Rund die Hälfte aller Unternehmen in Deutschland nutzen nach Angaben des ifo-Instituts Cloud-Computing. Damit die Daten in der Cloud sicher sind, wurden im Laufe der Zeit zahlreiche Zertifizierungen entwickelt, mit denen Cloud-Anbieter die Resistenz ihrer Infrastruktur gegen verschiedenste Bedrohungsszenarien nachweisen können. Für Entscheider in Unternehmen ist es dabei wichtig, die aktuell sichersten Standards zu kennen und sich an diesen bei der Auswahl des passenden Cloud-Dienstleisters zu orientieren. Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb den C5-Anforderungskatalog (Akronym für „Cloud Computing Compliance Criteria Catalogue“) entwickelt. Er ist ein verlässliches Testat für hohe Sicherheitsstandards.
Zertifizierungsdschungel: ISO 27001, CCM und mehr
Anbieter von öffentlichen Cloud-Diensten – der sogenannten Public Cloud – haben längst erkannt, dass unabhängige Zertifizierungen nach verschiedenen Normenkatalogen und entsprechende Testate einen Wettbewerbsvorteil darstellen. Daher haben viele von ihnen inzwischen eine solche Zertifizierung durchlaufen, wobei sich die ISO-Normen der 27000-Reihe seit Jahren international als wichtigster Standard in diesem Segment etabliert haben.
Die ISO-Regelwerke 27001 und 27002 befassen sich dabei eher allgemein mit verschiedensten Aspekten des Informationssicherheitsmanagements. Sie werden erweitert durch mehrere Unternormen wie die ISO 27017 oder die ISO 27018, die speziell auf die Anforderungen und Mechanismen zur Gewährleistung eines hohen Sicherheitsstandards beim Cloud-Computing zugeschnitten sind. Darüber hinaus haben sich auch andere Normen wie die Cloud Controls Matrix (CCM) der international agierenden Cloud Security Alliance etabliert.
Durch die zahlreichen unterschiedlichen Zertifizierungen ist es für Entscheider in Unternehmen jedoch schwierig, den Überblick zu behalten. Auch für Anbieter von Cloud-Dienstleistungen wirft die Vielfalt an Prüfschemata Probleme auf: So überschneiden sich teilweise die Anforderungen der einzelnen Standards, so dass bestimmte Themenbereiche bei Auditierungen unnötig mehrfach geprüft werden. Zusätzlich ist es für Dienstleister des Cloud-Computings nicht immer einfach, den Überblick über Kundenanforderungen zu behalten, da sich diese vor allem durch regulatorische Maßnahmen ändern können.
BSI C5: Neuer Goldstandard
Um diese Problematik zu entschärfen und Entscheidern in Organisationen wie auch Anbietern von Cloud-Dienstleistungen einen aussagekräftigen Nachweis für das erreichte Datenschutz- und Sicherheitsniveau zu bieten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits vor rund zehn Jahren den BSI C5-Katalog erarbeiten lassen. Der C5-Anforderungskatalog wurde erstmals im Jahr 2016 veröffentlicht und 2020 ergänzt. Er prüft die in Organisationen implementierten Managementsysteme für Informationssicherheit (ISMS) speziell im Hinblick auf das Cloud-Computing. Cloud-Dienstleister, die ein C5-Testat erhalten möchten, müssen sich dabei einem Audit durch einen unabhängigen Wirtschaftsprüfer unterziehen.
BSI C5 vermeidet Mehrfachprüfungen
Der BSI C5-Kriterienkatalog ist kein zusätzlicher Standard, mit dem das Rad neu erfunden werden soll. Vielmehr bündelt er unterschiedlichste Prüfschemata und Richtlinien und ergänzt diese. Dadurch werden Mehrfachprüfungen einzelner Anforderungen vermieden und der Gesamtaufwand für einen Audit reduziert. Die BSI C5-Spezifikation integriert dabei Kriterien aus der ISO 27001-Norm, dem SOC 2-Standard, der Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA), mehreren BSI-Regelwerken wie dem IT-Grundschutz oder den SaaS-Sicherheitsprofilen und weiteren.
