BIO2-konforme Public Cloud für den niederländischen öffentlichen Sektor - Niederländisch

Dieser Artikel ist auch auf Englisch verfügbar.

Ab 2025 wird die Umsetzung der neuen BIO2 (Baseline Informatiebeveiliging Overheid, versie 2) für viele niederländische Überhitzungsorganisationen dringend erforderlich sein. Dies gilt auch für Unternehmen, die ihre IT durch den Einsatz von Public-Cloud-Technologien modernisieren wollen, insbesondere im Hinblick auf die Einhaltung von Datenschutz und Compliance.

Der BIO2 verfügt über ca. 200 spezifische Überhitzungsregeln auf taktischem Niveau. Diese abstrakt geformten Steuerungen müssen bei der Implementierung zunächst operationalisiert werden. Dies ist für viele Menschen eine große Hilfe bei der Implementierung von BIO2.

Dieser Artikel enthält einen 10-Stufen-Plan mit Best Practices für eine erfolgreiche BIO2-Implementierung, der auf Erfahrungen mit AWS Cloudmigraties bei niederländischen Unternehmen basiert. Das Paket ist Cloud-agnostisch und kann auch in anderen öffentlichen Clouds wie Microsoft Azure und Google Cloud Platform eingesetzt werden.

Wat is de BIO?

De BIO ist seit 2020 der einheitliche Normenkader für die Informationsbeschaffung innerhalb aller niederländischen Overheidslagen. Er bietet eine allgemeine Grundlage für die Beschaffung von Informationen (Systemen) für Behörden und Unternehmen. Basierend auf ISO 27001/27002, bevat BIO extra maatregelen specifiek voor de overheid.

In der neuen BIO Version 2 (auch BIO2 genannt) werden die notwendigen Änderungen vorgenommen, um die Implementierung und Umsetzung weniger komplex zu machen. Die Struktur entspricht der ISO 27002:2022 und es werden spezifische Kontrollen für die Nass- und Regelüberwachung durchgeführt. BIO2 ist noch nicht in Betrieb. Mehr über den BIO2-Aufbau, wettelijke kaders, verplichtingen en controls ist als draft-versie auf de GitHub van Binnenlandse Zaken zu finden.

Warum ist die Einhaltung der BIO2-Richtlinien wichtig und wie kann man sie einhalten?

Die Einhaltung der BIO-Richtlinien ist für die Verbesserung der Overheids-Informationen und die Kontinuität der Overheids-Dienste von entscheidender Bedeutung. BIO2 wird über das Cyberbeveiligingswet (Cbw) u.a. für Rijksoverheid, Provincies, Gemeenten, Waterschappen und auch für ZBO's (z.B. UWV, SVB und DUO) verpflichtend. Der Bericht wird von der Rijksinspectie Digitale Infrastructuur (RDI) erstellt.

Weitere Informationen über BIO2, NIS2 und Cbw finden Sie auf der Website Digitale Overheid.

BIO2-Implementierung für öffentliche Clouds in 10 Etappen

1. Informatiebeveiligingseisen bepalen
   Breng voor cloudapplicaties en -data de eisen rond vertrouwelijkheid, integriteit, beschikbaarheid en continuïteit (RTO/RPO) in kaart. Auch wenn diese Informationen nicht in BIO2 enthalten sind, sollten Sie sie nutzen, um auch Sicherheitselemente zu berücksichtigen, die sich auf relevante Wet- und Regelgeving (z.B. AVG) und Toezichthouders beziehen.
2. Ausweitung des BIO2-Kontrollumfangs auf der Grundlage einer Risikoanalyse
   BIO2 ist ein risikobasierter Kontrollrahmen - ein "Nachschlagewerk". Führen Sie eine Risiko-Selbstbewertung (RSA) durch, um die wichtigsten Sicherheitsrisiken zu identifizieren. Wählen Sie die BIO2-Kontrollen aus, die für die betreffenden Risiken eingesetzt werden sollen.
3. Vaststellen van cloud security principles
   Bepaal de guiding principles voor security in de public cloud. Nutzen Sie Prinzipien wie Least Privilege, Zero Trust, Secure by Design, Layered Defense und Automation First als Grundlage für die Sicherheitsarchitektur der öffentlichen Cloud.
4. Security governance en organisatorische inrichting
   Definieer een helder cloud security operating model. Verantwoordelijkheden bij public cloud verschillen van traditionele IT en volgen het shared responsibility model. Dieses Modell verdeelt die Beziehungen zwischen CSP (Cloud Services Provider) und CSC (Cloud Services Consumer), die u.a. von AWS übernommen werden. Für Public-Cloud-Toepassingen ist die Implementierung von spezifischen BIO2-Kontrollen durch den CSP erforderlich.

   Die Betreiber sind (in der Rolle von CSC) selbst für die Sicherheitskonfiguration ihrer Daten und Anwendungen in der öffentlichen Cloud verantwortlich. DevOps-Teams sind schon ab dem 1. Lebensjahr für die Sicherheit verantwortlich - sie verfügen über das Wissen und die Werkzeuge, um die Sicherheit in der Cloud effektiv zu gewährleisten. DevOps-Teams können hier auf zentrale Sicherheits-"Leitplanken" zurückgreifen, die der Cloud Landing Zone (siehe Punkt 5) nachgeordnet sind.

