Sicherheit in der Cloud

Cloud Zertifikate - Was sind C5 und TCDP?

| Autor: Elke Witmer-Goßner

An Cloud-Dienste verliehene Zertifikate oder Testate stehen für die Erfüllung gewisser Standards wie Datensicherheit und Datenschutz.
An Cloud-Dienste verliehene Zertifikate oder Testate stehen für die Erfüllung gewisser Standards wie Datensicherheit und Datenschutz. (Bild: © scottchan - stock.adobe.com)

Mit dem passenden Zertifikat oder Testat können sich Cloud-Nutzer und -Anbieter in Deutschland rechtlich absichern: Anbieter können nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben und Nutzer kommen ihrer Sorgfaltspflicht nach.

Zu den üblichen Prüfstandards bzw. Zertifikat gehören zum einen der Anforderungskatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik sowie das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie. Doch was bedeuten C5 und TCDP eigentlich, worin unterscheiden sich die beiden Standards und welches Zertifikat bzw. Testat ist am Ende das richtige für den Cloud-Nutzer?

Mit dem Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue) zur Beurteilung der Informationssicherheit von Cloud-Diensten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Richtlinie für ein Mindestmaß an Sicherheit im Cloud Computing veröffentlicht. Aus der Perspektive des Datenschutzes wurde das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie (BMWi) entwickelt.

Unterschiede und Gemeinsamkeiten

Das Förderprogramm Trusted Cloud des BMWi und der daraus hervorgegangene Datenschutz-Prüfstandard TCDP richtet sich an Cloud-Anbieter sowie an Cloud-Nutzer. Cloud-Anbieter können damit ihren Nutzern gegenüber Datenschutzkonformität nachweisen, während die Cloud-Nutzer den datenschutzrechtlichen Stand eines Dienstes transparent einschätzen können. Das TCDP enthält neben Aspekten des Datenschutzes und der Datensicherheit auch Qualitäts- und Transparenzkriterien und geht darüber hinaus auf die Vertragsgestaltung ein.

Der Anforderungskatalog C5 richtet sich in erster Linie an Cloud-Anbieter. Der C5 befasst sich fast ausschließlich mit Maßnahmen zum Schutz der Informationssicherheit und Transparenz. In diesem Bereich ist der Anforderungskatalog detaillierter als das TCDP. In Abgrenzung zum TCDP, so erklärt das BSI online, erfordert ein C5-Testat aufwändigere Prüfungen als das Trusted Cloud Datenschutzprofil. Dies liege daran, weil das C5 eine Vorgehensweise nach den Prozessen der Wirtschaftsprüfer, nicht der von ISO-Prüfern verlangt.

Eine Frage der Perspektive

Mit einem Testat nach C5 bzw. einem Zertifikat nach TCDP kann der Kunde jeweils die Erfüllung seiner gesetzlich vorgeschriebenen Sorgfaltspflicht für die Wahl eines geeigneten Dienstes nachweisen. Ein Testat nach C5 bezieht sich dann explizit auf die Datensicherheit. Ein Zertifikat nach TCDP bezieht sich auf den Datenschutz als Ganzes. Datensicherheit ist ein notwendiger Bestandteil des Datenschutzes. IT-Sicherheitsexperte und CTO von Uniscon, Dr. Hubert Jäger, erklärt den Sachverhalt genauer: „Wenn beispielsweise durch ein TCDP-Zertifikat klar ist, dass ein Cloud-Dienst die Anforderungen des Datenschutzes entsprechend dem konkreten Schutzbedarf erfüllt, so trifft das theoretisch auch auf die Anforderungen bezüglich der Datensicherheit zu. Inwiefern ein solcher Dienst tatsächlich den Anforderungen des TCDP und auch des C5 genügt, zeigen dann oft nur Prüfungen, die den Detaillierungsgrad des C5 zu Grunde legen.“ Daher gibt Dr. Jäger zu bedenken, dass der BSI-Katalog lediglich ein Mindestmaß für die Informationssicherheit unabhängig vom konkreten Schutzbedarf festlege. Das TCDP müsse aus diesem Grund im Rahmen der Europäisierung für die Datenschutzgrundverordnung erweitert werden: „Ein Aspekt werden die neuen Rechenschaftspflichten sein, zum Beispiel der Nachweis, ob der Stand der Technik für die Informationssicherheit tatsächlich zum Einsatz kommt“, so Dr. Jäger.

C5 zusätzlich zu TCDP nutzen

Trotz der leicht unterschiedlichen Ausrichtung gibt es inhaltliche Gemeinsamkeiten zwischen C5 und TCDP: So werden viele Anforderungen des TCDP, vor allem technische, vom C5 automatisch mit abgedeckt und dabei oft detaillierter formuliert. Anforderungen, die sich auf vertragliche und nicht-technische Fragen des Datenschutzrechts beziehen, sowie eine Differenzierung nach Schutzklassen, finden sich dann wieder im C5 nicht. Der C5 ergänzt also das TCDP, da sich die Cloud-Nutzer auf eine größere Prüftiefe verlassen können, wenn zusätzlich zu einem TCDP-Zertifikat ein C5-Testat vorliegt.

Welches Prüfsiegel macht eine Cloud wirklich sicher?

Orientierung im Schilderwald

Welches Prüfsiegel macht eine Cloud wirklich sicher?

20.11.17 - Cloud Security – das Thema hat unter IT-Experten aktuell Hochkonjunktur. Mit gutem Grund, denn spektakuläre Cyberattacken auf Dienste wie Twitter, Yahoo, Soundcloud und Co. lassen keinen Zweifel an der Brisanz zu. Grund genug für einen Überblick: Welche Prüfsiegel für Cloud-Dienste gibt es überhaupt? Welches Siegel hält, was es verspricht? Wie gelingt eine sichere Verarbeitung der Daten? lesen

Wie man einen zuverlässigen Cloud-Anbieter erkennt

Cloud-Zertifikate: Stochern im Nebel

Wie man einen zuverlässigen Cloud-Anbieter erkennt

18.09.17 - Beim Wochenendeinkauf sind wir es gewohnt, auf Gütesiegel zu achten: Wir kaufen nur Fairtrade-Kaffee, Spielzeug mit dem GS-Zeichen und Wandfarbe, auf der der Blaue Engel prangt. Richtig nebulös wird es aber bei der Suche nach zertifizierten Cloud-Anbietern. Welches der zahlreichen Gütesiegel und Zertifikate steht wofür, welches passt für die eigenen Ansprüche – und welches ist vertrauenswürdig? lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45083707 / Cloud und Virtualisierung)