Cloud, aber sicher: C5 des BSI prüft Anbieter mit 114 Anforderungen
Immer mehr Unternehmen in Deutschland setzen Cloud-Dienste ein. Das BSI will mit dem C5-Testat Anbietern und Kunden beim Buchen sicherer Dienste helfen. Es prüft 114 technische wie organisatorische Anforderungen.
Auch in Deutschland steigt der Einsatz von Cloud-Anwendungen im Unternehmen: Bereits 65 Prozent der hiesigen Firmen beziehen Dienste aus der Private oder Public Cloud. Wie Barbara Lange im Artikel "Alles geprüft" in der aktuellen iX 8/2017 schreibt, ist für Verantwortliche ein unabhängiges Zertifikat zum Belegen der Informationssicherheit folglich essentiell. Hierfür bietet sich der Cloud Computing Compliance Controls Catalogue, kurz C5, des Bundesamts für Sicherheit in der Informationstechnik (BSI) an.
Ganze 114 Anforderungen finden sich in dem Katalog – und sie sollen bloß ein Mindestmaß an Sicherheit gewährleisten. Als Auditoren kommen Wirtschaftsprüfer wie KPMG oder PwC zum Einsatz, sie muss der Cloud-Provider beauftragen. So will das BSI eine Unabhängigkeit des Zertifikats sichern und gleichzeitig es den Anbietern erleichtern, sich testen zu lassen – denn eine Jahresabschlussprüfung nehmen viele ohnehin vor.
Im Katalog finden sich einige technische Anforderungen. Sie betreffen die Kryptografie, Portabilität und Interoperabilität. Auch zugehörige Software wie ein Management-System für Informationssicherheit (ISMS) muss vorhanden sein und sich an den ISO-Standards der 2700x-Reihe orientieren. Einen Blick werfen die Prüfer ferner auf das Notfallmanagement und weitere Sicherheitsprüfungen.
Weitere Anforderungen betreffen das Unternehmen selbst und sein Personal. So müssen immer die drei Rollen des IT-Leiters, IT-Sicherheitsbeauftragten und des Verantwortlichen für die Behandlung von IT-Sicherheitsvorfällen vorhanden sein. Ihre Rollen muss der Anbieter durch technische Kontrollen trennen.
Hinzu kommen Punkte zu Umfeldparametern wie zum Speichern der Daten und zur Infrastruktur. Zum Ort der Datenverarbeitung und der zuständigen Gerichtsbarkeit gibt es keine Anforderungen im C5-Katalog. Allerdings betrachtet er, inwiefern die Anbieter mit lokalen Behörden kooperieren müssen. Details zum C5, welche anderen Zertifikate es gibt und welche Faktoren die Unternehmen selbst als wichtig erachten, finden Interessierte im Artikel.
Siehe dazu auch:
(fo)