde ist, wird vertraulich behandelt, und Kundendetails werden nicht ohne ausdrückliche Zustimmung weitergegeben. Amazon Virtual Private Cloud (Amazon VPC) ermöglicht die Bereitstellung eines logisch isolierten Bereichs der Amazon Web Services (AWS)-Cloud, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk ausführen können. Sie haben die vollständige Kontrolle über Ihre virtuelle Netzwerkumgebung, u. a. bei der Auswahl Ihres eigenen IP-Adressbereichs, dem Erstellen von Subnetzen und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 83 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

c. Dedizierte Server. Habe ich einen Einfluss darauf, auf welchem physischen Computer meine virtuellen Maschinen ausgeführt werden? Kann ich eine zusätzliche Gebühr zahlen, um sicherzustellen, dass kein anderer Kunde denselben physischen Computer verwendet wie ich, indem ich z. B. dedizierte Server oder eine virtuelle private Cloud erhalte?

Die VPC ermöglicht Kunden das Starten von Amazon EC2-Instances, die physisch auf Host-Hardware-Ebene isoliert sind. Diese werden auf Single-Tenant-Hardware ausgeführt. Eine VPC kann mit einer zugeordneten Tenancy erstellt werden. In diesem Fall werden all in der VPC gestarteten Instances diese Funktion verwenden. Alternativ kann eine VPC mit einer Standard-Tenancy erstellt werden. Die Kunden können für bestimmte Instances, die in der VPC gestartet werden, jedoch eine zugeordnete Tenancy angeben.

d. Medienbereinigung. Welche Prozesse kommen zum Einsatz, um das Speichermedium zu bereinigen, nachdem ich Teile meiner Daten gelöscht habe und bevor es einem anderen Kunden zur Verfügung gestellt wird? Werden diese Prozesse durch das DSD ISM als geeignet eingestuft?

Kontrolle und Besitz der eigenen Daten verbleiben beim Kunden. Sie können ihre Daten daher auch löschen. Wenn ein Speichergerät das Ende seiner Lebensdauer erreicht hat, führt AWS bestimmte Stilllegungsprozeduren aus, die u. a. verhindern, dass Kundendaten für Unbefugte einsehbar sind. AWS verwendet die in DoD 5220.22-M („National Industrial Security Program Operating Manual“) oder in NIST 800-88 („Guidelines for Media Sanitation“) beschriebenen Verfahren, um Daten im Zuge der Außerbetriebnahme dauerhaft zu löschen. Falls eine Hardwarekomponente nicht mithilfe dieser Verfahren außer Betrieb genommen werden kann, wird das Gerät entmagnetisiert oder gemäß den branchenüblichen Verfahren zerstört. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

Schützen von Daten vor unbefugtem Zugriff durch nicht autorisierte Mitarbeiter des Anbieters

a. Verwaltung der Schlüssel für die Datenverschlüsselung. Kennt der Anbieter das Passwort oder den Schlüssel für die Entschlüsselung meiner Daten oder ver- und entschlüssele ich die Daten auf meinem Computer, sodass der Anbieter stets nur auf verschlüsselte Daten zugreifen kann?

AWS-Kunden verwalten ihre eigene Verschlüsselung, es sei denn, sie nutzen den AWS-Service für die Verschlüsselung auf Serverseite. In diesem Fall erstellt AWS pro Mandanten einen eindeutigen Verschlüsselungsschlüssel. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

b. Sicherheitsüberprüfungen für Mitarbeiter des Anbieters. Welche Mitarbeiterüberprüfungen und Sicherheitsüberprüfungen führt der Anbieter durch, um die Vertrauenswürdigkeit der Mitarbeiter sicherzustellen?

