Sichere Clouds: Das sagt das BSI

Von Nadine Stimmer am 17. März 2020

Sichere-clouds_750x250

Im Januar 2020 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die finale Version des Anforderungskatalogs „Sicherheit für Cloud Computing“ bzw. „Cloud Computing Compliance Criteria Catalogue“ (C5). Der Katalog berücksichtigt nun die aktuellste Gesetzeslage sowie Rückmeldungen aus der Praxis.

2016 war der Anforderungskatalog C5 vom Beratungsunternehmen PWC im Auftrag des BSI erstmals entwickelt worden. Der Anforderungskatalog C5 richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Er legt fest, welche Anforderungen die Cloud-Anbieter erfüllen müssen und orientiert sich dabei an etablierten Prüfschemen, Richtlinien und Best Practices. Im Herbst 2019 hatte das BSI eine grundlegende Überarbeitung vorgestellt und als „Community Draft“ zur Kommentierung auf seiner Website frei gegeben. Im Januar wurde die finale Version veröffentlicht.

Der neue Anforderungskatalog C5:2020

Erhebliche Neuerungen gibt es in der revidierten Version des C5-Anforderungskatalogs zu den Themen Schwachstellen-Management, Netzsicherheit, Kryptografie und Physische Sicherheit. Auch wurden die formalen Regelungen sowie Kriterien des C5 an den aktuellen Stand der Technik angepasst.

Des Weiteren gibt es folgende neue Aspekte:

EU Cyber Security Act: Die neuen Bestimmungen des „EU Cyber Security Act“ an die Produktsicherheit von Cyberprodukten wurden in den Prüfkatalog aufgenommen. Beispielsweise sollen Cloud-Anbieter Leitfäden zur sicheren Konfiguration des Dienstes bereitstellen. Auch müssen sie darlegen können, wie sie mit Beschlüssen staatlicher Stellen zur Herausgabe von Daten umgehen.

Geteilte Verantwortung: Der neue C5-Anforderungskatalog adressiert die geteilte Verantwortung für Sicherheit im Cloud Computing, indem es die korrespondierende Kontrolle von Sicherheitsmaßnahmen auf der Seite des Kunden anspricht.

Direkte Prüfung: Bisher musste der Cloud-Anbieter vor einer Prüfung eigenständig eine Systembeschreibung erstellen und vorlegen. Diese umfasst eine formale Beschreibung der eigenen Umgebung zusammen mit den ergriffenen Maßnahmen. Mit dem neuesten C5-Anforderungskatalog kann nun auch direkt geprüft werden. Das bedeutet, dass der Prüfer eine vergleichbare Beschreibung während des Prüfvorganges erstellt. Die direkte Prüfung ist aus Sicht des BSI insbesondere für Cloud-Anbieter geeignet, die ihre vollständige Beschreibung des dienstleistungsbezogenen internen Kontrollsystems noch nicht abgeschlossen beziehungsweise ausreichend detailliert dargestellt haben. Damit sollen insbesondere kleinere Cloud-Anbieter bei gleichem Sicherheitsniveau mit weniger Aufwand ein C5-Testat erlangen können.

Anwendungswissen: In die revidierte Version flossen die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern ein.

EU-weiter Standard

„Der C5 wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet“, weiß BSI-Präsident Arne Schönbohm. Laut BSI wurden auf Basis des C5-Kriterienkatalogs bereits mehr als ein Dutzend Testate für nationale, europäische und weltweite Cloud-Anbieter sowie eine breite Palette an Cloud-Diensten erstellt. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Er basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.

Informationssicherheit
Kostenlose Brainloop Demo: Jetzt Demo vereinbaren!

Das könnte Sie auch interessieren:

Mit Brief und Siegel: Brainloop ist datenschutzkonform
Mit Brief und Siegel: Brainloop ist datenschutzkonform

Die DSGVO kann kommen: Brainloops Cloud-Dienste sind TCDP-zertifiziert und erfüllen nachweislich datenschutzrechtliche Anforderungen.

Weiterlesen
Sicherheit im Fokus: Ein Blick hinter das Brainloop Security-Konzept
Sicherheit im Fokus: Ein Blick hinter das Brainloop Security-Konzept

Sicherheit steht für Brainloop bei der Softwareentwicklung an erster Stelle. Doch wie wird Software überhaupt sicher? Brainloop stellt seinen..

Weiterlesen
Unter Verschluss: Sichere Prozesskommunikation in Anwaltskanzleien
Unter Verschluss: Sichere Prozesskommunikation in Anwaltskanzleien

In Kanzleien werden vertrauliche Informationen generiert. Mit einem digitalen Datenraum werden Anwälte höchsten Sicherheitsanforderungen gerecht.

Weiterlesen
Die Zutaten für eine sichere Collaboration-Software
Die Zutaten für eine sichere Collaboration-Software

Collaboration-Tools gestalten die Teamarbeit effektiver. Doch auch Sicherheitsfeatures sind nicht zu vernachlässigen.

Weiterlesen

Ihre Meinung zum Thema:

Brainloop Blog: Jetzt abonnieren
New call-to-action