Welche Überschneidungen sich zwischen den verschiedenen Zertifizierungen ergeben und wie diese in das C5-Testat implementiert sind, legt das BSI in einer gesonderten Kreuzreferenztabelle dar. In insgesamt 17 Themenbereichen mit 121 Anforderungen definiert der C5-Kriterienkatalog ein umfassendes Sicherheitsniveau beim Cloud-Computing, welches durch die geprüften Cloud-Anbieter mithilfe von technischen und organisatorischen Maßnahmen erreicht werden soll. Die Palette der geprüften Einzelkriterien reicht dabei im organisatorischen Bereich von der Umsetzung allgemeiner Sicherheitsrichtlinien und Anforderungen an Personal über die Verwaltung von Berechtigungen und kryptographischen Technologien bis hin zur Überwachung von Unterauftragnehmern und Lieferanten.
Darüber hinaus beschäftigt sich der C5-Katalog beispielsweise auch mit der Implementierung von Verfahren, um bei Notfällen die Geschäftskontinuität des Cloud-Dienstleisters sicherstellen zu können. Zusätzlich wird der Umgang mit staatlichen Ermittlungsanfragen dokumentiert. Alle Prüfungskriterien setzen dazu eine entsprechende vorherige Formalisierung durch den Cloud-Dienstleister voraus.
Die Unterschiede zwischen BSI C5 Typ 1 und BSI C5 Typ 2
Im Unterschied zu anderen Zertifizierungen und Testaten ist der BSI C5-Standard kein statisches Prüfschema, sondern in zwei Typen unterteilt: Das C5-Testat des Typs 1 bescheinigt dem Cloud-Dienstleister ein angemessenes Sicherheitsmanagement zum Zeitpunkt des Audits. Es wird initial erworben. Das Testat des Typs 2 dagegen zielt auf die fortlaufende Wirksamkeit der Sicherheitsmaßnahmen im Prüfungszeitraum. Das Typ 2-Testat kann dabei nicht ohne eine initial durchlaufene Typ 1-Auditierung erworben werden. Der Prüfungszeitraum für das Typ 2-Testat beläuft sich üblicherweise auf sechs bis zwölf Monate.
Auditoren müssen sich bei einer Typ 2-Testierung daher nicht nur davon überzeugen, dass das implementierte System zum Sicherheitsmanagement beim Cloud-Anbieter zum Zeitpunkt der Prüfung vorhanden und einsatzbereit war, sondern diesen Nachweis über den gesamten Prüfungszeitraum hinweg führen. Durch diese deutlich aufwendigere Prüfung für das Typ 2-Testat erhalten Kunden des geprüften Cloud-Dienstleisters wesentlich zuverlässigere Nachweise über dessen Verlässlichkeit als bei einer statischen, nur auf einen Prüfungszeitpunkt beschränkten Testierung.
Die Anforderungen für ein BSI C5-Testat
Die Anforderungen für den Erhalt eines BSI C5-Testats fallen überaus anspruchsvoll aus. Sie gliedern sich je nach Kundenanforderung grob in drei Schritte:
1. Zunächst wird eine sogenannte Gap-Analyse beim Cloud-Dienstleister durchgeführt, welche die Lücke zwischen Ist- und Soll-Zustand des Sicherheitsmanagementsystems bei der Datenverarbeitung in der Cloud ermittelt. Dabei dient die ISMS-Dokumentation des Cloud-Anbieters als Grundlage. Mit dieser dokumentiert der Dienstleister den vorhandenen Sicherheitsstandard seiner Infrastruktur.
2. Daraus wird im zweiten Schritt ein Maßnahmenkatalog erarbeitet, der die weitere Vorgehensweise beinhaltet, um die Lücke zwischen Soll- und Ist-Zustand zu schließen. In diesen Prozess ist bereits in aller Regel ein entsprechend qualifiziertes Beratungsunternehmen oder ein Wirtschaftsprüfer als beratende Instanz involviert.
3. Die eigentliche Testierung findet jedoch erst im dritten Schritt statt. Diese darf derzeit ausschließlich durch besonders qualifizierte Wirtschaftsprüfer vorgenommen werden, die die Auditierung durchführen und anschließend das Testat ausstellen. Sie müssen auch ihre besondere, im BSI C5-Katalog geforderte Qualifikation nachweisen. Der Auditor beurteilt dabei die Angemessenheit des Sicherheitsmanagements des Cloud-Dienstleisters und bescheinigt im C5-Testat, dass die Kontrollmechanismen effektiv eingerichtet und zweckmäßig ausgestaltet sind, so dass die Kriterien des C5-Katalogs erfüllt werden.
