AWS-Sicherheits- und Compliance-Zentrum

Amazon Web Services (AWS) bietet eine überaus skalierbare Cloud-Computing-Plattform mit hoher Verfügbarkeit und Zuverlässigkeit sowie die Flexibilität, Kunden die Einrichtung vielfältiger Anwendungen zu ermöglichen. Damit Sicherheit und Datenschutz durchgehend gewährleistet sind, setzt AWS auf Dienstleistungen, die mit bewährten Sicherheitsmethoden in Einklang stehen und über angemessene – und vor allem ausführlich dokumentierte – Sicherheitsmerkmale verfügen. Darüber hinaus verpflichtet AWS seine Kunden, diese Sicherheitsmerkmale und bewährten Methoden zu nutzen, um eine entsprechend sichere Anwendungsumgebung zu schaffen. Die Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten haben oberste Priorität für AWS – denn das fortdauernde Vertrauen unserer Kunden ist uns sehr wichtig.

AWS bietet seinen Kunden umfassende Informationen über seine IT-Kontroll-Umgebung, beispielsweise durch Whitepapers, Berichte, Zertifizierungen oder Bestätigungen von Dritten. Kunden können sich so über die entsprechenden Kontrollfunktionen der verwendeten AWS-Services informieren und erfahren, wie die Kontrollfunktionen von unabhängigen Prüfern bewertet wurden. Sie können prüfen und ausweisen, ob die Kontrollfunktionen in der erweiterten IT-Umgebung effektiv ausgeführt werden.

Diese Seite enthält folgende Informationskategorien. Klicken Sie auf den Link, um zu dem Thema zu gelangen:

Übersicht

Zur Sicherung der AWS-Infrastruktur wurde der folgende, grundlegende Ansatz beschlossen:

  • Berichte, Zertifizierungen und Bestätigungen von Dritten. AWS hat bereits mehrere Audits gemäß SAS70 Type II erfolgreich durchlaufen. Jetzt veröffentlicht AWS einen SOC 1-Bericht (Service Organization Controls), Typ 2, gemäß den Standards SSAE 16 und ISAE 3402 sowie einen SOC 2-Bericht. Darüber hinaus hat AWS die ISO 27001-Zertifizierung erhalten und wurde für den Datensicherheitsstandard der Kreditkartenbranche (DSS/PCI) als Level 1 Service-Anbieter bestätigt. Im Bereich Zertifizierungen im öffentlichen Sektor hat AWS von der U.S. General Services Administration die Erlaubnis zum Betrieb auf der FISMA-Ebene "Moderate" und dient auch als Plattform für Anwendungen mit Authorities to Operate (ATOs) im Rahmen des Defense Information Assurance Certification and Accreditation Program (DIACAP). Wir werden auch weiterhin die erforderlichen Sicherheitszertifikate und Zulassungen einholen, um die Sicherheit unserer Infrastruktur und Services unter Beweis zu stellen. Weitere Informationen zu den Risiko- und Compliance-Maßnahmen in der AWS-Cloud erhalten Sie im Whitepaper Amazon Web Services: Risiko und Compliance.
  • Physische Sicherheit. Amazon blickt auf viele Jahre Erfahrung beim Entwurf, Aufbau und Betrieb großer Rechenzentren zurück. Die AWS-Infrastruktur ist in von Amazon gesteuerten Rechenzentren auf der ganzen Welt untergebracht. Nur die Mitarbeiter von Amazon, die von Berufs wegen über den tatsächlichen Standort dieser Rechenzentren informiert sein müssen, werden darüber in Kenntnis gesetzt, und die Rechenzentren selbst sind mit einer Vielzahl physischer Kontrollen vor unautorisierten Zugriffen geschützt.
  • Sichere Dienstleistungen.Jede einzelne Dienstleistung innerhalb der AWS-Cloud ist in seiner Architektur auf höchste Sicherheit ausgelegt und beinhaltet eine Reihe von Funktionen zur Verhinderung nicht autorisierter Zugriffe oder Nutzungen, ohne dabei die Flexibilität zu mindern, die der Kunde benötigt. Weitere Informationen zu den Sicherheitsmerkmalen der einzelnen Dienstleistungen innerhalb der AWS-Cloud finden Sie im Whitepaper zu Amazon Web Services: Sicherheitsprozesse im Überblick.
  • Datenschutz.AWS gibt Benutzern die Möglichkeit, ihre persönlichen oder geschäftlichen Daten innerhalb der AWS-Cloud zu verschlüsseln, und veröffentlicht Verfahrensweisen für Sicherheit und Redundanz, mit denen Kunden einen umfassenderen Überblick darüber gewinnen können, wie ihre Daten bei AWS verarbeitet werden. Weitere Informationen zu den Datenschutz- und Sicherungsverfahren der einzelnen Dienstleistungen innerhalb der AWS-Cloud finden Sie im oben genannten Whitepaper zu Amazon Web Services: Sicherheitsprozesse im Überblick.

