BSI Anforderungskatalog Cloud Computing (C5)

Compliance für die Cloud mit BSI C5

| Autor / Redakteur: Gerald Boyne / Peter Schmitz

Mit C5 legt das BSI Prüfkriterien vor, die sämtliche kritischen Aspekte zum Thema IT-Sicherheit in der Cloud abdecken. Mit dem C5-Testat des BSI bekommen Anbieter wie AWS und deren Kunden mehr Sicherheit in die Cloud.
Mit C5 legt das BSI Prüfkriterien vor, die sämtliche kritischen Aspekte zum Thema IT-Sicherheit in der Cloud abdecken. Mit dem C5-Testat des BSI bekommen Anbieter wie AWS und deren Kunden mehr Sicherheit in die Cloud. (Bild: Amazon, Vogel IT-Medien)

Geht es um die Cloud, ist das Pflichtenheft so lang wie bei kaum einem anderen IT-Bereich. Mit dem Anforderungskatalog C5 adressiert das BSI (Bundesamt für Sicherheit in der Informationstechnologie) die großen Themen, von der Administrationsebene bis zur Zugriffskontrolle. C5 steht für Cloud Computing Compliance Controls Catalogue und richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und natürlich auch die Kunden.

Der BSI Anforderungskatalog Cloud Computing (auf Englisch Cloud Computing Compliance Controls Catalogue, kurz C5) enthält zwar prüfbare Anforderungen, schreibt aber nicht vor, mit welchen konkreten Maßnahmen diese zu erreichen sind. Damit unterscheidet er sich grundlegend vom Aufbau der IT-Grundschutz-Kataloge, die konkrete Schritte zur Umsetzung beinhalten. Letztlich ist es mit C5 für Cloud-Anbieter also einfacher, die ständig wandelnden IT-Bedrohungen mit jeweils aktuellen Verfahren und Tools anzugehen. Kunden wiederum können sich auf die Erfüllung sämtlicher Anforderungen verlassen und bekommen zugleich eine Übersicht sämtlicher relevanter Aspekte, denn ein solches, von einem Wirtschaftsprüfer ausgestellte Testat, ist von der Verbindlichkeit vergleichbar zu einem Jahresabschlussbericht.

Als erster Cloud-Provider hat Amazon Web Services (AWS) erfolgreich das C5-Testat erhalten. Es bezieht sich auf die aktuell in der AWS Region Frankfurt genutzte Infrastruktur und sämtliche dort verfügbaren Dienste. In Kombination mit den bereits durch AWS angebotenen Sicherheitsprogrammen liefert das C5-Testat zusätzlich das regulatorisch definierte IT-Sicherheitsniveau für Cloud-Dienste. Es ist vergleichbar mit dem auf ISO 27001 basierten IT-Grundschutz.

C5-Anforderungskatalog deckt alle Themen ab

Konkret besteht der Anforderungskatalog aus 114 Anforderungen in 17 thematischen Bereichen. Dazu gehören Themen wie das Asset Management, die physische Kontrolle des Rechenzentrums, Anforderungen an das Personal, das Identitäts- und Berechtigungsmanagement, das Schlüsselmanagement, Fragen der Portabilität und Interoperabilität, die Steuerung von Lieferanten und Dienstleistern, das Notfallmanagement sowie viele weitere Punkte, die für die Cloud-Sicherheit essentiell sind.

Dabei werden in Tabellenform jeweils die Basisanforderungen beschrieben, ergänzt um Informationen zu optionalen und weitergehenden Anforderungen sowie einer dritten Sektion mit zusätzlichen Informationen. Ganz bewusst bezieht sich das BSI auf anerkannte Sicherheitsstandards wie ISO/IEC 27001, ANSSI Référentiel secure cloud v. 2.0, AICPA - Trust Service Principles Criteria 2014, IDW ERS FAIT 5 (Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing) und die Cloud Controls Matrix (CSA CCM 3.01) der Cloud Security Alliance. Die umfangreichen Anforderungen dieser Standards flossen in C5 ein und wurden um Anforderungen aus BSI-eigenen Veröffentlichungen ergänzt. Das BSI befand es für notwendig, etablierte Anforderungen weiter zu konkretisieren oder aber diese komplett neu zu erstellen. Insbesondere zu den Themen Vertraulichkeit und Verfügbarkeit brachte die Behörde viele weitere Aspekte in das Testat ein.

