Im Januar 2020 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die finale Version des Anforderungskatalogs „Sicherheit für Cloud Computing“ bzw. „Cloud Computing Compliance Criteria Catalogue“ (C5). Der Katalog berücksichtigt nun die aktuellste Gesetzeslage sowie Rückmeldungen aus der Praxis.
2016 war der Anforderungskatalog C5 vom Beratungsunternehmen PWC im Auftrag des BSI erstmals entwickelt worden. Der Anforderungskatalog C5 richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Er legt fest, welche Anforderungen die Cloud-Anbieter erfüllen müssen und orientiert sich dabei an etablierten Prüfschemen, Richtlinien und Best Practices. Im Herbst 2019 hatte das BSI eine grundlegende Überarbeitung vorgestellt und als „Community Draft“ zur Kommentierung auf seiner Website frei gegeben. Im Januar wurde die finale Version veröffentlicht.
Der neue Anforderungskatalog C5:2020
Erhebliche Neuerungen gibt es in der revidierten Version des C5-Anforderungskatalogs zu den Themen Schwachstellen-Management, Netzsicherheit, Kryptografie und Physische Sicherheit. Auch wurden die formalen Regelungen sowie Kriterien des C5 an den aktuellen Stand der Technik angepasst.
Des Weiteren gibt es folgende neue Aspekte:
EU Cyber Security Act: Die neuen Bestimmungen des „EU Cyber Security Act“ an die Produktsicherheit von Cyberprodukten wurden in den Prüfkatalog aufgenommen. Beispielsweise sollen Cloud-Anbieter Leitfäden zur sicheren Konfiguration des Dienstes bereitstellen. Auch müssen sie darlegen können, wie sie mit Beschlüssen staatlicher Stellen zur Herausgabe von Daten umgehen.
Geteilte Verantwortung: Der neue C5-Anforderungskatalog adressiert die geteilte Verantwortung für Sicherheit im Cloud Computing, indem es die korrespondierende Kontrolle von Sicherheitsmaßnahmen auf der Seite des Kunden anspricht.
Direkte Prüfung: Bisher musste der Cloud-Anbieter vor einer Prüfung eigenständig eine Systembeschreibung erstellen und vorlegen. Diese umfasst eine formale Beschreibung der eigenen Umgebung zusammen mit den ergriffenen Maßnahmen. Mit dem neuesten C5-Anforderungskatalog kann nun auch direkt geprüft werden. Das bedeutet, dass der Prüfer eine vergleichbare Beschreibung während des Prüfvorganges erstellt. Die direkte Prüfung ist aus Sicht des BSI insbesondere für Cloud-Anbieter geeignet, die ihre vollständige Beschreibung des dienstleistungsbezogenen internen Kontrollsystems noch nicht abgeschlossen beziehungsweise ausreichend detailliert dargestellt haben. Damit sollen insbesondere kleinere Cloud-Anbieter bei gleichem Sicherheitsniveau mit weniger Aufwand ein C5-Testat erlangen können.
Anwendungswissen: In die revidierte Version flossen die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern ein.
EU-weiter Standard
„Der C5 wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet“, weiß BSI-Präsident Arne Schönbohm. Laut BSI wurden auf Basis des C5-Kriterienkatalogs bereits mehr als ein Dutzend Testate für nationale, europäische und weltweite Cloud-Anbieter sowie eine breite Palette an Cloud-Diensten erstellt. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Er basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.