Das AWS-Sicherheitszentrum stellt Links zu technischen Informationen, Tools und Anleitungen bereit, die Sie bei der Einrichtung und Verwaltung sicherer Anwendungen in der AWS-Cloud unterstützen. Unser Ziel ist es, Entwicklern über dieses Forum proaktiv Sicherheitsberichte zur Verfügung zu stellen. Diese Transparenz ist die Grundlage für ein vertrauensvolles Verhältnis zwischen AWS und unseren Kunden.

Seitenanfang

Zertifizierungen und Zulassungen

SOC 1/SSAE 16/ISAE 3402

Amazon Web Services veröffentlicht nun den Bericht "Service Organization Controls 1 (SOC 1), Type 2". Die dieser Berichterstattung zugrunde liegende Prüfung wird in Übereinstimmung mit den professionellen Standards "Statement on Standards for Attestation Engagements Nr. 16 (SSAE 16)" und "International Standards for Assurance Engagements No. 3402 (ISAE 3402)" durchgeführt. Dieser zwei Standards abdeckende Bericht kann eine breite Palette an Prüfanforderungen für Prüfstellen in den USA und internationale Prüfstellen erfüllen. Der SOC 1-Bericht bescheinigt, dass die Kontrollziele von AWS angemessen ausgearbeitet wurden und die einzelnen zum Schutz der Kundendaten definierten Kontrollen effektiv umgesetzt werden können. Wir verpflichten uns auch in Zukunft zur SOC 1-Berichterstattung und planen unsere Prüfungen in regelmäßigen Abständen fortzusetzen. Diese Prüfung ersetzt die Berichterstattung "Statement on Auditing Standards Nr. 70 (SAS 70) Type II".

SOC 2

Zusätzlich zum SOC 1-Bericht (Service Organization Controls) veröffentlicht AWS einen SOC 2-Bericht, Typ 2. Der SOC 2-Bericht ist ähnlich wie der SOC 1-Bericht eine Bescheinigung, für die die Bewertung der Kontrollfunktionen auf die Kriterien der American Institute of Certified Public Accountants (AICPA) Trust Services Principles ausgeweitet wird. Diese Grundsätze bestimmen für Serviceanbieter wie AWS maßgebliche Kontrollfunktionen für die Praxis hinsichtlich Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz. Der AWS SOC 2-Bericht ist eine Bewertung der Entwurfs- und Betriebseffektivität von Kontrollfunktionen, die die Kriterien der Sicherheitsgrundsätze in den Trust Services Principles-Kriterien der AICPA erfüllen. Dieser Bericht bietet mehr Transparenz hinsichtlich der AWS-Sicherheitseinstellungen basierend auf einem vordefinierten Branchenstandard für bewährte Methoden und unterstreicht ferner den unbedingten Willen von AWS, Kundendaten zu schützen.

FISMA Moderate

Mit AWS können US-Regierungsbehörden der USA die Konformität in Bezug auf den Federal Information Security Management Act (FISMA) erreichen und einhalten. FISMA verlangt von Bundesbehörden die Entwicklung, Dokumentierung und Implementierung eines Informationssicherheitssystem für seine Daten und Infrastrukturen auf der Grundlage des Standards "National Institute of Standards and Technology Special Publication 800-53, Revision 3". FISMA Moderate Authorization and Accreditation verlangt von AWS die Implementierung und den Betrieb eines umfangreichen Satzes an Sicherheitskonfigurationen und Kontrollen. Dazu gehört die Dokumentation der administrativen, operativen und technischen Prozesse, mit denen die physische und virtuelle Infrastruktur geschützt werden, und die Prüfung der eingerichteten Prozesse und Kontrollen durch Dritte. AWS hat von der General Services Administration eine dreijährige Genehmigung vom Typ "FISMA Moderate" für IaaS (Infrastructure as a Service) erhalten. AWS hat auch andere ATOs auf der Ebene "FISMA Moderate" erworben, indem mit Regierungsbehörden zur Zertifizierung ihrer Anwendungen und Verarbeitungslasten zusammengearbeitet wurde.