Umfeldparameter für zusätzliche Sicherheit

Eine Besonderheit von C5 sind die so genannten Umfeldparameter. Jenseits der reinen Sicherheitsthematik werden dort wichtige Fragen adressiert. Der erste von insgesamt vier Punkten ist eine umfassende Systembeschreibung. Neben einer Erklärung von Infrastruktur-, Netzwerk- und Systemkomponenten soll der Anbieter auch Prozesse und Zuständigkeiten dokumentieren und offenlegen. Wichtig war dem BSI dabei, dass Kunden für ihr Sicherheitsmanagement den notwendigen Überblick erhalten, ohne dass jedoch die Sicherheit des Anbieters durch die Offenlegung gefährdet wird.

Der zweite Umfeldparameter betrifft die Gerichtsbarkeit und die Orte der Datenspeicherung, -verarbeitung und -sicherung. Gerade dieser Punkt hat in den vergangenen Jahren immer wieder zu großen Irritationen geführt – etwa wenn Daten letztlich doch außerhalb der deutschen oder europäischen Gerichtsbarkeit vorgehalten wurden. Hier schreibt C5 sogar ausdrücklich vor, dass Daten des Cloud-Kunden nur dann außerhalb der vertraglich vereinbarten Lokationen lagern dürfen, wenn dieser seine explizite, schriftliche Zustimmung gegeben hat.

Ähnliches gilt für die Debatte um Offenbarungs- und Ermittlungsbefugnisse staatlicher Stellen. Im dritten Umfeldparameter geht es darum, wer etwa im Fall von staatlichen Ermittlungen Zugriff auf Daten des Cloud-Kunden bekommen darf.

Im vierten und letzten Umfeldparameter werden Zertifizierungen behandelt. Indem der Cloud-Anbieter allgemein anerkannte Zertifizierungen vorweisen kann, ist es für den Kunden leichter, das gebotene Sicherheitsniveau zu beurteilen. Konkret nennt hier das BSI die Zertifikate nach ISO/IEC27001, ISO22301, von den zuständigen Datenschutzbehörden akzeptierte Nachweise über die Einhaltung des Datenschutzes, Prüfberichte nach ISAE 3402/SSAE16-SOC 1/IDW PS 951 sowie Softwarebescheinigungen nach IDW PS 880.

Der tatsächliche Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und dass die Aussagen zur Transparenz korrekt sind, erfolgt durch einen SOC-2-Bericht. Dabei handelt es sich um ein internationales Framework des amerikanischen Instituts für Wirtschaftsprüfer (AICPA). Nach diesem Standard werden weltweit Prüfungen auf unterschiedlichen Gebieten durchgeführt. Er basiert auf dem Testierungsregime der ISAE 3000, das von Wirtschaftsprüfern verwendet wird. Da die Wirtschaftsprüfer ohnehin bei der Prüfung des Jahresabschlusses vor Ort sind, können viele Bereiche der C5-Auditierung bereits hier abgedeckt werden.

C5 des BSI liefert eine allumfassende Betrachtung der Cloud-Sicherheit. Wenn ein Cloud Service Provider die 114 Anforderungen und fünf Umfeldparameter nachweislich umgesetzt hat, der Cloud Kunde dieses Testat in Form des C5 Berichtes eingesehen hat, hat der Kunde seiner Sorgfaltspflicht genüge getan. Diskussionen mit den internen Sicherheits- und Compliance-Beauftragten werden deutlich erleichtert.

* Gerald Boyne ist Head of Security Assurance bei der Amazon Web Services Germany GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44595179 / Cloud und Virtualisierung)