Suchen

Sicherheit in der Cloud Cloud Zertifikate - Was sind C5 und TCDP?

Autor: Elke Witmer-Goßner

Mit dem passenden Zertifikat oder Testat können sich Cloud-Nutzer und -Anbieter in Deutschland rechtlich absichern: Anbieter können nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben und Nutzer kommen ihrer Sorgfaltspflicht nach.

Firma zum Thema

An Cloud-Dienste verliehene Zertifikate oder Testate stehen für die Erfüllung gewisser Standards wie Datensicherheit und Datenschutz.
An Cloud-Dienste verliehene Zertifikate oder Testate stehen für die Erfüllung gewisser Standards wie Datensicherheit und Datenschutz.
(Bild: © scottchan - stock.adobe.com)

Zu den üblichen Prüfstandards bzw. Zertifikat gehören zum einen der Anforderungskatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik sowie das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie. Doch was bedeuten C5 und TCDP eigentlich, worin unterscheiden sich die beiden Standards und welches Zertifikat bzw. Testat ist am Ende das richtige für den Cloud-Nutzer?

Mit dem Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue) zur Beurteilung der Informationssicherheit von Cloud-Diensten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Richtlinie für ein Mindestmaß an Sicherheit im Cloud Computing veröffentlicht. Aus der Perspektive des Datenschutzes wurde das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie (BMWi) entwickelt.

Unterschiede und Gemeinsamkeiten

Das Förderprogramm Trusted Cloud des BMWi und der daraus hervorgegangene Datenschutz-Prüfstandard TCDP richtet sich an Cloud-Anbieter sowie an Cloud-Nutzer. Cloud-Anbieter können damit ihren Nutzern gegenüber Datenschutzkonformität nachweisen, während die Cloud-Nutzer den datenschutzrechtlichen Stand eines Dienstes transparent einschätzen können. Das TCDP enthält neben Aspekten des Datenschutzes und der Datensicherheit auch Qualitäts- und Transparenzkriterien und geht darüber hinaus auf die Vertragsgestaltung ein.

Der Anforderungskatalog C5 richtet sich in erster Linie an Cloud-Anbieter. Der C5 befasst sich fast ausschließlich mit Maßnahmen zum Schutz der Informationssicherheit und Transparenz. In diesem Bereich ist der Anforderungskatalog detaillierter als das TCDP. In Abgrenzung zum TCDP, so erklärt das BSI online, erfordert ein C5-Testat aufwändigere Prüfungen als das Trusted Cloud Datenschutzprofil. Dies liege daran, weil das C5 eine Vorgehensweise nach den Prozessen der Wirtschaftsprüfer, nicht der von ISO-Prüfern verlangt.

Eine Frage der Perspektive

Mit einem Testat nach C5 bzw. einem Zertifikat nach TCDP kann der Kunde jeweils die Erfüllung seiner gesetzlich vorgeschriebenen Sorgfaltspflicht für die Wahl eines geeigneten Dienstes nachweisen. Ein Testat nach C5 bezieht sich dann explizit auf die Datensicherheit. Ein Zertifikat nach TCDP bezieht sich auf den Datenschutz als Ganzes. Datensicherheit ist ein notwendiger Bestandteil des Datenschutzes. IT-Sicherheitsexperte und CTO von Uniscon, Dr. Hubert Jäger, erklärt den Sachverhalt genauer: „Wenn beispielsweise durch ein TCDP-Zertifikat klar ist, dass ein Cloud-Dienst die Anforderungen des Datenschutzes entsprechend dem konkreten Schutzbedarf erfüllt, so trifft das theoretisch auch auf die Anforderungen bezüglich der Datensicherheit zu. Inwiefern ein solcher Dienst tatsächlich den Anforderungen des TCDP und auch des C5 genügt, zeigen dann oft nur Prüfungen, die den Detaillierungsgrad des C5 zu Grunde legen.“ Daher gibt Dr. Jäger zu bedenken, dass der BSI-Katalog lediglich ein Mindestmaß für die Informationssicherheit unabhängig vom konkreten Schutzbedarf festlege. Das TCDP müsse aus diesem Grund im Rahmen der Europäisierung für die Datenschutzgrundverordnung erweitert werden: „Ein Aspekt werden die neuen Rechenschaftspflichten sein, zum Beispiel der Nachweis, ob der Stand der Technik für die Informationssicherheit tatsächlich zum Einsatz kommt“, so Dr. Jäger.

C5 zusätzlich zu TCDP nutzen

Trotz der leicht unterschiedlichen Ausrichtung gibt es inhaltliche Gemeinsamkeiten zwischen C5 und TCDP: So werden viele Anforderungen des TCDP, vor allem technische, vom C5 automatisch mit abgedeckt und dabei oft detaillierter formuliert. Anforderungen, die sich auf vertragliche und nicht-technische Fragen des Datenschutzrechts beziehen, sowie eine Differenzierung nach Schutzklassen, finden sich dann wieder im C5 nicht. Der C5 ergänzt also das TCDP, da sich die Cloud-Nutzer auf eine größere Prüftiefe verlassen können, wenn zusätzlich zu einem TCDP-Zertifikat ein C5-Testat vorliegt.

(ID:45083707)

Über den Autor

 Elke Witmer-Goßner

Elke Witmer-Goßner

Redakteurin, CloudComputing-Insider.de