Regula Heinzelmann

Zusammenfassung

 
Überblick

Der "Cloud Computing Compliance Criteria Catalogue" (C5) definiert Mindestanforderungen an sicheres Cloud Computing. Er richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. In der Aktualisierung 2020 wurde die Produktsicherheit als weiteres Schwerpunktthema aufgenommen.

 

1 Zielsetzung, Anwendernutzen, Nachweis

Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss. Der deutsche Name wurde von Anforderungskatalog zu Kriterienkatalog geändert. Die Aktualisierungen des C5 umfassen sowohl die formalen Regelungen als auch die Kriterien des C5, die an den aktuellen Stand der Technik angepasst wurden. Der C5 bietet Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Anbieters.

Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht.

2 International beliebte Bewertungsgrundlage

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) publizierte 2016 den ersten C5-Anforderungskatalog. Das BSI beschränkte sich darauf, die Sicherheitsziele zu definieren. Die C5-Audits werden nicht vom BSI, sondern von Wirtschaftsprüfern durchgeführt, deren Prüfportfolio mit dem C5 um Cloud-Sicherheitsaspekte erweitert wird. Viele nationale und internationale, kleine und große Cloud-Anbieter haben inzwischen ein C5-Testat erhalten, und auch außerhalb des öffentlichen Sektors interessieren sich viele Cloud-Kunden für die Bewertung ihrer Dienstleister. 2019 wurde C5 überarbeitet. Viele unterschiedliche Gruppen, Verbände, Anbieter und Prüfer wirkten an gemeinsamen Workshops unter Leitung des BSI mit, teilten ihre Erfahrungen und unterbreiteten konstruktive Vorschläge zur Verbesserung.

Änderungen im C5:2020 im Überblick

Folgende Änderungen in 2020 sind besonders wichtig:

  • Der neue C5:2020 setzt die allgemeinen Anforderungen des EU Cybersecurity Acts (EUCA) um. Die europäische Verordnung beschreibt Anforderungen an IT-Produkte und -Dienste, die nach einem EUCA-konformen Verfahren zertifiziert sind. Diese Anforderungen wurden im neuen Kapitel 6.17 "Produktsicherheit" zusammengefasst.
  • Bei der sicheren Nutzung von Cloud-Diensten spielt die Schnittstelle zwischen Cloud-Anbieter und Cloud-Nutzer eine wichtige Rolle. Der C5:2020 führt "korrespondierende Kriterien" ein, die der Cloud-Kunde an der Schnittstelle zum Cloud-Dienst zu erfüllen hat.

Die Aktualisierungen betreffen folgende Bereiche:

  • Aktualisierung der Kriterien hinsichtlich neuer Konzepte, z. B. "DevOps", also dem Zusammenwachsen von Entwicklung und Betrieb von IT-Systemen.
  • Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste um produktspezifische Aspekte der Informationssicherheit, die aus dem European Cybersecurity Act abgeleitet sind.
  • Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste um Aspekte, die den Umgang des Cloud-Anbieters mit Ermittlungsanfragen staatlicher Stellen betreffen.
  • Aufnahme korrespondierender Kriterien für Cloud-Kunden. Diese dienen dazu, aufzuzeigen, an welchen Stellen Cloud-Kunden eigene Maßnahmen entwickeln müssen, um die Sicherheit des Cloud-Dienstes zu gewährleisten.
  • Aufnahme ergänzender Hinweise und Informationen zum besseren Verständnis der Kriterien sowie zu deren kontinuierlicher Prüfung.
  • Ergänzung des bisherigen Prüfungsverfahrens, der Prüfung einer Erklärung zum IT-System, um die Möglichkeit einer direkten IT-Prüfung.

Bisher musste der Cloud-Anbieter vor einer Prüfung eigenständig eine Systembeschreibung erstellen und vorlegen. Mit dem C5:2020 gibt es nun auch die Möglichkeit der direkten Prüfung, bei der der Prüfer eine vergleichbare Beschreibung während des Prüfvorganges erstellt. Dieses Vorgehen ist laut BSI insbesondere für Cloud-Anbieter geeignet, die ihre dienstleistungsbezogenen internen Kontrollsysteme noch nicht ausreichend detailliert dargestellt haben.

3 Neues Kapitel "Produktsicherheit"

Neu ist wie erwähnt ein Kapitel über Produktsicherheit. Dieses enthält Basis- und Zusatzkriterien, korrespondierende Kriterien für Kunden sowie ergänzende Informationen.

  • Leitlinien und Empfehlungen für Cloud-Kunden: Der Cloud-Anbieter macht Cloud-Kunden Leitlinien und Empfehlungen zugänglich.
  • Identifikation von Schwachstellen des Cloud-Dienstes: Die Verfahren sind Bestandteil des Softwareentwicklungsprozesses und umfassen unter anderem folgende Aktivitäten: Statische und dynamische Code-Analyse, Code Reviews durch qualifiziertes Personal des Cloud-Anbieters.
  • Online-Register bekannter Schwachstellen: Der Cloud-Anbieter betreibt oder verweist auf ein tagesaktuell gepflegtes Online-Register bekannter Schwachstellen. Die Verfahren zur Identifikation solcher Schwachstellen umfassen darüber hinaus jährliche Code-Reviews oder Penetration-Tests durch qualifizierte externe Dritte.
  • Fehlerbehandlungs- und Protokollierungsmechanismen: Damit können Cloud-Kunden Informationen über den Sicherheitsstatus der Cloud-Dienste sowie die von ihm bereitgestellten Daten, Dienste oder Funktionen abrufen.
  • Authentisierungsmechanismen: Diese Aut...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge