Sichere Cloud: BSI stellt aktualisierten C5-Katalog vor

Seit seiner Veröffentlichung 2016 hat sich der »Cloud Computing Compliance Criteria Catalogue« (C5) des BSI zum etablierten und vielfach national und international umgesetzten Standard der Cloud-Sicherheit entwickelt. Da Cloud-Techniken schnellen Innovationen unterworfen sind, hat das BSI den C5 nun einer umfassenden Revision unterzogen. Der überarbeitete und aktualisierte C5 wurde heute im Rahmen einer Veranstaltung in Frankfurt am Main vorgestellt.

 

»Mit dem C5-Kriterienkatalog gestalten wir erfolgreich die Informationssicherheit in einem wichtigen Bereich der Digitalisierung. Der C5 wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet. Diese Erfolgsgeschichte des C5 zeigt, dass Cybersicherheit ›Made in Germany‹ weltweit ein integrierter Bestandteil innovativer digitaler Angebote sein kann, die uns allen mehr Komfort, Effizienz und Effektivität ermöglichen«, betont BSI-Präsident Arne Schönbohm.

 

Die Aktualisierungen des C5-Kriterienkatalogs umfassen sowohl die formalen Regelungen als auch die Kriterien des C5, die an den aktuellen Stand der Technik angepasst wurden. Dabei sind die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern in die Revision eingeflossen. Der C5 enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet.

 

Über den C5-Kriterienkatalog des BSI

Der »Cloud Computing Compliance Criteria Catalogue« (C5) richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss beziehungsweise auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 beziehungsweise IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.

 

Mehr Informationen: https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Kriterienkatalog/C5_AktuelleVersion/C5_AktuelleVersion_node.html

 


C5:2020 – Die Neuerungen im Überblick

 

Zwei neue Bereiche für Sicherheitskriterien

Der neue Bereich Produktsicherheit fokussiert, anders als die anderen Teile des C5, auf die Sicherheit des Cloud-Dienstes selbst, nicht auf die Erbringung des Dienstes. Beispielsweise wird gefordert, dass der Cloud-Anbieter Leitfäden zur sicheren Konfiguration des Dienstes bereitstellt oder es werden Kriterien an das Session-Management formuliert. Die Anforderungen aus dem Bereich Produktsicherheit sind unter anderem aus dem EU Cybersecurity Act abgeleitet.

Der Bereich Umgang mit Ermittlungsanfragen staatlicher Stellen soll einen angemessenen Umgang mit Ermittlungsanfragen staatlicher Stellen hinsichtlich juristischer Überprüfung gewährleisten.

 

Überarbeitung von Sicherheitskriterien

Die bestehenden Sicherheitskriterien wurden zum Teil grundlegend überarbeitet, um die Qualität weiter zu erhöhen und Trends, wie zum Beispiel das Thema »DevOps«, besser berücksichtigen zu können.

Zu jedem Sicherheitskriterium gibt es nun Hinweise, ob und ggf. wie es im Rahmen einer kontinuierlichen Auditierung geprüft werden kann.

Im Cloud Computing ist eine transparente Teilung von Aufgaben und Verantwortung zwischen Cloud-Anbieter und -Kunde sehr wichtig. Mit den korrespondierenden Kriterien werden diese Schnittstellen beschrieben, um dem Cloud-Kunden seinen Anteil bei der sicheren Nutzung eines Cloud-Dienstes deutlich zu machen.

 

Ermöglichung einer direkten Prüfung

Bisher musste der Cloud-Anbieter vor einer Prüfung eigenständig eine Systembeschreibung erstellen und vorlegen. Diese umfasst eine formale Beschreibung der eigenen Umgebung zusammen mit den ergriffenen Maßnahmen. Mit dem C5:2020 gibt es nun auch die Möglichkeit der direkten Prüfung, bei dem der Prüfer eine vergleichbare Beschreibung während des Prüfvorganges erstellt. Die direkte Prüfung ist aus Sicht des BSI insbesondere für Cloud-Anbieter geeignet, die ihre vollständige Beschreibung des dienstleistungsbezogenen internen Kontrollsystems noch nicht abgeschlossen beziehungsweise ausreichend detailliert dargestellt haben.

