IT-Grundschutz für Container-Plattformen

Auf Basis des IT-Grundschutzes vom BSI können Organisationen ihr ISMS nach ISO 27001 normiert zertifizieren lassen. Der methodische Ansatz des IT-Grundschutz-Kompendiums besteht darin, über einen modularisierten Kriterienkatalog die Sicherheit technischer und organisatorischer Entitäten von IT-Systemen zu bewerten. Trotz der Modularität lassen sich neuere Modelle des Betriebs von Software nur schwer mit den verfügbaren Bausteinen erfassen. Dies trifft besonders auf Container-Plattformen zu.

Der Baustein »SYS.1.5: Virtualisierung« zur Absicherung von Virtualisierungslösungen behandelt Container-Ansätze ausdrücklich nicht. Der Baustein »SYS.1.6: Container« ist auch in der 4. Ausgabe (Edition 2021) noch nicht Bestandteil des Kompendiums, sondern erneut als Community Draft 2 publiziert. Die verbindlich veröffentlichten Bausteine lassen sich also nicht ohne Weiteres auf den Betrieb von Software in Container-Plattformen anwenden, die vor allem für SaaS-Angebote immer bedeutender werden.
Dennoch gibt es einen großen Bedarf bei Anbietern von SaaS-Diensten, deren Kunden hohe Anforderungen an den Datenschutz und die IT-Sicherheit haben (Finanzdienstleister, Banken, Versicherungsunternehmen, Verarbeiter von Gesundheitsdaten). Diese wollen die Vorteile moderner Container-Plattformen nutzen und gleichzeitig standardisierte, zertifizierte Sicherheitsniveaus nachweisen können. Mit einem Ansatz, der Security-by-Design mit dem IT-Grundschutz verbindet, wird eine Referenzarchitektur entwickelt.