AWS führt gemäß geltendem Recht im Rahmen seiner Prüfpraktiken vor einer Einstellung Untersuchungen auf Vorstrafen bei Mitarbeitern durch, und zwar entsprechend der Position des Mitarbeiters und seinem Grad des Zugangs zu AWS-Anlagen.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 84 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

c. Überprüfung der Mitarbeiter des Anbieters. Welches verlässliche System für das Identity and Access Management nutzen die Mitarbeiter des Anbieters? Welcher Prüfprozess wird eingesetzt, um die Aktivitäten der Mitarbeiter des Anbieters zu protokollieren und zu prüfen?

In Übereinstimmung mit ISO 27001-Normen hat AWS formale Richtlinien und Verfahren zum Bestimmen der Mindeststandards für den logischen Zugriff auf AWS-Ressourcen definiert. AWS SOC 1 Typ 2 führt die vorhandenen Kontrollen auf, die zur Verwaltung der Bereitstellung des Zugriffs auf AWS-Ressourcen dienen. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

d. Besucher im Rechenzentrum. Werden Besucher in den Rechenzentren stets begleitet und werden der Name und andere persönliche Daten jedes Besuchers überprüft und erfasst?

Alle Besucher und Auftragnehmer müssen einen Ausweis vorlegen, werden registriert und kontinuierlich durch autorisiertes Fachpersonal begleitet. AWS gestattet nur zugelassenen Mitarbeitern und Auftragnehmern, die einen legitimen geschäftlichen Grund für einen Zutritt haben, den Zugang zum Rechenzentrum. Wenn Mitarbeiter keinen geschäftlichen Grund mehr für diesen Zutritt haben, werden ihre Zutrittsberechtigungen sofort widerrufen, selbst wenn sie weiterhin als Mitarbeiter von Amazon oder Amazon Web Services tätig sind. Der Zutritt zu den Rechenzentren durch Mitarbeiter von AWS wird routinemäßig protokolliert und regelmäßig überprüft.

e. Physische Manipulation durch Mitarbeiter des Anbieters. Ist die Netzwerkverkabelung professionell gemäß australischen Normen bzw. international anerkannten Standards installiert, um zu verhindern, dass die Mitarbeiter des Anbieters versehentlich Kabel mit den falschen Computern verbinden, und um absichtliche Manipulationsversuche an der Verkabelung durch die Mitarbeiter des Anbieters schnell aufzudecken?

Zu den physischen Sicherheitsmaßnahmen zählen u. a. Vorkehrungen wie Zäune, Mauern, Sicherheitspersonal, Videoüberwachung, Einbruchmeldeanlagen und andere elektronische Systeme. Dies umfasst einen geeigneten Schutz für Netzwerkkabel. Der AWS SOC 1 Type 2-Bericht bietet weitere Details zu den spezifischen Kontrollmaßnahmen von AWS. In der Norm ISO 27001 finden Sie in Anhang A, Abschnitt 9.1 weitere Informationen. AWS wurde von einem unabhängigen Prüfer geprüft und hat als Nachweis der Befolgung der Norm ISO 27001 eine entsprechende Zertifizierung erhalten.

f. Auftragnehmer des Anbieters. Treffen die Antworten auf diese Fragen in gleichem Maße auf alle Auftragnehmer des Anbieters zu?

Die Zugriffsbereitstellung für Auftragnehmer bzw. Anbieter wird für Mitarbeiter und Auftragnehmer gleich gehandhabt, wobei die Verantwortung hierfür zwischen den Bereichen Personalverwaltung und Betriebsprozesse sowie den Service-Inhabern aufgeteilt wird. Die Anbieter unterliegen denselben Zugriffsanforderungen wie Mitarbeiter.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 85 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

Behandlung von Sicherheitsvorfällen

a. Rechtzeitiger Support durch den Anbieter. Ist der Anbieter problemlos erreichbar, reagiert er auf Anfragen nach Unterstützung und ist die Mindestreaktionszeit in der SLA festgeschrieben oder nur die Marketingbehauptung, dass der Anbieter sein Bestes unternehmen wird? Erfolgt die Unterstützung vor Ort, aus dem Ausland oder aus mehreren anderen Ländern unter Berücksichtigung der dortigen Arbeitszeiten? Welchen Mechanismus setzt der Anbieter ein, um in Echtzeit einen Einblick in die Sicherheitslage im Zusammenhang mit meiner Nutzung der Services des Anbieters zu erhalten, so dass der Anbieter Support bereitstellen kann?

