Was ist eine IL5-Zertifizierung?

IL5 ist eine Zertifizierung des US-Verteidigungsministeriums (Department of Defense, DoD), die einen Cloudservice-Anbieter (Cloud Service Provider, CSP) autorisiert, einige der sensibelsten Daten des Verteidigungsministeriums zu speichern und zu verarbeiten. Die IL5-Zertifizierung weist darauf hin, dass ein CSP über das Niveau an Kontrollen, Protokollen und Technologien verfügt, um kontrollierte nicht klassifizierte Informationen (CUI) sicher zu handhaben, die als geschäftskritisch gelten. Die für die IL5-Zertifizierung erforderlichen Sicherheitskontrollen gehören zu den strengsten in der Cloud-Services-Branche.

Das US-Verteidigungsministerium verlässt sich auf Cloudinfrastruktur und -Dienste für die Weitergabe von Informationen, die Ausführung von Verteidigungsanwendungen und die Bereitstellung von Kampfunterstützung für ein vollständiges Spektrum militärischer Operationen. Da ständig Bedrohungen für Cloudumgebungen vorhanden sind, verlangt das Verteidigungsministerium von jedem CSP, der mit DoD-Daten arbeitet, die Erfüllung einer Reihe von Sicherheitsanforderungen und bestimmte Kontrollen und Schutzmaßnahmen.

Das Verteidigungsministerium verwendet ein Auswirkungsstufen-System, um Daten danach zu klassifizieren, wie sensibel die Informationen sind und wie schädlich sie wären, wenn die Daten verloren, offengelegt, gestohlen oder kompromittiert würden.

Neben der Klassifizierung von Daten ermöglichen es dem Verteidigungsministerium, die Sicherheitslage eines bestimmten Cloud-Serviceangebots (Cloud Service Offering, CSO) eines CSP zu bewerten. Eine Auswirkungstufen-Zertifizierung bietet eine Kurzform für das Verständnis, welche CSPs und CSOs für verschiedene Datensicherheitsanforderungen verwendet werden können.

Auswirkungsstufe 5 (Impact Level 5, IL5) ist eine Klassifizierung für nicht klassifizierte, aber hochsensible und wichtige Informationen. (IL-6 ist die höchste Klassifizierung und ist für Informationssysteme und als GEHEIM eingestufte Daten reserviert.) Eine IL5-Zertifizierung ermöglicht es Anbietern, kontrollierte nicht klassifizierte Informationen (Controlled Unclassified Information, CUI), geschäftskritische Informationen und Informationen des nationalen Sicherheitssystems zu speichern und zu verarbeiten. Dazu gehören Daten, die potenziell zum Verlust von Menschenleben, schweren Schäden an der Fähigkeit des Verteidigungsministeriums zur Durchführung von Operationen oder katastrophalen Schäden an der nationalen Sicherheit führen könnten.

Derzeit gibt es vier Auswirkungsstufen des Verteidigungsministeriums, die verschiedene Stufen der Datensensibilität darstellen.

• Auswirkungsstufe 2 (IL2) gilt für DoD-Informationen, die zur öffentlichen Veröffentlichung genehmigt wurden
• Auswirkungsstufe 4 (IL4) gilt für DoD-kontrollierte nicht klassifizierte Informationen (CUI)
• Auswirkungsstufe 5 (IL5) gilt für DoD-CUI und Nationale Sicherheitssysteme (National Security Systems, NSS)
• Auswirkungsstufe 6 (IL6) gilt für DoD-Verschlusssachen bis zur Klassifizierung GEHEIM

Die Defense Information Systems Agency (DISA) ist Teil des Verteidigungsministeriums und ist für die Entwicklung und Pflege des „Cloud Computing Security Requirements Guide“ (CC SRG) des Verteidigungsministeriums verantwortlich. Dieses Dokument definiert die grundlegenden Sicherheitsanforderungen für die Bewertung der Sicherheitslage eines CSO und unterstützt den Entscheidungsprozess für die Erteilung einer vorläufigen Autorisierung (Provisional Authorization, PA), damit ein CSP DoD-Missionen hosten kann.