PCI DSS Level 1

AWS hat die PCI-Compliance Level 1 erreicht. Wir wurden erfolgreich als ein Level 1-Serviceanbieter unter dem PCI (Payment Card Industry) DSS (Data Security Standard) validiert. Händler und andere Serviceanbieter können jetzt ihre Anwendungen auf unserer PCI-konformen Technologieinfrastruktur für die Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten in der Cloud ausführen. Andere Unternehmen können ebenfalls profitieren, indem sie ihre Anwendungen auf anderen PCI-konformen Technologieinfrastrukturen ausführen. Zu den PCI-geprüften Services gehören Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Elastic Block Storage (EBS) and Amazon Virtual Private Cloud (VPC), Amazon Relational Database Service (RDS), Amazon Elastic Load Balancing (ELB), Amazon Identity and Access Management (IAM) sowie die grundlegende physische Infrastruktur und die AWS-Verwaltungsumgebung.

Weitere Informationen finden Sie in unseren häufig gestellten Fragen zu PCI DSS Level 1.

ISO 27001

CertifyPoint SealAWS hat für unser Information Security Management System (ISMS), das unsere Infrastruktur, Rechenzentren und Services wie Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) und Amazon Virtual Private Cloud (Amazon VPC) abdeckt, eine Zertifizierung nach ISO 27001 erhalten. ISO 27001/27002 ist ein weit verbreiteter globaler Sicherheitsstandard, der Anforderungen und Best Practices für eine systematische Vorgehensweise zur Verwaltung von Unternehmens- und Kundendaten beschreibt, die auf regelmäßigen Risikobewertungen basiert. Um die Zertifizierung zu erhalten, muss ein Unternehmen zeigen, dass es über einen systematischen und kontinuierlichen Ansatz für den Umgang mit Informationssicherheitsrisiken verfügt, die die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten bedrohen. Diese Zertifizierung unterstreicht die Bemühungen von Amazon, Sicherheitskontrollen und -praktiken transparent zu machen. Die Zertifizierung von AWS nach ISO 27001 umfasst alle AWS-Rechenzentren in allen Regionen weltweit. Außerdem hat AWS ein formelles Programm eingeführt, um die Zertifizierung beizubehalten. Eine Ausfertigung des für AWS-Kunden verfügbaren ISO-Zertifikats beschreibt die ISMS-Services und den geografischen Geltungsbereich.

Weitere Informationen finden Sie in unseren häufig gestellten Fragen zu ISO 27001.

Konformität mit den Regelungen des internationalen Waffenhandels

Die Region AWS GovCloud (US) unterstützt die Einhaltung der Regelungen des internationalen Waffenhandels. Als Teil der Verwaltung eines umfangreichen Programms zur Einhaltung von ITAR, müssen Unternehmen, die den Exportregelungen von ITAR unterliegen, unbeabsichtigte Exporte kontrollieren, indem der Zugriff auf geschützte Daten auf Personen aus den USA und der physische Standort dieser Daten auf die USA beschränkt wird. Die von AWS GovCloud (USA) bereitgestellte Umgebung befindet sich physisch in den USA. Der Zugriff durch AWS-Personal ist auf Personen aus den USA beschränkt. Auf diese Weise können qualifizierte Unternehmen durch ITAR geschützte Artikel und Daten übertragen, verarbeiten und speichern. Die AWS GovCloud-Umgebung (USA) wurde durch eine unabhängige dritte Partei geprüft, um sicherzustellen, dass die richtigen Kontrollen bereitstehen, die die Programme für die Kundenexportkonformität unterstützen.

FIPS 140-2

Die Veröffentlichung 140-2 des Federal Information Processing Standard (FIPS) ist ein Sicherheitsstandard der US-Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. Um Kunden mit FIPS 140-2-Anforderungen zu unterstützen, werden die VPN-Endpunkte der Amazon Virtual Private Cloud und die SSL-Endpunkte in AWS GovCloud (USA) mit gemäß FIPS 140-2 validierter Hardware betrieben. AWS arbeitet mit AWS GovCloud (USA)-Kunden zusammen, um die Informationen bereitzustellen, die benötigt werden, um die Einhaltung von Vorschriften bei Verwendung der AWS GovCloud (USA)-Umgebung sicherzustellen.

