Der BSI IT-Grundschutz ist der maßgebliche Sicherheitsrahmen für Bundesbehörden, Länder und kommunale Einrichtungen in Deutschland. Mit der wachsenden Cloud-Nutzung stellen sich öffentliche Auftraggeber die Frage: Wie lässt sich AWS DSGVO-konform, BSI-C5-attestiert und IT-Grundschutz-kompatibel nutzen? Dieser Artikel zeigt die Mapping-Logik zwischen IT-Grundschutz-Bausteinen und AWS-Services, erläutert die Rolle des BSI C5-Attests und beschreibt, wie kontinuierliches Compliance-Monitoring auf AWS implementiert wird.
IT-Grundschutz und Cloud: Grundlegendes Verständnis
Der BSI IT-Grundschutz ist ein ganzheitliches Framework für Informationssicherheitsmanagement, entwickelt vom Bundesamt für Sicherheit in der Informationstechnik. Er umfasst:
- IT-Grundschutz-Kompendium
- Über 100 Bausteine in sechs Schichten: ISMS, Organisationsmanagement, Konzeption und Vorgehensweise, Infrastruktur, IT-Systeme, Industrielle IT, Anwendungen und Netze. Jeder Baustein enthält Gefährdungen und Anforderungen in drei Realisierungsreihenfolgen (R1, R2, R3).
- IT-Grundschutz-Vorgehensweise
- Strukturierter Prozess: Initiierung des Sicherheitsprozesses, Organisation, Erstellung einer IT-Sicherheitskonzeption, Umsetzung und kontinuierliche Verbesserung der Informationssicherheit.
- IT-Grundschutz-Zertifizierung
- Möglichkeit zur Zertifizierung auf drei Stufen: Einstiegsstufe, Aufbaustufe, Standardabsicherung. Für Bundesbehörden ist die Standardabsicherung die Regel.
Für Cloud-Nutzung ist Baustein OPS.2.2 (Cloud-Nutzung) besonders relevant — er definiert Anforderungen an Behörden, die Cloud-Dienste beschaffen und betreiben.
BSI C5: Wie AWS den IT-Grundschutz für Cloud ergänzt
Der BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist das BSI-eigene Prüfschema für Cloud-Dienstleister. AWS ist einer der wenigen globalen Cloud-Provider mit einem C5 Type II Attest — auditiert durch einen unabhängigen Wirtschaftsprüfer über einen definierten Zeitraum. Das AWS C5-Attest ist über AWS Artifact abrufbar und deckt folgende Kriteriengruppen ab:
| BSI C5-Kriteriengruppe | Kürzel | AWS-Beispiel-Services |
|---|---|---|
| Organisationssicherheit | OIS | AWS Organizations, IAM, Service Control Policies |
| Identitäts- und Zugriffsmanagement | IDM | AWS IAM Identity Center, AWS Directory Service |
| Kryptographie | CRY | AWS KMS, AWS CloudHSM, AWS Certificate Manager |
| Kommunikationssicherheit | COS | AWS PrivateLink, AWS VPN, AWS Direct Connect |
| Verfügbarkeit | AVL | Multi-AZ-Architekturen, AWS Backup, AWS Resilience Hub |
| Ereignisprotokollierung | RB | AWS CloudTrail, Amazon CloudWatch Logs, AWS Config |
| Sicherheitsvorfalls-Management | SIM | Amazon GuardDuty, AWS Security Hub, AWS Incident Manager |
| Compliance | COM | AWS Audit Manager, AWS Config Conformance Packs |
IT-Grundschutz-Bausteine auf AWS mappen: Praktisches Vorgehen
Die Umsetzung von IT-Grundschutz-Anforderungen auf AWS folgt einem klaren Prinzip: AWS übernimmt Anforderungen auf Infrastrukturebene (bestätigt durch das C5-Attest), der Kunde setzt Anforderungen auf Anwendungs- und Konfigurationsebene um. Konkrete Beispiele:
- SYS.1.6 Containerisierung: Docker-Container-Sicherheit und Image-Scanning. Auf AWS: Amazon ECR mit aktiviertem Image-Scanning (Amazon Inspector), ECR Lifecycle Policies und AWS CodePipeline für sichere Build-Pipelines.
- NET.1.1 Netzarchitektur und -design: Segmentierung, Zonenkonzept, Defense in Depth. Auf AWS: VPC mit privaten und öffentlichen Subnetzen, Sicherheitsgruppen, Network ACLs, AWS Network Firewall und AWS WAF.
- OPS.1.1.2 Ordnungsgemäße IT-Administration: Privileged Access Management, Vier-Augen-Prinzip, Change-Management. Auf AWS: AWS IAM mit Least Privilege, IAM Identity Center mit MFA, AWS CloudTrail für alle API-Operationen, AWS Config für Konfigurationshistorie.
- CON.3 Datensicherungskonzept: Backup-Strategie, Wiederherstellbarkeit, Aufbewahrungsfristen. Auf AWS: AWS Backup mit zentralisierten Richtlinien, S3 Object Lock für unveränderliche Backups, Cross-Region-Replikation für Geo-Redundanz.
- DER.2.1 Behandlung von Sicherheitsvorfällen: Incident-Response-Prozess, Meldewege, forensische Sicherung. Auf AWS: Amazon GuardDuty, AWS Security Hub, Amazon Detective für forensische Analyse, AWS Incident Manager.
- OPS.2.2 Cloud-Nutzung: Schutzbedarfsanalyse, Vertragsgestaltung, Exit-Strategie. Auf AWS: AWS DPA als Auftragsverarbeitungsvertrag, BSI C5-Attest als Nachweis, AWS DataSync für Datenexport.
