Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat als nationale Cybersicherheitsbehörde einen Anforderungskatalog für professionelle Cloud-Anbieter entwickelt: der C5 (Cloud Computing Compliance Controls Catalogue). Hier sind die Anforderungen, die Cloud-Anbieter erfüllen müssen bzw. zumindest verpflichtet werden sollten, klar festgelegt.
Mit dem C5 legt das BSI eine allgemein anerkannte Basis-Richtlinie für Sicherheitsstandards fest und bietet Cloud-Anbietern zusätzlich mit dem SOC 2-Bericht ein Verfahren an, mit dem sie den Nachweis erbringen können, die Anforderungen des Katalogs einzuhalten. Bei der sogenannten SOC-2-Typ-2-Prüfung kann künftig auch die Wirksamkeit der implementierten Maßnahmen für einen bestimmten Berichtszeitraum geprüft werden.
Microsoft erfüllt alle Anforderungen des C5-Katalogs
Im Rahmen der letzten Prüfung von Microsoft Azure und Azure Government wurden mehr als 100 internationale Microsoft-Rechenzentren durch unabhängige Prüfer von Deloitte untersucht und in allen wurde stets die Erfüllung der C5-Anforderungen festgestellt.
Im Rahmen des Testats haben die unabhängigen Deloitte-Prüfer Microsoft auch die Einhaltung der Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA) sowie der Trust-Prinzipien Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit von SOC (Service Organization Controls) bestätigt. Die CSA ist eine weitere neutrale Instanz, die Cloud-Kunden die Cloud Controls Matrix (CCM), also Informationen zu Sicherheitsverfahren von Cloud-Anbietern, liefert, damit diese die allgemeinen Sicherheitsrisiken besser einschätzen können. Microsoft bestand die neutrale Prüfung sofort, da die zu prüfenden Trust-Prinzipien mit den bereits seit langem bestehenden Zusagen von Microsoft im Hinblick auf Sicherheit, Datenschutz und Transparenz übereineinstimmen.
Technische Details zum C5-Katalog
Insgesamt besteht der C5-Katalog aus 114 Anforderungen in 17 Bereichen. Er basiert auf etablierten Standards wie ISO/IEC 27001:2013, CSA CCM 3.01, ANSSI Référentiel secure cloud v. 2.0, AICPA – Trust Service Principles Criteria 2014, IDW ERS FAIT 5 (4.11.2014) und auf den Anforderungen des BSI etwa aus dem IT-Grundschutz (15. EL) sowie den SaaS-Sicherheitsprofilen.
Nach eigenen Angaben legt der BSI bei der Beurteilung von Cloud-Anbietern großen Wert auf Transparenz: Im Rahmen einer Prüfung muss der Anbieter daher eine detaillierte Systembeschreibung abgeben und im Vergleich zu anderen Sicherheitsstandards die Umfeldparameter übermitteln, die Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen geben. Diese Transparenz erleichtert möglichen Kunden die Entscheidung, ob Cloud-Dienste den gesetzlichen Vorschriften, zum Beispiel in Bezug auf den Datenschutz, den eigenen Unternehmensrichtlinien oder auch der Gefährdungslage bezüglich Wirtschaftsspionage entsprechen.
Sie haben noch weitere Fragen C5-Anforderungskatalog der BSI oder zum Thema Sicherheit und Datenschutz? Wir helfen Ihnen gerne. 089 600 87 860