Sichere Cloud: Wirksamkeit des BSI C5 bestätigt

plusserver erhielt den BSI-C5-/ISAE-3402-Wirksamkeitsbericht (Typ-II). Damit ist von unabhängiger Seite bestätigt, dass Kundendaten hier sicher sind.

• Was wurde geprüft?
• Warum gibt es zwei Audits?
• Was bedeutet das für unsere Kunden?

Der Umgang mit Daten und das Informationssicherheitsniveau eines Cloud-Anbieters gehört zu den wichtigsten Kriterien bei der Auslagerung von Daten und Unternehmensprozessen. Daher freuen wir uns sehr, dass plusserver nun das Typ-II-Testat sowohl für BSI C5 als auch ISAE 3402 erhalten hat. Dies bestätigt nicht nur die Erfüllung der jeweiligen Kriterien, sondern die tatsächliche Wirksamkeit.

Was wurde geprüft?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert in seinem C5-Kriterienkatalog (Cloud Computing Compliance Controls Catalogue) die Mindestanforderungen für sicheres Cloud Computing. Anhand dieses Katalogs können Unternehmen nachweisen, dass sie ein definiertes Sicherheitsniveau erreichen, um beispielsweise im Falle eines Cyberangriffs die Gefährdung der Betriebssicherheit zu reduzieren.   
Dienstleister, die rechnungslegungsbezogene Geschäftsprozesse und IT-gestützte Services erbringen, bescheinigen ihren Kunden mit einem ISAE-3402-Bericht, dass sie über ein wirksames internes Kontrollsystem für die ausgelagerten Prozesse verfügen.

Warum gibt es zwei Audits?

Im Rahmen des Audits „Typ-I Angemessenheit“ wird geprüft, ob ein Cloud-Anbieter die jeweiligen Kriterien grundlegend erfüllt. Auf dieser Basis kann in einem weiteren Audit zu einem späteren Zeitpunkt ermittelt werden, ob die Kriterien in der Vergangenheit durchgängig erfüllt waren („Typ-II Wirksamkeit“). Die Audits werden jeweils durch unabhängige Wirtschaftsprüfer durchgeführt.
Mit dem ISAE-3402 -/BSI-C5-Wirksamkeitsbericht (Typ-II), den plusserver im Februar erhielt, ist die Wirksamkeit der Maßnahmen und Kontrollen aus den Angemessenheitsberichten (Typ-I) über einen Zeitraum (1.4. bis 30.9.2022) bestätigt. Diese Wirksamkeitsprüfung wird nun in regelmäßigen Abständen wiederholt.

Was bedeutet das für unsere Kunden?

Bestehende sowie potenzielle Kunden können den C5-Prüfbericht bei plusserver kostenfrei herunterladen oder anfordern. Für Neukunden bietet er eine Orientierung bei der Auswahl des passenden Cloud-Anbieters und beantwortet die zentrale Frage: Sind unsere Daten hier sicher? Schließlich muss ein Cloud-Kunde im Falle eines Informationssicherheitsvorfalls verbleibende Restrisiken tragen und im Eintrittsfall verantworten. 
Für bestehende Kunden dient der Wirksamkeitsbericht unter anderem dazu, ein lückenloses Sicherheitskonzept über die komplette Supply Chain hinweg nachzuweisen. Diese Anforderung muss in vielen Unternehmen, die mit kritischen Daten umgehen, im öffentlichen Sektor sowie bei Banken und Versicherungen erfüllt werden. Liefert der Cloud-Provider keinen solchen Bericht, muss der Kunde eigene Audits durchführen.

Über unseren Experten

Falko Stetter ist Director IT Security & Processes bei plusserver und durch den TÜV Rheinland als Informationssicherheitsbeauftragter und Security Manager zertifiziert. Er ist seit 15 Jahren im Unternehmen, davon 8 Jahre im Bereich der Informationssicherheit.