5. Richten Sie die Basis für BIO2-Sicherheit ein: Cloud Landing Zone
   Eine solide Cloud Landing Zone ist die Grundlage für die Sicherheit in der Cloud und deckt ca. 80% der wichtigsten technischen BIO2-Kontrollen ab. Die Landing Zone ist eine Basis-Cloud-Infrastruktur mit zentralen Sicherheitskomponenten, wie z.B.:
   1. Identitäts- und Zugriffsschutz: Federatie mit dem zentralen Identitätsanbieter (z.B. Microsoft Entra ID) für einen sicheren und bequemen Cloud-Zugang.
   2. Protokollierung & Überwachung: Zentrale Datensammlung und Analyse von Sicherheitsereignissen für die Erkennung und Reaktion auf Vorfälle.
   3. Netwerkbeveiliging: Segmentierung, Firewalling und hybride Verbindungen zwischen öffentlichen Clouds und lokalen Systemen.
   4. Sicherheitsleitplanken: Automatische Durchsetzung von Richtlinien, z.B.:
      1. Service Control Policies: Cloud-Gebrauchsrichtlinien für eine bestimmte Anzahl von Cloud-Diensten, die von der Organisation kontrolliert werden
      2. Datenresidenz- und Verschlüsselungsrichtlinien: Kontrolle über Betriebsstandorte und Verschlüsselungen
      3. Klassifizierung: Kennzeichnung von Cloud-Daten und -Ressourcen unter Berücksichtigung von Beschaffenheit, Integrität und Verträglichkeit
      4. Back-up & Notfallwiederherstellung: Für kritische Daten und Unternehmensprozesse, auch über größere Cloud-Regionen
   5. Integrationen: Kopplung mit externen Sicherheitsplattformen wie SIEM, XDR und NDR.

   Legen Sie den Aufbau der Cloud Landing Zone in einem High-Level-Design (HLD) fest. Dieses Dokument ist eine wichtige Referenz, wenn es darum geht, die Sicherheitskontrollen von BIO2 zu optimieren.

6. Implementierung von anwendungsspezifischen BIO2-Maßnahmen
   Für spezifische Public-Cloud-Anwendungen sind auf der Grundlage der Sicherheitsrichtlinien der Cloud Landing Zone zusätzliche BIO2-Kontrollen erforderlich. Denken Sie hier an DDoS-Bescherming oder eine Web Application Firewall (WAF) für den Internet-Zugang. Cloud-Provider wie AWS bieten hier gehobene Sicherheitsdienste an.

   Erzwingen Sie anwendungsspezifische Cloud-Kontrollen, die über automatisierte Richtlinien möglich sind.

7. Mapping und Dokumentation der Sicherheitskontrollen
   Leg in einem Kontrollregister fest, wie die ausgewählten BIO2-Kontrollen (siehe Heft 2) zusammengesetzt sind. Nehmen Sie die Basiskontrollen aus der Landing Zone HLD (siehe Heft 5) und wählen Sie für jede Kontrolle einen eigenen Benutzer aus dem Cloud Security Operating Model (siehe Heft 4).

   Gebrauchen Sie die Assurance Verklaringen des Cloud-Anbieters (z.B. SOC 2 Typ II), um die Kontrollen des CSP zu überwachen und zu verbessern. Kontrollieren Sie, für welche Cloud-Dienste und Cloud-Regionen diese Verklarungen gelten - neue Dienste (z.B. KI-Dienste) sind hier noch nicht enthalten.

8. Onafhankelijke toetsing van beveiligingsmaatregelenstrong>
   BIO2-Kontrollen in der Praxis für Public Cloud-Toepassingen sind sehr effektiv. Dies kann durch Penetrationstests, Red Teaming, Schwachstellen-Scans, externe Bewertungen und Audits geschehen. Darüber hinaus kann Ihre Organisation auf BIO2-Maßnahmen zurückgreifen, die von BIO2 angeboten werden und für die meisten überhitzten Organisationen im Rahmen des Cyberbeveiligingswet von Bedeutung sind.
9. Betriebliche Überwachung und Anpassung
   Führen Sie eine kontinuierliche (24/7) Überwachung der öffentlichen Cloud-Assets durch automatische Sicherheits- und Compliance-Checks durch. Benutzen Sie dazu geprüfte Tools des Cloud-Anbieters wie Azure Policy und AWS Config, oder externe Lösungen. Bei kritischen Problemen ist ein direktes Eingreifen möglich, idealerweise durch das zuständige DevOps-Team (siehe Punkt 4).
10. Actuele risico- en controlregistratie
    Voer actief risicomanagement uit volgens ISO 27001. Führen Sie ein aktives Risikoregister für öffentliche Cloud-Anbieter und führen Sie das BIO2-Kontrollregister (Heft 7) regelmäßig durch. Neue Anforderungen - z.B. im Rahmen von Pentests oder Audits - stehen im Backlog des zuständigen Mitarbeiters.

Schlussfolgerung

Die Implementierung von BIO2 für die öffentliche Cloud in der niederländischen Überhitzung verspricht ein strukturiertes, risikoarmes Paket. Eine robuste Cloud Landing Zone und automatisierte Sicherheitskontrollen und -überwachung sorgen dafür, dass viele technische BIO2-Maßnahmen effizient umgesetzt werden. Heldere Governance, Eigenaarschap und kontinuierliche Überwachung sorgen für eine reibungslose Umsetzung der BIO2-Verplichtungen. Die Kombination von Public-Cloud-Technologie und einem gut ausgestatteten BIO2-Paket macht es für Überhitzungsorganisationen einfach, sich zu verbergen und zu schützen.