 

835 Artikel zu „Cloud Provider“

Multi-Cloud-Schutz ist die größte Herausforderung für Unternehmen weltweit

Unternehmen weltweit kämpfen mit Optimierung, Verwaltung und Schutz von Multi-Cloud-Rechnerinfrastrukturen. Um mit den Anforderungen der digitalen Transformation und der IT-Effizienz Schritt zu halten, hat eine große Mehrheit der Unternehmen weltweit Multi-Cloud-Strategien entwickelt. Bei der Bewältigung der dadurch entstehenden Komplexität und der zusätzlichen Anforderungen dieser neuen Anwendungs- und Datenbereitstellungsinfrastrukturen stehen sie allerdings vor großen Herausforderungen. Zu…

Unternehmen sehen Verantwortung für Datensicherung, Datenschutz und Compliance allein bei Cloud Service Providern

Cloud first dominiert die IT-Strategien: Organisationen investieren ein Fünftel ihres IT-Budgets der nächsten zwei Jahre in die Cloud.    Die Mehrheit der befragten Unternehmen verfolgt eine Cloud-First-Strategie, wenn sie neue Anwendungen aufsetzen oder Workloads bearbeiten wollen. Nur ein Prozent der Firmen wird die Cloud in den kommenden zwei Jahren nicht einsetzen. In Deutschland sehen sogar…

10 Punkte für die Auswahl eines Cloud-Providers

Sie suchen nach einem geeigneten Private-Cloud-Provider oder wollen früher oder später Ihre IT-Infrastruktur in die Cloud auslagern? Dann haben wir zehn wichtige Punkte für Sie, die Sie bei der Auswahl Ihres Cloud-Providers unbedingt beachten sollten: Standort und IT-Sicherheit: Wählen Sie ein Private-Cloud-Angebot eines deutschen Serviceproviders mit deutschem Standort und Sicherheitstechnik nach deutschen Richtlinien. Skalierbarkeit: Wählen…

Unternehmen nachlässig in der Auswahl des richtigen Cloud-Service-Providers

Cloud-Dienste werden immer stärker genutzt. Aber welche Kriterien spielen bei der Auswahl des richtigen Anbieters von Cloud-Services eine Rolle? Die Antworten sind ernüchternd: Die von Studie »Managing Growth, Risk & the Cloud« kam zu dem Ergebnis, dass nur 34 Prozent der deutschen Unternehmen das Rechenzentrum, das ihre Daten hosten soll, als Teil des Überprüfungsprozesses besuchen.…

Datensouveränität bedeutet auch Schlüsselsouveränität: Panne bei Cloud-Anbieter

Ein deutscher Cloud-Anbieter verliert Kryptografie-Schlüssel und seine Kunden dadurch Daten: Dieser aktuelle Vorfall schadet der gesamten Cloud-Branche in Deutschland, weil sie deren größten Wettbewerbsvorteil zunichte macht.   Deutsche Cloud-Anbieter mit ihren hohen Standards sind bei der Absicherung von Daten führend. Das ist die gute Nachricht. Trotzdem ist jetzt eine Panne passiert, die so nicht hätte…

Mit der Cloud durchstarten: So gelingen  Cloud-Innovationen

Neues Whitepaper zur Realisierung von Produktideen in der Cloud.  Die Mobile-Ära eröffnet völlig neue Möglichkeiten für die Entwicklung innovativer Produkte. Wie digitale Transformation und Cloud-Nutzung den Umsatz von Unternehmen ankurbeln können, erklärt das Whitepaper »Von der Produktidee zur Cloudanwendung« [1]. Anhand eines konkreten Beispiels, eines Fahrradherstellers, führt das Whitepaper durch die entscheidenden Schritte. Besonderes Augenmerk…

Cloud-Management: Multi-Cloud statt Vendor-Lock-in

Im Zuge ihrer Digitalisierungsvorhaben treiben viele Unternehmen den Ausbau ihrer Cloud-Umgebungen voran. »manage it« sprach mit Achim Krombach, Solution Architekt beim US-amerikanischen Cloud Service Provider CenturyLink, welche Fallstricke bei der Migration in komplexe Hybrid- und Multi-Cloud-Infrastrukturen lauern – und was Cloud-Application-Management-Plattformen dazu beitragen können, um sich davor zu schützen.