BSI C5 Typ 2 testiert nachhaltige Sicherheit
Beim C5-Testat des Typs 2 wird darüber hinaus über einen definierten Zeitraum hinweg die Wirksamkeit des ISMS-Systems des Cloud-Anbieters geprüft und beurteilt. Dadurch ist der Testierungsprozess beim Typ 2-Testat noch aufwendiger als bei der Typ 1-Prüfung. Der Prüfungszeitraum kann dabei variieren: Das BSI nennt einen Zeitraum von sechs oder zwölf Monaten, um den Testierungsprozess erneut zu durchlaufen.
Durch die wiederholten Prüfungen ist ein wirksames Sicherheitskontrollmanagement auch über lange Zeiträume hinweg möglich, was bei Kunden des jeweiligen Cloud-Anbieters zusätzliches Vertrauen schafft. Dazu trägt auch der Anspruch des BSI und der handelnden Auditoren bei, das C5-Testat nur dann zu verleihen, wenn die Anforderungen des Kriterienkatalogs wirklich ohne Einschränkung erfüllt sind.
Nutzen des C5-Testats für Cloud-Kunden
Für Entscheider in Unternehmen und Organisationen, die Datenbestände in die Cloud verlagern möchten, ist die Auswahl eines möglichst qualifizierten Anbieters essenziell. Dabei spielen die in der Cloud zu verarbeitenden Daten ebenso eine Rolle wie gesetzliche Vorgaben. Entscheider sollten daher zunächst den Schutzbedarf ihres Unternehmens oder ihrer Organisation bei der Datenverarbeitung in der Cloud ermitteln, um beurteilen zu können, ob ein Anbieter mit C5-Testat die individuellen Anforderungen erfüllen kann.
Bei der Schutzbedarfsanalyse sind Kriterien wie die Verfügbarkeit der Daten, die Gewährleistung der Datenintegrität und auch die Vertraulichkeit der Daten zu berücksichtigen, wobei alle Geschäftsfelder in die Analyse zu inkludieren sind. Anschließend sollte geprüft werden, ob das jeweils vom Cloud-Anbieter vorgelegte C5-Testat diese Kriterien erfüllt. Neben den C5-Basiskriterien können dabei auch Zusatzkriterien eine Rolle spielen.
Für Entscheider ist daher eine Einsichtnahme in den detaillierten C5-Prüfbericht unerlässlich, um eine möglichst passgenaue Lösung für das Unternehmen oder die Organisation zu finden. Zusätzliche Prüfungen beim Cloud-Dienstleister durch den Kunden, beispielsweise durch dessen Interne Revision, können zudem ein probates Mittel darstellen, um nicht durch das C5-Testat abgedeckte individuelle Kriterien beim Sicherheitsmanagement in der Cloud zu berücksichtigen. Es versteht sich von selbst, dass mit der jeweiligen Erneuerung des C5-Testats beim Cloud-Dienstleister auch ergänzend regelmäßig entsprechende Prüfungen des Kunden stattfinden sollten.
Mehrwert durch SecureCloud
Für SecureCloud genießt die Sicherheit der Kundendaten bereits seit der Gründung des Unternehmens vor mehr als zehn Jahren höchste Priorität. Deshalb haben wir von Anbeginn an alle Prozesse unserer Dienstleistung unter dem Aspekt einer maximalen Datensicherheit organisiert. Auch alle innovativen zusätzlichen Dienstleistungen, die wir im Laufe der Jahre rund um den eigentlichen Cloudspeicher angesiedelt haben, folgen dieser Prämisse. Dazu zählen das Cloud-Backup unseres Schwesterunternehmens exabackup, das SecureWork-Cloud-Office und auch die elektronische Signatur mit SecureSign.
Aus diesem Grund sind nicht nur wir selbst seit geraumer Zeit ISO/IEC 27001-zertifiziert, sondern auch unsere Rechenzentren. Mit dem Erhalt des BSI C5-Testats weisen wir nunmehr auch für alle unsere Dienstleistungen den höchsten derzeit erhältlichen Sicherheitsstandard nach und empfehlen uns somit zusätzlich für Anwendungsbereiche, bei denen durch gesetzliche Regularien dieses Testat vorgeschrieben ist. Durch regelmäßige Folgeprüfungen halten wir die Zertifikate und Testate dabei stets auf dem aktuellen Stand.
Sie können sich deshalb sicher sein, dass wir auch zukünftig ohne jedes Wenn und Aber unseren Kunden in allen Bereichen rund um die Cloud nur die sichersten und zuverlässigsten Lösungen bieten werden.
Interessiert Sie die souveräne Cloud?
Unsere Experten erklären Ihnen gerne mehr.