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein staatliches Programm, das einen standardisierten Ansatz für die Bewertung, Autorisierung und kontinuierliche Überwachung von Produkten und Services von CSPs entwickelt und verwaltet. FedRAMP überwacht einen Bewertungs- und Autorisierungsprozess (einschließlich der vorläufigen Autorisierung mit geringer, mittlerer und hoher Autorisierung), der CSPs für die Zusammenarbeit mit einer Vielzahl von Bundesbehörden und für die Speicherung und Verarbeitung sensibler Informationen auf verschiedenen Ebenen bescheinigt. Jeder CSP, der mit der Bundesregierung und ihren Behörden zusammenarbeiten möchte, muss eine FedRAMP-Zertifizierung erhalten. Unternehmen, die eine IL5-Zertifizierung wünschen, müssen jedoch zusätzliche Schritte unternehmen und noch stärkere Sicherheitskontrollen einführen.

CSPs müssen eine IL5-Zertifizierung erhalten, um mit Daten zu arbeiten, die Folgendes umfassen:

• CUI, die ein höheres Sicherheitsniveau als DoD IL4 erfordern. Dazu gehören Informationen über eine Reihe von Kategorien, darunter Informationen zu kritischer Infrastruktur, Verteidigung, Exportkontrolle, Intelligence, Strafverfolgung, Finanzen, Nuklearwesen, Datenschutz und anderen.
• Informationen, die Teil der National Security Systems (NSS) sind Dazu gehören Informationen, die Teil von Intelligence-Aktivitäten sind, kryptologische Aktivitäten im Zusammenhang mit der nationalen Sicherheit, Informationen, die für die Führung und Kontrolle von Militärkräften verwendet werden, Informationen über Ausrüstung, die einen integralen Bestandteil von Waffensystemen darstellt, und Daten, die Funktionen ermöglichen, die für die direkte Erfüllung von Militär- oder Geheimdienstmissionen von entscheidender Bedeutung sind.

Die Erreichung einer IL5-Zertifizierung erfordert eine strenge Sicherheitsbewertung und die Einführung einiger der strengsten physischen, logischen und kryptografischen Isolationskontrollen. Dazu gehören die Kontrollen, die erforderlich sind, um eine hohe FedRAMP-Autorisierung zu erreichen, sowie eine Reihe zusätzlicher Anforderungen, die zum Schutz der nationalen Sicherheitssysteme und zur Bereitstellung des höchsten Sicherheitsniveaus für CUI erforderlich sind.

Eine IL5-Zertifizierung erfordert eine Vielzahl von Kontrollen in mehreren Kategorien.

• Infrastrukturdesign und Sicherheitsarchitektur: CSPs müssen möglicherweise Netzwerksegmentierung, Intrusion Detection Systems, robuste Firewall-Konfigurationen und verschlüsselte Kommunikationskanäle implementieren.
• Identity and Access Management (IAM): Multi-Faktor-Authentifizierung (MFA), rollenbasierte Zugriffskontrollen und Privileged Access Management verhindern, dass unbefugte Nutzer auf kritische Daten und Systeme zugreifen können.
• Datenverschlüsselung: Um sicherzustellen, dass alle offengelegten Informationen unlesbar bleiben, sind starke Verschlüsselungsmechanismen für Daten im Ruhezustand, bei der Übertragung und in Verwendung unerlässlich.
• Kontinuierliche Überwachung: Die kontinuierliche Überwachung mithilfe von Systemen zur Intrusion Detection und SIEM-Systemen (Security Information and Event Management) trägt dazu bei, Bedrohungen schnell aufzudecken und abzuwehren.
• Sichere DevOps-Praktiken: CSPs können Sicherheitslücken im Entwicklungsprozess verhindern, indem sie sichere Codierungspraktiken und -Methoden einführen und regelmäßige und automatisierte Sicherheitstests durchführen, um Schwachstellen zu identifizieren und zu beheben.
• Updates und Patch-Management: Ein regelmäßiger Rhythmus für das Aufspielen von Sicherheitspatches und die Aktualisierung von Systemen ist unerlässlich. Penetrationstests und Schwachstellenbewertungen können dabei helfen, Schwachstellen aufzudecken, die von Angreifern ausgenutzt werden können.
• Dokumentation und Reporting: CSPs müssen eine umfassende Dokumentation ihrer Sicherheitskontrollen und Compliance-Bemühungen bereitstellen, einschließlich detaillierter Aufzeichnungen zu Richtlinien, Verfahren und Audits.
• Management des Drittparteienrisikos: Risikobewertungen von Drittanbietern sind entscheidend, um Sicherheitslücken zu identifizieren und Bedrohungen innerhalb der Lieferkette eines Unternehmens zu verhindern.