Seit seiner Veröffentlichung 2016 hat sich der „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum etablierten und vielfach national wie international umgesetzten Standard der Cloud-Sicherheit entwickelt. Da Cloud-Techniken schnellen Innovationen unterworfen sind, hat das BSI den C5 nun einer umfassenden Revision unterzogen und neu aufgelegt.
Die Aktualisierungen des C5-Kriterienkatalogs umfassen sowohl die formalen Regelungen als auch die Kriterien des C5, die an den aktuellen Stand der Technik angepasst wurden. Dabei sind die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern in die Revision eingeflossen. Kernpunkte der Überarbeitung sind unter anderem die neue Domäne Produktsicherheit, womit die Regelungen des EU Cyber Security Acts adressiert werden, und die Berücksichtigung von DevOps. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet. Besonders zu erwähnen sind auch die technischen und organisatorischen Anforderungen der DSGVO und die zunehmend notwendige erweiterte Risikobetrachtung beim Einsatz von Cloud-Diensten.
Der „Cloud Computing Compliance Criteria Catalogue“ (C5) richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.
Download der aktuellen Version
Der Kriterienkatalog Cloud Computing in der aktuellen Version C5:2020 steht auf der Website des BSI zum Download zur Verfügung.
Keine breite Anwendbarkeit im Mittelstand
Der Branchenverband EuroCloud Deutschland_eco e.V. ist mit den Überarbeitungen nicht ganz zufrieden. So sei weiterhin vorgesehen, dass die Testierung nach C5 gemäß C5:2020 qualifizierten Wirtschaftsprüfungsgesellschaften vorbehalten ist. „Aufgrund der Kostenstruktur ist eine breite Anwendbarkeit zurzeit nicht erkennbar. Ob das Verfahren nun auch für mittelständische Cloud-Anbieter anwendbar wird, bleibt abzuwarten“, gibt EuroCloud-Direktor Andreas Weiss zu bedenken. Einschränkend wirke zudem die Tatsache, dass das Verfahren nach ISAE 3000 derzeit nicht akkreditiert ist und beispielsweise Zertifizierungen gemäß DSGVO damit nicht möglich seien. Dennoch sei der Prüfkatalog eine wichtige Referenz für aktuelle Projekte, beispielsweise das derzeit in Arbeit befindliche DSGVO Zertifizierungsverfahren AUDITOR.
Special „Rechtssicheres Cloud Computing“
Sicherheit hat viele Facetten, dies gilt auch und insbesondere beim Cloud Computing. Vielen Unternehmen fehlt es an Vertrauen, wenn es darum geht, Daten, Anwendungen und Teile der eigenen IT-Infrastruktur an einen externen Provider auszulagern. Im Special finden Sie nützliche Informationen rund um die Themen Rechtssicherheit, dazu Lösungsansätze, Standards und Initiativen aus der Industrie.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.