AWS Support ist ein persönlicher Support-Kanal mit schnellen Reaktionszeiten, der rund um die Uhr mit erfahrenen Support-Technikern besetzt ist. Der Service hilft Kunden aller Größen und technischer Möglichkeiten, die Produkte und Funktionen von Amazon Web Services zu verwenden. Alle Support-Stufen von AWS bieten dem Kunden der AWS Infrastructure Services eine unbegrenzte Anzahl von Support-Fällen mit monatlichen Zahlungen und ohne langfristige Verträge. Die vier Stufen ermöglichen Entwicklern und Unternehmen die flexible Wahl einer Support-Stufe, die ihre spezifischen Anforderungen erfüllt.

b. Plan für die Reaktion auf Vorfälle des Anbieters. Verfügt der Anbieter über einen Reaktionsplan für Sicherheitsvorfälle, in dem festgelegt ist, wie Sicherheitsvorfälle erkannt werden und wie darauf zu reagieren ist, und zwar auf eine Weise, die den Verfahren zum Umgang mit Vorfällen im DSD ISM ähneln? Steht eine Kopie zur Verfügung, die ich in vollem Umfang einsehen kann?

Das Amazon Incident Management-Team befolgt branchenübliche Diagnoseverfahren zur Entwicklung und Umsetzung von Problemlösungen. Mitarbeiter sind das ganze Jahr über – 24 Stunden am Tag, 7 Tage in der Woche – damit beschäftigt, Störungen festzustellen und deren Auswirkungen einzudämmen und Lösungen zu finden. Der AWS-Vorfallreaktionsprogramm sowie dessen Prozesse und Verfahren stehen im Einklang mit der Norm ISO 27001. Der AWS SOC 1 Type 2-Bericht bietet Details zu den spezifischen Kontrollmaßnahmen von AWS. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 86 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

c. Schulungen für Mitarbeiter des Anbieters. An welchen Qualifizierungen, Zertifizierungen und regelmäßigen Schulungen zur Informationssicherheit müssen die Mitarbeiter des Anbieters teilnehmen, damit sie wissen, wie sie die Systeme des Anbieters auf sichere Weise verwenden und wie sie potenzielle Sicherheitsvorfälle identifizieren?

In Übereinstimmung mit der Norm ISO 27001 nehmen alle AWS-Mitarbeiter regelmäßig an einer Schulung zur Informationssicherheit teil. Die Teilnahme muss bestätigt werden. Compliance-Überprüfungen erfolgen regelmäßig, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

d. Benachrichtigung über Sicherheitsvorfälle. Benachrichtigt mich der Anbieter über einen sicheren Kommunikationsweg über Sicherheitsvorfälle, die schwerwiegender sind als eine vereinbarte Schwelle, vor allem in Fällen, in denen der Anbieter möglicherweise haftbar ist? Benachrichtigt der Anbieter automatisch die Strafverfolgungsbehörden oder andere Behörden, die eventuell Computerausrüstung beschlagnahmen, welche zur Speicherung oder Verarbeitung meiner Daten verwendet wird?

Bei Benachrichtigungen über Sicherheitsvorfällen wird von Fall zu Fall und gemäß dem geltenden Gesetz entschieden. Jede Benachrichtigung erfolgt über sichere Kommunikationswege.

e. Umfang des Supports durch den Anbieter. Wie viel Unterstützung kann ich vom Anbieter bei Ermittlungen erwarten, wenn es zu einer Sicherheitsverletzung kommt, beispielsweise einer nicht autorisierten Offenlegung meiner Daten, oder wenn aus rechtlichen Gründen elektronische Beweismittel sichergestellt werden müssen?