Andere Initiativen zur Einhaltung von Vorschriften

Die Flexibilität und Benutzerfreundlichkeit der AWS-Plattform erlaubt die Bereitstellung von Lösungen, die branchenspezifischen Zertifizierungsanforderungen genügen.

  • HIPPA: Kunden haben in AWS beispielsweise Anwendungen für das Gesundheitswesen erstellt, die den Sicherheits- und Datenschutzregeln von HIPPA entsprechen. AWS bietet die Sicherheitsvorkehrungen, mit denen Kunden elektronische Patientenakten schützen können. Weitere Informationen finden Sie im dazugehörigen Whitepaper (siehe den Link unten).
  • CSA: AWS hat den Fragenkatalog der Cloud Security Alliance (CSA) Consensus Assessments Initiative beantwortet. Dieser von der CSA veröffentlichte Fragenkatalog bietet eine Möglichkeit zur Bezugnahme und Dokumentation, welche Sicherheitsvorkehrungen in der IaaS-Infrastruktur von AWS geboten werden. Der Fragenkatalog (CAIQ) enthält über 140 Fragen, die Cloud-Nutzer und -Begutachter ggf. einem Cloud-Anbieter stellen. Kunden finden den ausgefüllten Fragebogen im Anhang A des Whitepapers AWS Risk and Compliance
  • MPAA: Die Motion Picture Association of America (MPAA) hat bewährte Methoden für das sichere Speichern, Verarbeiten und Übermitteln geschützter Medien und Inhalte definiert. Medienunternehmen nutzen diese bewährten Methoden als Möglichkeit zum Bewerten von Risiken und Überwachen ihrer Inhalte und Infrastruktur. AWS hat eine unabhängige Bewertung seiner Befolgung der bewährten Methoden der MPAA in Auftrag gegeben und die höchstmögliche Einstufung erhalten. Dies bedeutet, dass die AWS-Infrastruktur und alle geprüften AWS-Services sämtliche MPAA-Vorgaben für den Schutz der Infrastruktur erfüllen. Wenngleich die MPAA keine "Zertifizierung" bietet, können Medienunternehmen anhand dieses Berichts eine eigene Risikobewertung und Überprüfung von Inhalten vom Typ MPAA in AWS vornehmen.

Seitenanfang

Hintergrundinformationen

Zur Bereitstellung einer sicheren Cloud-Computing-Plattform müssen zahlreiche bewährte Methoden für die Infrastruktur am eigentlichen Standort implementiert werden. Darüber hinaus gilt es, eine Reihe von Aspekten zu beachten, die nur für gehostete Infrastrukturumgebungen relevant sind. Im Whitepaper zu Amazon Web Services: Sicherheitsprozesse im Überblick finden Sie Hintergrundinformationen und einen Überblick über die AWS-Philosophie zur Bereitstellung einer sicheren Cloud-Computing-Plattform.

Seitenanfang

Sicherheitsfunktionen

AWS bietet eine ganze Reihe von Möglichkeiten zur Identifizierung und für einen sicheren Zugriff auf Ihr AWS-Konto, die AWS-Services, für die Sie sich angemeldet haben, und die von diesen Services gehosteten Ressourcen. Eine vollständige Liste aller von uns unterstützen Sicherheitsnachweise finden Sie auf der Seite Sicherheitsnachweise unter Mein Konto. Wir bieten außerdem zusätzliche Sicherheitsoptionen, mit denen Sie Ihr AWS-Konto und den Zugriff noch besser schützen und kontrollieren können: Identity and Access Management (IAM), Multi-Factor Authentication (MFA), und Key Rotation.

AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) ermöglicht Ihnen, mehrere Benutzer zu erstellen und deren Berechtigungen innerhalb Ihres AWS-Kontos zu verwalten. Ein Benutzer ist eine Identität (innerhalb Ihres AWS-Kontos) mit eindeutigen Sicherheitsnachweisen, die für den Zugriff auf AWS-Ressourcen verwendet werden können. Mit IAM ist es nicht mehr notwendig, Kennwörter oder Zugangsschlüssel gemeinsam zu verwenden, und der Benutzerzugriff kann bei Bedarf einfach aktiviert oder deaktiviert werden.

