IT-Grundschutz für Container-Plattformen

Auf Basis des IT-Grundschutzes vom BSI können Organisationen ihr ISMS nach ISO 27001 normiert zertifizieren lassen. Der methodische Ansatz des IT-Grundschutz-Kompendiums besteht darin, über einen modularisierten Kriterienkatalog die Sicherheit technischer und organisatorischer Entitäten von IT-Systemen zu bewerten. Trotz der Modularität lassen sich neuere Modelle des Betriebs von Software nur schwer mit den verfügbaren Bausteinen erfassen. Dies trifft besonders auf Container-Plattformen zu.

Der Baustein »SYS.1.5: Virtualisierung« zur Absicherung von Virtualisierungslösungen behandelt Container-Ansätze ausdrücklich nicht. Der Baustein »SYS.1.6: Container« ist auch in der 4. Ausgabe (Edition 2021) noch nicht Bestandteil des Kompendiums, sondern erneut als Community Draft 2 publiziert. Die verbindlich veröffentlichten Bausteine lassen sich also nicht ohne Weiteres auf den Betrieb von Software in Container-Plattformen anwenden, die vor allem für SaaS-Angebote immer bedeutender werden.
Dennoch gibt es einen großen Bedarf bei Anbietern von SaaS-Diensten, deren Kunden hohe Anforderungen an den Datenschutz und die IT-Sicherheit haben (Finanzdienstleister, Banken, Versicherungsunternehmen, Verarbeiter von Gesundheitsdaten). Diese wollen die Vorteile moderner Container-Plattformen nutzen und gleichzeitig standardisierte, zertifizierte Sicherheitsniveaus nachweisen können. Mit einem Ansatz, der Security-by-Design mit dem IT-Grundschutz verbindet, wird eine Referenzarchitektur entwickelt.

Speaker

 

Ingo Struck
Ingo Struck ist Principal Systems Architect bei der Xempus AG. Verantwortlich für den Plattform-Betrieb eines SaaS-Angebots für die Altersversorgung. Langjährige Erfahrung als Full-Stack-Entwickler. Durchführungsverantwortlich für die Umsetzung der ISO-27001-Zertifizierung des Systembetriebs der Plattform.
Referenzen

IT-GRC-Kongress Newsletter

Ihr möchtet über den IT-GRC-Kongress
auf dem Laufenden gehalten werden?

 

Anmelden