AWS stellt die Infrastruktur. Die Kunden verwalten alle anderen Komponenten einschließlich Betriebssystem, Netzwerkkonfiguration und installierte Anwendungen. Es liegt für den Fall eines Rechtsverfahrens in der Zuständigkeit des Kunden, elektronische Dokumente, die in AWS gespeichert oder verarbeitet werden, zu identifizieren, zu sammeln, zu verarbeiten, zu analysieren und vorzulegen. Auf Anfrage arbeitet AWS ggf. mit Kunden zusammen, die bei Rechtsverfahren die Unterstützung von AWS benötigen.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 87 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

f. Mein Zugriff auf Protokolle. Wie erhalte ich Zugriff auf zeitlich synchronisierte Prüfprotokolle und andere Protokolle, um eine forensische Untersuchung durchzuführen, und wie werden die Protokolle erstellt und gespeichert, damit sie vor Gericht als geeignete Beweismittel dienen?

Die Kunden kontrollieren ihre eigenen Gastbetriebssysteme, ihre Software und ihre Anwendungen und sind aus diesem Grund dafür verantwortlich, eine Überwachung der logischen Zustände dieser Systeme zu entwickeln. In Übereinstimmung mit den ISO 27001-Normen nutzen AWS-Informationssysteme über NTP (Network Time Protocol) synchronisierte Systemuhren. AWS CloudTrail bietet eine einfache Lösung, um Benutzeraktivitäten aufzuzeichnen, sodass möglicherweise kein komplexes Logging-System erforderlich ist. Weitere Informationen finden Sie unter aws.amazon.com/cloudtrail. AWS Cloudwatch ermöglicht die Überwachung von Ressourcen in der AWS-Cloud und von Anwendungen, die Benutzer auf AWS ausführen. Unter aws.amazon.com/cloudwatch finden Sie weitere Details. AWS veröffentlicht außerdem in seiner Übersicht zum Servicestatus stets neueste Informationen zur Verfügbarkeit seiner Services. Siehe status.aws.amazon.com.

g. Entschädigung für Sicherheitsvorfälle. Wie entschädigt mich der Anbieter angemessen, wenn die Aktivitäten bzw. fehlerhafte Software oder Hardware des Anbieters zu einer Sicherheitsverletzung beigetragen haben?

Der AWS-Vorfallreaktionsprogramm sowie dessen Prozesse und Verfahren stehen im Einklang mit der Norm ISO 27001. AWS SOC 1 Typ 2 enthält Details zu den speziellen Kontrollaktivitäten, die von AWS ausgeführt werden. Weitere Details finden Sie im „AWS Cloud-Sicherheits-Whitepaper“ unter http://aws.amazon.com/security.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 88 von 93

Schlüssel-bereich

Fragen ANTWORT von AWS

h. Datenlecks. Wenn Daten, die ich als zu vertraulich für eine Speicherung in der Cloud einstufe, versehentlich in die Cloud gelangen, was als Datenleck bezeichnet wird, wie können die betroffenen Daten dann mithilfe forensischer Bereinigungstechniken gelöscht werden? Wird der relevante Bestandteil des physischen Speichermediums mit Nullen überschrieben, wenn Daten gelöscht werden? Falls nicht, wie lange dauert es, bis gelöschte Daten im Rahmen des normalen Betriebs von Kunden überschrieben werden, wenn man bedenkt, dass in einer Cloud normalerweise erhebliche ungenutzte Speicherkapazitäten vorhanden sind? Können die versehentlich an diesem Ort gespeicherten Daten forensisch von den Sicherungsmedien des Anbieters gelöscht werden? Wo sonst werden die versehentlich am falschen Ort gespeicherten Daten gespeichert und lassen sie sich forensisch löschen?