IAM ermöglicht Ihnen, bewährte Sicherheitsverfahren wie das Prinzip geringstmöglicher Privilegien zu implementieren, indem Sie jedem Benutzer in Ihrem AWS-Konto eindeutige Anmeldeinformationen zuweisen und den Benutzern nur die Berechtigungen gewähren, die sie für den Zugriff auf die AWS-Ressourcen benötigen, die zur Ausführung ihrer Tätigkeit erforderlich sind. IAM ist standardmäßig sicher; neue Benutzer haben keinen Zugriff auf AWS, bevor explizite Berechtigungen zugewiesen werden.

IAM erlaubt Ihnen, die Verwendung Ihrer Anmeldeinformationen für Ihr AWS-Konto zu minimieren. Stattdessen sollten alle Interaktionen mit AWS-Ressourcen im Kontext von IAM-Benutzer-Sicherheitsnachweisen erfolgen. Weitere Informationen zu AWS Identity and Access Management (IAM) finden Sie auf unserer IAM-Website.

AWS Multi-Factor Authentication (AWS MFA)

AWS Multi-Factor Authentication (AWS MFA) ist eine zusätzliche Sicherheitsebene mit einer erweiterten Kontrolle über Ihre AWS-Kontoeinstellungen und die Verwaltung der vom Konto abonnierten AWS-Ressourcen. Wenn Sie diese optionale Funktion aktivieren, müssen Sie zusätzlich zu Ihrem standardmäßigen Benutzernamen und Kennwort einen sechsstelligen, einmal verwendeten Code angeben, bevor der Zugriff gewährt wird. Den einmalig verwendbaren Code erhalten Sie über ein in Ihrem Besitz befindliches Authentifizierungsgerät oder eine spezielle Anwendung auf einem Mobiltelefon. Dies wird als Authentifizierung mit mehreren Faktoren bezeichnet, da zwei Faktoren überprüft werden, bevor Zugriff auf Ihr Konto gewährt wird. Sie müssen Ihre Amazon-Anmeldedaten (der erste "Faktor": etwas, das Sie kennen) und den exakten Code von Ihrem Authentifizierungsgerät (der zweite "Faktor": etwas, das Sie haben) eingeben. Multi-Factor Authentication kann für Ihr AWS-Konto sowie für die Benutzer aktiviert werden, die Sie unter Ihrem AWS-Konto mithilfe von IAM erstellt haben.

Authentifizierungsgeräte können einfach über teilnehmende Drittanbieter bezogen und über die AWS-Website eingerichtet werden. Entsprechendes gilt für Software, die Sie auf Ihr Mobiltelefon herunterladen und installieren. Weitere Informationen zur Multi-Factor Authentication finden Sie hier.

Schlüsselrotation (Key Rotation)

Aus denselben Gründen, aus denen es wichtig, ist, dass Sie Ihr Passwort häufig ändern, empfiehlt AWS auch einen regelmäßigen Wechsel Ihrer Zugangsschlüssel und Zertifikate. Damit dies ohne Beeinträchtigungen der Verfügbarkeit Ihrer Anwendungen möglich ist, unterstützt AWS mehrere gleichlaufende Zugangsschlüssel und Zertifikate. Mit dieser Funktion können Sie ohne Ausfallzeiten für Ihre Anwendung regelmäßige Wechsel von Schlüsseln und Zertifikaten vornehmen. So lässt sich das Risiko verlorener oder kompromittierter Zugangsschlüssel oder Zertifikate mindern. Die IAM-APIs erlauben Ihnen, die Zugriffsschlüssel Ihres AWS-Kontos sowie für Benutzer, die unter Ihrem AWS-Konto erstellt wurden, zu wechseln.

Klicken Sie hier, um mehr über diese Funktion zu erfahren oder mit der Schlüsselrotation zu beginnen.

Seitenanfang

AWS Öffentlicher PGP-Schlüssel

Das AWS-Sicherheitsteam fördert die Kommunikation mit Kunden. Wir haben Prozesse zur Meldung von Sicherheitslücken und zur Anforderung von Penetrationstests eingerichtet. Zusätzlich haben wir einen signierten PGP-Schlüssel für besonders vertrauliche Nachrichten entwickelt, die Sie ggf. senden müssen.

Seitenanfang





Kundenempfehlung
"Zur verbesserten Computersicherheit tragen unter anderem verbesserter Schutz gegen Netzwerkangriffe und Echtzeiterkennung von Systemmanipulationen bei."

- Recovery Accountability and Transparency Board über die erwarteten Sicherheitsvorteile durch Verlegung von Recovery.gov in die AWS-Cloud.



©2011, Amazon.com, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.