Regula Heinzelmann
Regula Heinzelmann
Rechtsberatung
C5: Kriterienkatalog für Cloud Computing
Bild: Corbis BSI veröffentlicht neuen C5:2020.

Das Bundesamt für Sicherheit in der Informationstechnik hat den neuen Kriterienkatalog C5 veröffentlicht, der zahlreiche Änderungen und ein neues Kapitel zur Produktsicherheit enthält.

Kriterienkatalog für Cloud-Dienstleister, deren Prüfer und Kunden

Der "Cloud Computing Compliance Criteria Catalogue" (C5), wie der englische Name neu lautet, richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Er wurde 2016 erstmals publiziert und 2019 aktualisiert, wobei Produktsicherheit eines der Schwerpunktthemen ist.

Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss. Der deutsche Name wurde von Anforderungskatalog zu Kriterienkatalog geändert.

C5 setzt Anforderungen des EUCA um

Der EU Cybersecurity Act (EUCA) beschreibt Anforderungen an IT-Produkte und -Dienste, die nach einem EUCA-konformen Verfahren zertifiziert sind. Diese Anforderungen sind in den C5:2020 eingeflossen und wurden im neuen Kapitel 6.17 „Produktsicherheit“ zusammengefasst. Es umfasst 12 Bereiche, u. a.

  • Leitlinien und Empfehlungen für Cloud-Kunden: Der Cloud-Anbieter macht Cloud-Kunden Leitlinien und Empfehlungen zugänglich.
  • Identifikation von Schwachstellen des Cloud-Dienstes: Die Verfahren sind Bestandteil des Softwareentwicklungsprozesses und umfassen unter anderem folgende Aktivitäten: Statische und dynamische Code-Analyse, Code Reviews durch qualifiziertes Personal des Cloud-Anbieters.
  • Vertraulichkeit von Authentisierungsinformationen: Beim Erstellen von Passwörtern wird das Einhalten der Anforderungen des Cloud-Anbieters (vgl. IDM-09) oder des Cloud-Kunden an Länge und Komplexität technisch erzwungen. Der Stand der Technik bezüglich kryptographisch starker Hash-Funktion ist in der jeweils aktuellen Fassung der Technischen Richtlinie TR-02102-1 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ des BSI festgelegt.
  • Rollen- und Rechtekonzept: Der Cloud-Anbieter macht Cloud-Kunden ein Rollen- und Rechtekonzept zum Verwalten von Zugangs- und Zugriffsberechtigungen zugänglich. Sie ermöglichen den Cloud-Kunden eine Verwaltung der Zugangs- und Zugriffsberechtigungen gemäß des Prinzips der geringsten Berechtigung („Least-Privilege-Prinzip“) sowie des Prinzips der Kenntnis bei Bedarf („Need-to-Know-Prinzip“) und gemäß dem Grundsatz der Funktionstrennung zwischen operativen und kontrollierenden Funktionen („Separation of Duties“).
  • Autorisierungsmechanismen: Der Zugriff auf die vom Cloud-Dienst bereitgestellten Funktionen wird durch Zugriffskontrollen (Autorisierungsmechanismen) eingeschränkt, die überprüfen, ob Benutzer, IT-Komponenten oder Anwendungen zur Durchführung bestimmter Aktionen berechtigt sind.

Cloud-Nutzer hat „korrespondierende Kriterien“ zu erfüllen

Bei der sicheren Nutzung von Cloud-Diensten spielt die Schnittstelle zwischen Cloud-Anbieter und Cloud-Nutzer eine wichtige Rolle. Der C5:2020 führt „korrespondierende Kriterien“ ein, die der Cloud-Kunde an der Schnittstelle zum Cloud-Dienst zu erfüllen hat.

Weitere Aktualisierungen im C5:2020


  • Aktualisierung der Kriterien hinsichtlich neuer Konzepte, z. B. „DevOps“, also dem Zusammenwachsen von Entwicklung und Betrieb von IT-Systemen.
  • Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste um produktspezifische Aspekte der Informationssicherheit, diese sind aus dem European Cybersecurity Act abgeleitet.
  • Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste um Aspekte, die den Umgang des Cloud-Anbieters mit Ermittlungsanfragen staatlicher Stellen betreffen.
  • Aufnahme korrespondierender Kriterien für Cloud-Kunden. Diese dienen dazu, aufzuzeigen, an welchen Stellen Cloud-Kunden eigene Maßnahmen entwickeln müssen, um die Sicherheit des Cloud-Dienstes zu gewährleisten.
  • Aufnahme ergänzender Hinweise und Informationen zum besseren Verständnis der Kriterien sowie zu deren kontinuierlicher Prüfung.
  • Ergänzung des bisherigen Prüfungsverfahrens der Prüfung einer Erklärung zum IT-System, um die Möglichkeit einer direkten IT-Prüfung. Bisher musste der Cloud-Anbieter vor einer Prüfung eigenständig eine Systembeschreibung erstellen und vorlegen. Mit dem C5:2020 gibt es nun auch die Möglichkeit der direkten Prüfung, bei der der Prüfer eine vergleichbare Beschreibung während des Prüfvorganges erstellt. Dieses Vorgehen ist laut BSI insbesondere für Cloud-Anbieter geeignet, die ihre dienstleistungsbezogenen internen Kontrollsysteme noch nicht ausreichend detailliert dargestellt haben.

Nachweis der Einhaltung der Anforderungen des C5

Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch den Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Viele nationale und internationale, kleine und große Cloud-Anbieter haben seit der ersten Publikation 2016 ein C5-Testat erhalten, und auch außerhalb des öffentlichen Sektors interessieren sich viele Cloud-Kunden für die Bewertung ihrer Dienstleister.


Haufe Online Redaktion
Schlagworte zum Thema:  IT-Sicherheit
Meistgelesene beiträge
Neueste beiträge