Die Kunden bleiben Eigentümer ihrer Inhalte und behalten die Kontrolle darüber. Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten der strikten Trennung von Kundendaten. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS und EC2. IPsec-Tunnel zu VPC sind ebenfalls verschlüsselt. Amazon S3 bietet Kunden als Option auch die serverseitige Verschlüsselung an. Weitere Details finden Sie im AWS-Whitepaper „Risiko und Compliance“ unter http://aws.amazon.com/security. Weitere Details finden Sie im AWS-Whitepaper „Risiko und Compliance“ unter http://aws.amazon.com/security.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 89 von 93

Anhang C: Glossar der Begriffe

Authentifizierung: Beim Authentifizierungsvorgang wird festgestellt, ob jemand oder etwas tatsächlich das ist, was er bzw. es zu sein vorgibt. Availability Zone: Amazon EC2-Standorte bestehen aus Regionen und Availability Zones. Availability Zones sind eigenständige Standorte, die so entwickelt wurden, dass sie von Fehlern in anderen Availability Zones isoliert sind. Sie bieten eine kostengünstige Netzwerkverbindung mit geringer Verzögerungszeit zu anderen Availability Zones in derselben Region. DSS: Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weltweit geltender Standard für Informationssicherheit, der vom Payment Card Industry Security Standards Council zusammengestellt und betreut wird. EBS: Amazon Elastic Block Store (EBS) bietet Speichervolumen zur Verwendung mit Amazon EC2-Instances auf Blockebene. Amazon EBS-Volumes ermöglichen die Speicherung außerhalb der Instance, die unabhängig vom Status einer Instance besteht. FedRAMPsm: Das Federal Risk and Authorization Management Program (FedRAMPsm) ist ein Programm der Bundesregierung, das ein standardisiertes Verfahren für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung für Cloud-Produkte und -Services festlegt. FedRAMPsm ist für Cloud-Bereitstellungen und Service-Modelle bei US-Bundesbehörden mit geringen und mittleren Risikostufen obligatorisch. FISMA: Der Federal Information Security Management Act von 2002. Das Gesetz fordert von allen US-Bundesbehörden die Entwicklung, Dokumentation und Implementierung eines behördenweiten Programms zum Gewährleisten von Sicherheit der Informationen und Informationssysteme, die den Betrieb und die Ressourcen der Behörde unterstützen, was auch diejenigen betrifft, die von einer anderen Behörde, einem Auftragnehmer oder einer anderen Quelle bereitgestellt oder verwaltet werden. FIPS 140-2: Die Veröffentlichung 140-2 des Federal Information Processing Standard (FIPS) ist ein Sicherheitsstandard der US-Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. GLBA: Der Gramm–Leach–Bliley Act (GLB oder GLBA), auch Financial Services Modernization Act von 1999 genannt, bestimmt Vorgaben für Finanzinstitute hinsichtlich u. a. der Preisgabe nicht öffentlicher Kundeninformationen und des Schutzes vor Bedrohungen der Sicherheit und Datenintegrität. HIPAA: Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 fordert die Festlegung nationaler Standards für elektronische Transaktionen im Gesundheitswesen und nationale Kennungen für Anbieter, Versicherer und Mitarbeiter. In den Vorschriften unter „Administration Simplification“ werden auch die Sicherheit und der Datenschutz von Patientendaten berücksichtigt. Die Standards dienen der Verbesserung der Effizienz und Effektivität des US-Gesundheitssystems durch den elektronischen Austausch von Daten. Hypervisor: Ein Hypervisor, auch Virtual Machine Monitor (VMM) genannt, ist eine Virtualisierungssoftware für Software-/Hardware-Plattformen, dank der mehrere Betriebssysteme gleichzeitig auf einem Host-Computer ausgeführt werden können. IAM: AWS Identity and Access Management (IAM) ermöglicht einem Kunden, mehrere Benutzerkonten zu erstellen und deren Berechtigungen innerhalb seines AWS-Kontos zu verwalten.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 90 von 93

ITAR: International Traffic in Arms Regulations (ITAR, Regelungen des internationalen Waffenhandels) ist eine Sammlung von US-Bundesvorschriften zur Kontrolle des Exports und Imports von für die Verteidigung benötigten Artikeln und Services in der United States Munitions List (USML). US-Bundesbehörden und deren Auftragnehmer müssen ITAR einhalten und den Zugriff auf geschützte Daten beschränken.

