- Nach drei Jahren legt das BSI den Cloud Computing Compliance Criteria Catalogue (C5) neu auf
- Kriterien-Katalog hat sich bei der Prüfung von Cloud Diensten bewährt und ist international anerkannt
- Breite Anwendbarkeit im Mittelstand aufgrund Kostenstruktur weiterhin nicht erkennbar
Heute hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) den Cloud Computing Compliance Criteria Catalogue (C5) in einer neuen Endversion C5:2020 in Frankfurt a. M. vorgestellt. Die Aktualisierungen umfassen sowohl die formalen Regelungen als auch insbesondere die Kriterien, die an den aktuellen Stand der Technik angepasst wurden.
„Mit der Aktualisierung bestätigt das BSI, dass sich C5 bei der Prüfung von Cloud Diensten bewährt hat“, erläutert EuroCloud Direktor Andreas Weiss. „Inzwischen ist der C5 auch international etabliert und wird weltweit zum Nachweis von Sicherheit von Cloud-Diensten verwendet.“ Drei Jahre lang haben Cloud-Anbieter, Kunden und Prüfer Erfahrungen sammeln können. Um diese Erfolgsgeschichte fortzusetzen, wurde der C5 in diesem Jahr einer Revision unterzogen, da Cloud-Techniken schnellen Innovationen unterworfen sind.
Basislinie für die Informationssicherheit von Cloud Diensten
Den Kriterienkatalog hatte das BSI 2016 veröffentlicht, um eine Basislinie für die Informationssicherheit von Cloud-Diensten zu definieren. Inzwischen wird der C5 besonders von Hyperscalern wie AWS, Microsoft oder Google verwendet, um die Sicherheit von Cloud-Diensten nachzuweisen. In die Überarbeitung flossen die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern ein. Kernpunkte der Überarbeitung sind unter anderem die neue Domäne Produktsicherheit, womit die Regelungen des EU Cyber Security Acts adressiert werden, und die Berücksichtigung von DevOps. Besonders zu erwähnen sind auch die technischen und organisatorischen Anforderungen der DSGVO und die zunehmend notwendige erweiterte Risikobetrachtung beim Einsatz von Cloud Diensten.
Zertifizierungen gemäß DSGVO aktuell noch nicht möglich
Es ist weiterhin vorgesehen, dass die Testierung nach C5 gemäß C5:2020 qualifizierten Wirtschaftsprüfungsgesellschaften vorbehalten ist. „Aufgrund der Kostenstruktur ist eine breite Anwendbarkeit zurzeit nicht erkennbar. Ob das Verfahren nun auch für mittelständische Cloud-Anbieter anwendbar wird, bleibt abzuwarten“, gibt Andreas Weiss zu bedenken. Einschränkend wirkt zudem die Tatsache, dass das Verfahren nach ISAE 3000 derzeit nicht akkreditiert ist und beispielsweise Zertifizierungen gemäß DSGVO damit nicht möglich sind. Dennoch ist der Prüfkatalog eine wichtige Referenz für aktuelle Projekte, beispielsweise das derzeit in Arbeit befindliche DSGVO Zertifizierungsverfahren AUDITOR.
Diese Kompetenz wird nun auch in die Prüfverfahren für die Cloud Dienste im GAIA-X Ökosystem Berücksichtigung finden. Das Kompetenznetzwerk Trusted Cloud hat hier die Aufgabe, angemessene Prüf- und Anerkennungsverfahren für das Onboarding von Anbietern und Diensten für GAIA-X zu koordinieren.