Schutzbedarfsanalyse: Welche AWS-Services für welche Schutzbedarfsstufe?
Die BSI-Schutzbedarfsfeststellung unterscheidet drei Stufen: normal, hoch und sehr hoch. Die Wahl geeigneter AWS-Services richtet sich nach der höchsten Schutzbedarfsstufe im Verbund:
| Schutzbedarf | Beschreibung | AWS-Architekturanforderungen |
|---|---|---|
| Normal | Schäden begrenzter Auswirkung; Standardanforderungen | Standardverschlüsselung (SSE-S3/KMS), CloudTrail aktiviert, MFA für privilegierte Nutzer, Multi-AZ für Produktionssysteme |
| Hoch | Erhebliche Schäden möglich; personenbezogene Daten, kritische Geschäftsprozesse | Kundenverwaltete KMS-Schlüssel (CMK), CloudTrail mit S3 Object Lock, IAM Access Analyzer, AWS Config Conformance Packs, AWS Security Hub, GuardDuty |
| Sehr hoch | Existenzielle Schäden möglich; KRITIS-Verarbeitung | AWS CloudHSM für Hardware-Schlüsselverwaltung, Dedicated Instances, Network-Level-Isolation, Red-Team-Tests, formale Zertifizierung oder dedizierte Infrastruktur |
Für Bundesbehörden mit normalen bis hohen Schutzbedarfen bietet AWS eu-central-1 (Frankfurt) eine geeignete Grundlage. Für sehr hohe Schutzbedarfe sind dedizierte Infrastrukturkonzepte erforderlich.
Kontinuierliches Compliance-Monitoring auf AWS
Das IT-Grundschutz-Prinzip der kontinuierlichen Verbesserung lässt sich auf AWS durch automatisiertes Compliance-Monitoring umsetzen:
- AWS Security Hub
- Aggregiert Security Findings aus GuardDuty, Inspector, Macie, Config und Firewall Manager. IT-Grundschutz-relevante Checks automatisierbar: Verschlüsselung aller S3-Buckets, CloudTrail in allen Regionen aktiviert, MFA für Root-Account aktiviert.
- AWS Config Conformance Packs
- Vorgefertigte und benutzerdefinierte Regelwerke für kontinuierliche Konfigurationsprüfungen. IT-Grundschutz-relevante Checks als Conformance Pack umsetzbar — auditfähige Reports für BSI-Prüfer.
- AWS Audit Manager
- Automatische Beweissammlung für Compliance-Frameworks. Für BSI IT-Grundschutz lässt sich ein benutzerdefiniertes Framework erstellen, das Screenshots, API-Logs und Config-Snapshots als auditierbare Nachweise sammelt und in Reports zusammenstellt.
- Amazon Security Lake
- Zentralisierung aller Sicherheitslogs im OCSF-Format für lange Aufbewahrungszeiten und Abfragen über Amazon Athena — relevant für IT-Grundschutz-Archivierungsanforderungen.
Häufig gestellte Fragen zu BSI IT-Grundschutz und AWS
- Ist AWS nach BSI IT-Grundschutz zertifiziert?
- AWS ist nicht nach BSI IT-Grundschutz zertifiziert — dieses Schema gilt primär für Behörden als Anwender. AWS verfügt jedoch über das BSI C5 Type II Attest, das von öffentlichen Auftraggebern als Nachweis der Cloud-Infrastruktur-Sicherheit anerkannt wird.
- Was ist BSI C5 und worin unterscheidet es sich von IT-Grundschutz?
- BSI IT-Grundschutz ist ein ganzheitliches ISMS-Framework für Organisationen. BSI C5 ist ein spezifischer Prüfrahmen für Cloud-Dienstleister. C5-Attest belegt die Sicherheit der Cloud-Infrastruktur; IT-Grundschutz-Umsetzung liegt beim Kunden auf Anwendungs- und Konfigurationsebene.
- Welche AWS-Region ist für Bundesbehörden geeignet?
- Für Bundesbehörden empfiehlt sich eu-central-1 (Frankfurt): alle Daten auf deutschem Boden, BSI C5-attestiert, vollständige AWS-Service-Verfügbarkeit. Service Control Policies erzwingen ausschließliche Nutzung dieser Region.
- Wie wird IT-Grundschutz-Compliance auf AWS nachgewiesen?
- Zweistufiger Nachweis: Infrastrukturebene (AWS C5-Attest aus AWS Artifact) und Anwendungsebene (AWS Audit Manager Berichte, Config Conformance Pack Reports, CloudTrail-Logs). Diese Dokumente sind für BSI-Prüfer und interne Revisoren auditierbar.
Storm Reply: BSI IT-Grundschutz-Implementierung auf AWS
Storm Reply — AWS Premier Consulting Partner im DACH-Markt — unterstützt öffentliche Auftraggeber, Bundesbehörden und KRITIS-Betreiber bei der vollständigen IT-Grundschutz-Implementierung auf AWS: von der Schutzbedarfsanalyse über das BSI C5-Mapping bis zum kontinuierlichen Compliance-Dashboard.
Mit der AWS Security Competency, Cloud Operations Competency und über 1.500 AWS-Zertifizierungen in der Reply Group verbinden wir tiefes BSI-Know-how mit AWS-Architekturexpertise — für rechtssichere Cloud-Nutzung im öffentlichen Sektor.
Quellen
IT-Grundschutz auf AWS umsetzen?
Storm Reply begleitet Behörden und KRITIS-Betreiber bei der BSI-konformen Cloud-Implementierung auf AWS.
Kontakt aufnehmen