ISAE 3402: Der internationale Standard wird als International Standards for Assurance Engagements No. 3402 (ISAE 3402) ist der internationale Standard für Prüfberichte. Dieser wurde auf Grundlage von Empfehlungen des IAASB (International Auditing and Assurance Standards Board), einer für die Ausarbeitung von Standards zuständigen Abteilung des IFAC (International Federation of Accountants), entwickelt. ISAE 3402 ist mittlerweile der weltweit anerkannte Standard für Prüfberichte für Dienstleistungsunternehmen. ISO 9001: Die ISO 9001-Zertifizierung von AWS unterstützt direkt diejenigen Kunden, die ihre qualitätsgeprüften IT-Systeme in der AWS-Cloud entwickeln und betreiben oder sie in die Cloud übertragen. Kunden können die Compliance-Berichte von AWS als Beleg für ihre eigenen ISO 9001-Programme und für branchenspezifische Qualitätsprogramme nutzen, etwa GxP in Biowissenschaften, ISO 13485 für medizinische Geräte, AS9100 in Luft- und Raumfahrt und ISO/TS 16949 im Automobilsektor. AWS-Kunden, die für ihr Qualitätssystem keine Anforderungen zu erfüllen haben, profitieren dennoch von der zusätzlichen Gewissheit und Transparenz, die eine Zertifizierung gemäß ISO 9001 bietet.

ISO 27001: ISO 27001 ist eine Norm für Informationssicherheits-Managementsysteme, die von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht wurde. ISO 27001 spezifiziert formell Anforderungen an ein Managementsystem mit dem Ziel, die Informationssicherheit unter die explizite Kontrolle des Managements zu bringen. Da es sich um eine formelle Spezifikation handelt, müssen bestimmte Anforderungen erfüllt sein. Organisationen, die angeben, ISO 27001 zu befolgen, können geprüft und als mit der Norm konform zertifiziert werden.

NIST: National Institute of Standards and Technology. Diese US-Behörde legt den Anforderungen von Branchen- oder Bundesprogrammen entsprechend detaillierte Sicherheitsstandards fest. Für Compliance mit FISMA müssen Behörden NIST-Standards einhalten. Objekt: Die Grundeinheiten, die in Amazon S3 gespeichert sind. Objekte bestehen aus Objektdaten und Metadaten. Der Datenanteil ist für Amazon S3 nicht einsichtig. Metadaten bestehen aus mehreren Name/Wert-Paaren, die das Objekt beschreiben. Diese umfassen einige Standardmetadaten, z. B. das Datum der letzten Änderung, sowie Standard-HTTP-Metadaten, wie den Inhaltstyp. Der Entwickler kann zudem die Kundenmetadaten zum Zeitpunkt der Speicherung des Objekts festlegen. PCI: Bezieht sich auf das Payment Card Industry Security Standards Council, ein unabhängig Gremium, das von American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International mit dem Ziel ins Leben gerufen wurde, den Datensicherheitsstandard für die Kreditkartenbranche (PCI DSS) zu betreuen und weiterzuentwickeln. QSA: Die Benennung Payment Card Industry (PCI) Qualified Security Assessor (QSA) wird vom PCI Security Standards Council den Personen zugewiesen, die bestimmte Qualifizierungsanforderungen erfüllen und für Bewertungen der PCI-Compliance autorisiert sind. SAS 70: Statement on Auditing Standards No. 70: Service Organizations ist ein von den Auditing Standards Board des American Institute of Certified Public Accountants (AICPA) ausgestellter Prüfbericht. SAS 70 bietet Prüfern von Dienstleistungsunternehmen Anleitungen zum Bewerten der internen Kontrollen eines Dienstleistungsunternehmens (wie AWS) und Ausstellen eines dazugehörigen Prüfberichts. SAS 70 bietet außerdem Anleitungen für Bilanzprüfer von Entitäten, die mit einem oder mehreren Dienstleistungsunternehmen zusammenarbeiten. Der SAS 70-Bericht wurde durch den Service Organization Controls 1-Bericht (SOC 1) ersetzt.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 91 von 93

