Cloud-Computing: Kriterienkatalog C5 des BSI bietet Orie ... / 2 International beliebte Bewertungsgrundlage

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) publizierte 2016 den ersten C5-Anforderungskatalog. Das BSI beschränkte sich darauf, die Sicherheitsziele zu definieren. Die C5-Audits werden nicht vom BSI, sondern von Wirtschaftsprüfern durchgeführt, deren Prüfportfolio mit dem C5 um Cloud-Sicherheitsaspekte erweitert wird. Viele nationale und internationale, kleine und große Cloud-Anbieter haben inzwischen ein C5-Testat erhalten, und auch außerhalb des öffentlichen Sektors interessieren sich viele Cloud-Kunden für die Bewertung ihrer Dienstleister. 2019 wurde C5 überarbeitet. Viele unterschiedliche Gruppen, Verbände, Anbieter und Prüfer wirkten an gemeinsamen Workshops unter Leitung des BSI mit, teilten ihre Erfahrungen und unterbreiteten konstruktive Vorschläge zur Verbesserung.

Änderungen im C5:2020 im Überblick

Folgende Änderungen in 2020 sind besonders wichtig:

• Der neue C5:2020 setzt die allgemeinen Anforderungen des EU Cybersecurity Acts (EUCA) um. Die europäische Verordnung beschreibt Anforderungen an IT-Produkte und -Dienste, die nach einem EUCA-konformen Verfahren zertifiziert sind. Diese Anforderungen wurden im neuen Kapitel 6.17 "Produktsicherheit" zusammengefasst.
• Bei der sicheren Nutzung von Cloud-Diensten spielt die Schnittstelle zwischen Cloud-Anbieter und Cloud-Nutzer eine wichtige Rolle. Der C5:2020 führt "korrespondierende Kriterien" ein, die der Cloud-Kunde an der Schnittstelle zum Cloud-Dienst zu erfüllen hat.

Die Aktualisierungen betreffen folgende Bereiche:

• Aktualisierung der Kriterien hinsichtlich neuer Konzepte, z. B. "DevOps", also dem Zusammenwachsen von Entwicklung und Betrieb von IT-Systemen.
• Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste um produktspezifische Aspekte der Informationssicherheit, die aus dem European Cybersecurity Act abgeleitet sind.
• Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste um Aspekte, die den Umgang des Cloud-Anbieters mit Ermittlungsanfragen staatlicher Stellen betreffen.
• Aufnahme korrespondierender Kriterien für Cloud-Kunden. Diese dienen dazu, aufzuzeigen, an welchen Stellen Cloud-Kunden eigene Maßnahmen entwickeln müssen, um die Sicherheit des Cloud-Dienstes zu gewährleisten.
• Aufnahme ergänzender Hinweise und Informationen zum besseren Verständnis der Kriterien sowie zu deren kontinuierlicher Prüfung.
• Ergänzung des bisherigen Prüfungsverfahrens, der Prüfung einer Erklärung zum IT-System, um die Möglichkeit einer direkten IT-Prüfung.

Bisher musste der Cloud-Anbieter vor einer Prüfung eigenständig eine Systembeschreibung erstellen und vorlegen. Mit dem C5:2020 gibt es nun auch die Möglichkeit der direkten Prüfung, bei der der Prüfer eine vergleichbare Beschreibung während des Prüfvorganges erstellt. Dieses Vorgehen ist laut BSI insbesondere für Cloud-Anbieter geeignet, die ihre dienstleistungsbezogenen internen Kontrollsysteme noch nicht ausreichend detailliert dargestellt haben.