Sichere Cloud- und Rechenzentrums-Dienstleistungen für die Automobilindustrie

Die noris network AG, Betreiber von Hochsicherheitsrechenzentren und PaaS-Provider, hat ihr TISAX-Zertifikat in einem Überwachungsaudit von der TÜV Rheinland i-sec GmbH prüfen und bestätigen lassen. TISAX (Trusted Information Security Assessment Exchange) dient einer unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilindustrie und schafft hierfür einen gemeinsamen Prüf- und Austauschmechanismus. Automobilhersteller und -zulieferer haben durch…

Hosting oder Cloud? – Keine Frage des Hypes, sondern des Anspruchs

Immer wieder stehen Unternehmen vor der Frage, wie sie ihre IT-Infrastruktur erweitern sollten. Gerade der Mittelstand mit beschränkten IT-Personal- und Budget-Ressourcen sucht nach idealen Lösungen. Oft ist die Entscheidung zwischen Hosting und Cloud zu treffen. Es gilt, die jeweiligen Vorteile der beiden Optionen zu ergründen und für was sich die eine mehr als die andere eignet.

Strategie: Public Cloud bringt ein Mehr an Automatisierung und Skalierbarkeit

In zukunftsorientierten Unternehmen werden Cloudlösungen oft diskutiert, da sie ein breites Spektrum an Potenzialen offerieren. Doch aufgrund der Komplexität des Themas fühlen sich viele Unternehmen verunsichert, da Fragen zur Sicherheit und »Compliance” wie ein Damoklesschwert über ihnen schweben. Auch die Zeit- und Budgetplanung erfordert eingehende technische Kenntnisse und viel Spezialwissen, um das Projekt erfolgreich umzusetzen.…

Unternehmen setzen für die Kommunikation am digitalen Arbeitsplatz auf die Cloud

Immer mehr Unternehmen realisieren den digitalen Arbeitsplatz mit Cloud-basierten Kommunikationsplattformen und profitieren von nahtlos über die Cloud verknüpften Kommunikationskanälen (Telefon, Chat und Videokonferenzen) über alle mobilen Endgeräte, Laptops, und Konferenzräume hinweg (Bildquelle: Fuze)   Unternehmen reagieren laut der Studie »Smart Business Communications« auf den Trend zum digitalen Arbeitsplatz überwiegend mit Investitionen in Cloud-Kommunikationsplattformen [1]. Unified…

Transparenz und Skalierbarkeit aus der Wolke: Energiekonzern OMV führt Konzern-Webauftritt in die Cloud

Anwenderbericht: Oracle WebCenter Sites Grundlage für neue benutzerfreundliche und hochverfügbare Webplattform der OMV Group. Um einen ansprechenden und hochverfügbaren Webauftritt sicherzustellen, entscheiden sich immer mehr Unternehmen, ihre Webseiten und Content-Systeme in die Cloud zu führen. So ist es auch beim Öl-, Gas- und Energieunternehmen OMV. Die Online-Plattform des weltweit tätigen Konzerns war bereits 2007 in…

Wer die Cloud wirklich ernst nimmt, erzielt bessere Geschäftsergebnisse

Gute Abstimmung von Cloud-Transformation und Business-Planung sichert den Erfolg. Bessere Datensicherheit ist die primäre Erwartung an einen Wechsel in die Cloud. Laut dem Unisys Cloud Success Barometer liegt Europa ein wenig hinter dem globalen Durchschnitt, wenn es um die Nutzung von Vorteilen aus der Cloud geht.   Weltweit migrieren die meisten Unternehmen und Organisationen (93…