Anerkannter Nachweis der Sicherheit von Cloud-Diensten

BSI veröffentlicht Neuauflage des C5-Katalogs

| Autor: Elke Witmer-Goßner

Der C5-Standard garantiert Cyber-Sicherheit „Made in Germany“ bei Cloud-Anbietern aller Größen.
Der C5-Standard garantiert Cyber-Sicherheit „Made in Germany“ bei Cloud-Anbietern aller Größen. (Bild: gemeinfrei © Werner Moser - Pixabay / Pixabay)

Seit seiner Veröffentlichung 2016 hat sich der „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum etablierten und vielfach national wie international umgesetzten Standard der Cloud-Sicherheit entwickelt. Da Cloud-Techniken schnellen Innovationen unterworfen sind, hat das BSI den C5 nun einer umfassenden Revision unterzogen und neu aufgelegt.

Die Aktualisierungen des C5-Kriterienkatalogs umfassen sowohl die formalen Regelungen als auch die Kriterien des C5, die an den aktuellen Stand der Technik angepasst wurden. Dabei sind die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern in die Revision eingeflossen. Kernpunkte der Überarbeitung sind unter anderem die neue Domäne Produktsicherheit, womit die Regelungen des EU Cyber Security Acts adressiert werden, und die Berücksichtigung von DevOps. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet. Besonders zu erwähnen sind auch die technischen und organisatorischen Anforderungen der DSGVO und die zunehmend notwendige erweiterte Risikobetrachtung beim Einsatz von Cloud-Diensten.

So gelingt IT-Optimierung in der deutschen Verwaltung

Öffentlicher Sektor

So gelingt IT-Optimierung in der deutschen Verwaltung

17.12.19 - Die digitale Transformation kann dazu beitragen, dass Verwaltung und Behörden effizienter arbeiten, Services skalieren und Kosten einsparen. Doch eine Cloud-Strategie im öffentlichen Sektor ist mittelfristig auch die Grundvoraussetzung, um zukünftige Innovationen wie Künstliche Intelligenz (KI), IoT und Big Data angehen zu können. lesen

Der „Cloud Computing Compliance Criteria Catalogue“ (C5) richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.

Download der aktuellen Version

Der Kriterienkatalog Cloud Computing in der aktuellen Version C5:2020 steht auf der Website des BSI zum Download zur Verfügung.

Keine breite Anwendbarkeit im Mittelstand

Der Branchenverband EuroCloud Deutschland_eco e.V. ist mit den Überarbeitungen nicht ganz zufrieden. So sei weiterhin vorgesehen, dass die Testierung nach C5 gemäß C5:2020 qualifizierten Wirtschaftsprüfungsgesellschaften vorbehalten ist. „Aufgrund der Kostenstruktur ist eine breite Anwendbarkeit zurzeit nicht erkennbar. Ob das Verfahren nun auch für mittelständische Cloud-Anbieter anwendbar wird, bleibt abzuwarten“, gibt EuroCloud-Direktor Andreas Weiss zu bedenken. Einschränkend wirke zudem die Tatsache, dass das Verfahren nach ISAE 3000 derzeit nicht akkreditiert ist und beispielsweise Zertifizierungen gemäß DSGVO damit nicht möglich seien. Dennoch sei der Prüfkatalog eine wichtige Referenz für aktuelle Projekte, beispielsweise das derzeit in Arbeit befindliche DSGVO Zertifizierungsverfahren AUDITOR.

Eine Cloud für Europa soll's jetzt richten

Digitalgipfel

Eine Cloud für Europa soll's jetzt richten

26.11.19 - Bundeswirtschaftsminister Peter Altmaier hat auf dem Digitalgipfel das GAIA-X Papier über eine europäische Dateninfrastruktur in der Cloud vorgestellt. Reicht das, um den Rückstand zu den USA und China aufzuholen? lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46325898 / Standards & Technologie)