Service: Software oder Datenverarbeitungsfunktionalität, die über ein Netzwerk (z. B. EC2, S3, VPC) zur Verfügung gestellt wird. Service Level Agreement (SLA): Ein Service Level Agreement ist Teil eines Servicevertrags, in dem der Grad des Service formal definiert wird. Die SLA dient zur Bezugnahme auf die vertraglich vereinbarte Lieferzeit (des Service) oder Leistung. SOC 1: Der Service Organization Controls 1 (SOC 1) Type II-Bericht, zuvor Statement on Auditing Standards (SAS) No. 70, Service Organizations-Bericht oder SSAE 16-Bericht (Statement on Standards for Attestation Engagements No. 16) genannt, ist eine allgemein anerkannte Prüfungsvorschrift des American Institute of Certified Public Accountants (AICPA). Der internationale Standard wird als International Standards for Assurance Engagements No. 3402 (ISAE 3402) bezeichnet. SSAE 16 [veraltet]: Das Statement on Standards for Attestation Engagements No. 16 (SSAE 16) ist ein von den Auditing Standards Board (ASB) des American Institute of Certified Public Accountants (AICPA) veröffentlichter Bescheinigungsstandard. Der Standard gilt für die Beauftragung von Serviceprüfern mit der Erstellung eines Berichts zu Kontrollen in Organisationen, die Unternehmen Services bereitstellen, bei denen die Kontrollen eines Serviceanbieters voraussichtlich für die interne Kontrolle der Finanzberichterstattung eines Unternehmens relevant sind. SSAE 16 ersetzt das Statement on Auditing Standards No. 70 (SAS 70) für Berichtszeiträume von Serviceprüfern, die am bzw. nach dem 15.06.2011 enden. SOC 2: Service Organization Controls 2 (SOC 2)-Berichte sind dafür gedacht, die Anforderungen eines breiten Spektrums von Benutzern zu erfüllen, die ein Verständnis für die internen Kontrollen im Hinblick auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bei einer Service-Organisation erwerben müssen. Diese Berichte werden unter Verwendung folgender AICPA-Richtlinie erstellt: „Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy“. Diese Berichte sind für die Verwendung durch Stakeholder (zum Beispiel Kunden, Regulierer, Geschäftspartner, Lieferanten, Direktoren) der Service-Organisation gedacht, die ein umfassendes Verständnis der Service-Organisation und ihrer internen Kontrollen besitzen. SOC 3: Service Organization Controls 3 (SOC 3)-Berichte sind dafür gedacht, die Anforderungen von Benutzern zu erfüllen, die eine Bestätigung für die Kontrollen bei einer Service-Organisation im Hinblick auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz benötigen, die aber nicht den Bedarf oder die erforderlichen Kenntnisse haben, einen SOC 2-Bericht effektiv zu nutzen. Diese Berichte werden unter Verwendung des Leitfadens „Trust Services Principals, Criteria and Illustrations“ vorbereitet, der vom AICPA/Canadian Institute of Chartered Accountants (CICA) herausgegeben wird. Da es sich bei SOC 3-Berichten um Berichte zur allgemeinen Verwendung handelt, können sie uneingeschränkt verteilt sowie auf Websites als Siegel veröffentlicht werden. Virtuelle Instance: Sobald eine AMI gestartet wurde, wird das daraus resultierende ausgeführte System als Instance bezeichnet. Alle Instances, die auf demselben AMI basieren, sind anfangs identisch. Sämtliche Informationen, die auf ihnen gespeichert sind, gehen verloren, wenn die Instance beendet wird oder ausfällt.

