EuroCloud: BSI hat den C5 Anforderungs-Katalog Cloud Computing aktualisiert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat heute den Cloud Computing Compliance Criteria Catalogue (C5) in einer neuen Endversion C5:2020 in Frankfurt am Main vorgestellt. Die Aktualisierungen umfassen sowohl die formalen Regelungen als auch insbesondere die Kriterien, die an den aktuellen Stand der Technik angepasst wurden.

“Mit der Aktualisierung bestätigt das BSI, dass sich C5 bei der Prüfung von Cloud Diensten bewährt hat”, erläutert EuroCloud Direktor Andreas Weiss. “Inzwischen ist der C5 auch international etabliert und wird weltweit zum Nachweis von Sicherheit von Cloud-Diensten verwendet.” Drei Jahre lang haben Cloud-Anbieter, Kunden und Prüfer Erfahrung sammeln können. Um diese Erfolgsgeschichte fortzusetzen, wurde der C5 in diesem Jahr einer Revision unterzogen, da Cloud-Techniken schnellen Innovationen unterworfen sind.

Grundlage für die Informationssicherheit von Cloud-Diensten

Den Kriterienkatalog hatte das BSI 2016 veröffentlicht, um eine Basislinie für die Informationssicherheit von Cloud-Diensten zu definieren. Inzwischen wird der C5 besonders von Hyperscalern wie AWS, Microsoft oder Google zum Nachweis von Sicherheit von Cloud-Diensten verwendet. In die Überarbeitung flossen die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern ein. Kernpunkte der Überarbeitung sind unter anderem die neue Domäne Produktsicherheit, womit die Regelungen des EU Cyber Security Acts adressiert werden, und die Berücksichtigung von DevOps. Besonders zu erwähnen sind auch die technischen und organisatorischen Anforderungen der DSGVO und die zunehmend notwendige erweiterte Risikobetrachtung beim Einsatz von Cloud Diensten.

Zertifizierungen gemäß DSGVO aktuell noch nicht möglich

Es ist weiterhin vorgesehen, dass die Testierung nach C5 gemäß C5:2020 qualifizierten Wirtschaftsprüfungsgesellschaften vorbehalten ist. “Auf Grund der Kostenstruktur ist eine breite Anwendbarkeit zurzeit nicht erkennbar. Ob das Verfahren nun auch für mittelständische Cloud-Anbieter anwendbar wird, bleibt abzuwarten”, gibt Andreas Weiss zu bedenken. Einschränkend wirkt zudem die Tatsache, dass das Verfahren nach ISAE 3000 derzeit nicht akkreditiert ist und beispielsweise Zertifizierungen gemäß DSGVO damit nicht möglich sind. Dennoch ist der Prüfkatalog eine wichtige Referenz für aktuelle Projekte, beispielsweise das derzeit in Arbeit befindliche DSGVO-Zertifizierungsverfahren AUDITOR.

Diese Kompetenz wird nun auch in die Prüfverfahren für die Cloud Dienste im GAIA-X Ökosystem Berücksichtigung finden. Das Kompetenznetzwerk Trusted Cloud hat hier die Aufgabe, angemessene Prüf- und Anerkennungsverfahren für das Onboarding von Anbietern und Diensten für GAIA-X zu koordinieren.

EuroCloud Deutschland_eco e. V.: Verband der Cloud-Computing-Wirtschaft

EuroCloud Deutschland ist der Verband der deutschen Cloud-Computing-Wirtschaft und repräsentiert diese im paneuropäischen Netzwerk EuroCloud. EuroCloud Deutschland setzt sich für Akzeptanz und bedarfsgerechte Bereitstellung von Cloud Services am deutschen Markt ein. Dabei steht der Verein in ständigem Dialog mit den europäischen Partnern des EuroCloud-Netzwerks, um globale Lösungen zu finden und den Boden für internationale Geschäftsbeziehungen zu bereiten. EuroCloud Deutschland wurde im Dezember 2009 gegründet und ist dem eco – Verband der Internetwirtschaft e. V. angegliedert.