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 92 von 93

Versionshistorie Dezember 2015

Aktualisierungen für Zertifizierungen und Zusammenfassungen für Bescheinigungen von Drittanbietern

ISO 27017-Zertifizierung hinzugefügt

ISO 27018-Zertifizierung hinzugefügt

Elfte Region (China Peking) hinzugefügt November 2015

Aktualisiert auf CSA v3.0.1

August 2015

Aktualisierungen der im Leistungsumfang enthaltenen Services für PCI 3.1

Aktualisierungen der im Leistungsumfang enthaltenen Regionen für PCI 3.1 Mai 2015

Zehnte Region hinzugefügt (EU Frankfurt)

Aktualisierungen der im Leistungsumfang enthaltenen Services für SOC 3

SSAE 16 Ausdruck veraltet Apr. 2015

Aktualisierungen der im Leistungsumfang enthaltenen Services für: FedRAMPsm, HIPAA, SOC 1, ISO 27001, ISO 9001

Feb. 2015

Aktualisierungen für FIPS 140-2-VPN-Endpunkte und SSL-terminierende Load Balancer

Aktualisierungen für PCI DSS-Text Dez. 2014

Aktualisierungen für Zertifizierungen und Zusammenfassungen für Bescheinigungen von Drittanbietern

Version November 2013

Bearbeitung des Texts zur Verschlüsselung von IPsec-Tunneln

Version Juni 2013

Aktualisierungen für Zertifizierungen und Zusammenfassungen für Bescheinigungen von Drittanbietern

Aktualisierungen für Anhang C: Glossar der Begriffe

Kleinere Änderungen der Formatierung Version Januar 2013

Änderungen bei Zertifizierungen und Zusammenfassungen für Bescheinigungen von Drittanbietern

Version November 2012

Überarbeitungen des Inhalts und Aktualisierung des Zertifizierungsumfangs

Hinzufügen eines Verweises auf SOC 2 und MPAA

Version Juli 2012

Überarbeitungen des Inhalts und Aktualisierung des Zertifizierungsumfangs

Hinzufügung des CSA Consensus Assessments Initiative-Fragebogens (Anhang A) Version Januar 2012

Kleinere Überarbeitungen des Inhalts basierend auf der Aktualisierung des Zertifizierungsumfangs

Kleinere grammatikalische Überarbeitungen

Amazon Web Services: Risiko und Compliance Dezember 2015

Seite 93 von 93

Version Dezember 2011

Änderung am Abschnitt „Zertifizierungen und Bescheinigungen von Drittanbietern“, um SOC 1/SSAE 16, FISMA Moderate, International Traffic in Arms Regulations und FIPS 140-2 zu entsprechen.

Hinzufügung der S3-Verschlüsselung auf Serverseite

Hinzufügung weiterer Themen zu Cloud Computing-Problematiken Version Mai 2011

Erstversion

Hinweise

© 2010-2016 Amazon.com, Inc. oder Tochtergesellschaften. Dieses Dokument wird nur zu Informationszwecken zur Verfügung gestellt. Es stellt das aktuelle AWS-Produktangebot zum Zeitpunkt der Veröffentlichung dar. Änderungen vorbehalten. Kunden sind verantwortlich für ihre eigene Bewertung der in diesem Dokument zur Verfügung gestellten Informationen und für die Nutzung der AWS-Produkte oder -Services. Diese werden alle ohne Mängelgewähr und ohne jegliche Garantie, weder ausdrücklich noch stillschweigend, bereitgestellt. Dieses Dokument gibt keine Garantien, Gewährleistungen, vertragliche Verpflichtungen, Bedingungen oder Zusicherungen von AWS, seinen Partnern, Zulieferern oder Lizenzgebern. Die Verantwortung und Haftung von AWS gegenüber seinen Kunden werden durch AWS-Vereinbarungen geregelt. Dieses Dokument gehört, weder ganz noch teilweise, nicht zu den Vereinbarung von AWS mit seinen Kunden und ändert diese Vereinbarungen auch nicht.