Blog-Übersicht > > BSI Cloud Zertifizierung: Sichere Cloud mit Brief und Siegel

Eine unabhängige Zertifizierung sagt viel über die Sicherheit einer Cloud aus. Ein Beispiel dafür ist die C5-Cloud-Zertifizierung des BSI.

Die flexible Bereitstellung von Anwendungen und Ressourcen aus der Cloud gehört mittlerweile zum Alltag in Unternehmen. Laut Cloud-Monitor 2021 von Bitkom Research und KPMG nutzen inzwischen 82 Prozent der deutschen Unternehmen Rechenleistung oder Anwendungen aus der Cloud - im Vorjahr waren es „nur“ 76 Prozent. Kein Wunder. Schließlich können Firmen mit Hilfe der Cloud schnell und bedarfsgerecht auf neue Anforderungen reagieren, ihre Prozesse optimieren oder auch datenbasierte Geschäftsmodelle umsetzen.

DSGVO-konforme Cloud in deutschen Rechenzentren - jetzt kostenfrei testen ->

Sicherheit in der Cloud

Zwar zögern viele Unternehmen anfangs aus Sicherheitsbedenken, ihre Daten oder Anwendungen in die Cloud zu verlagern. Doch in den meisten Fällen erhöht die Cloud sogar die Sicherheit. Denn bei Cloud-Providern gehören IT-Sicherheit und Compliance zum Kerngeschäft. Sie investieren sehr viel Geld in die Absicherung ihrer Cloud-Umgebungen, setzen aktuelle Sicherheitstechnologien inklusive End-to-End-Verschlüsselung ein und beschäftigen ein großes Team mit IT-Experten, die ausschließlich Security-Maßnahmen umsetzen, prüfen und anpassen.

Bei kleinen und mittleren Unternehmen sieht das anders aus. Sie müssen sich fragen, ob sie mit ihrem internen IT-Personal zu den Kosten der Cloud-Lösung in der Lage wären, in ihren eigenen Rechenzentren selbst die Sicherheit für die Daten und Compliance gewährleisten könnten. Das ist meist nicht der Fall. Damit weisen Cloud-Lösungen in der Regel immer noch mehr Sicherheit auf als intern betriebene Rechenzentren - angesichts der steigenden Zahl an Cyberattacken ein zentraler Vorteil.

Cloud Zertifizierung als Auswahlkriterium

Bei der Wahl des richtigen Cloud-Providers sollten grundsätzlich alle wichtigen Parteien im Unternehmen am Tisch sitzen, sprich Geschäftsführung, Fachabteilungen, IT, die Beauftragten für Datenschutz und Informationssicherheit oder der Hausjurist. Erste Orientierung für die Minimalanforderungen bei Cloud-Security/-Compliance bieten etwa die Leitfäden des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Branchenverbands Bitkom.

Zentral für die Einschätzung des Sicherheitsniveaus eines Cloud-Anbieters ist eine Zertifizierung durch eine externe Stelle. Das Zertifikat belegt, dass der Provider Vorgaben an IT-Security und Informationssicherheit umsetzt und deren Einhaltung durch meist jährliche Re-Audits durch externe Prüfer nachgewiesen wird. So entsteht Vertrauen. Beispiele sind etwa die Zertifizierung gemäß der Norm ISO/IEC 27001 oder spezielle Cloud-Gütesiegel wie SaaS von EuroCloud, CSA STAR, TÜV Trust IT oder die C5-Cloud-Zertifizierung des BSI.

Die BSI Cloud Zertifizierung (C5)

C5-Siegel (keine offizielle Darstellung)

C5 steht für Cloud Computing Compliance Criteria Catalogue. Das BSI beschreibt mit diesem Kriterienkatalog Mindestanforderungen an die Informationssicherheit für Cloud-Dienste, die nicht unterschritten werden sollten. Er richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer/Auditoren und Kunden. Informationssicherheit umfasst drei wesentliche Schutzziele:

Verfügbarkeit: Alle Informationen stehen innerhalb eines vereinbarten Zeitrahmens zur Verfügung.
Vertraulichkeit: Schutz von Informationen vor unbefugtem Zugriff.
Integrität: Schutz von Information vor unbefugter Modifikation (inkl. Erzeugung und Löschung).

Ziel der C5-Cloud-Zertifizierung des BSI ist die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung. Cloud-Anbieter können die C5-Kriterien umsetzen, um die IT-Sicherheit ihrer Cloud-Dienste zu erhöhen und sich damit einen Wettbewerbsvorteil zu verschaffen.

Beim Audit wird geprüft, ob der Cloud-Anbieter die Kriterien des C5 derzeit erfüllt (Prüfungstyp 1 Angemessenheit) oder auch, ob diese in der Vergangenheit durchgängig erfüllt waren (Prüfungstyp 2 Wirksamkeit). Diese Prüfung erfolgt nicht durch das BSI selbst, sondern durch Wirtschaftsprüfer.

Der Auditbericht erfüllt international anerkannte Standards und dokumentiert sowohl die Prüftätigkeiten als auch die Maßnahmen des Cloud-Anbieters für eine höhere Informationssicherheit. Dazu gehören etwa Angaben zur Verfügbarkeit und Störungsbeseitigung, zu den eingesetzten Subdienstleistern, zur geografischen Lage der Rechenzentren oder zum Umgang mit Ermittlungsanfragen staatlicher Stellen.

Der BSI Anforderungskatalog Cloud Computing

Potenzielle Kunden können den C5-Prüfbericht anfordern und für die Auswahl des Cloud-Anbieters auswerten. Sie erhalten so Antwort auf die zentrale Frage: Erfüllt der Provider die Mindestkriterien für unsere Cloud-Anforderungen? Schließlich muss der Kunde verbleibende Restrisiken tragen und im Eintrittsfall verantworten.

Der Kriterienkatalog C5 wurde im Jahr 2016 durch das Bundesamt für Sicherheit in der Informationstechnik erstmals veröffentlicht. Seit 2020 gibt es eine neue, aktualisierte Version. Der Katalog C5:2020 gliedert sich in 17 Themengebiete mit insgesamt 125 Kriterien, die sich an der Darstellung der Maßnahmenziele aus dem Anhang A der ISO/IEC 27001 Anhang orientieren. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele und konkrete Maßnahmen, mit denen Firmen die Informationssicherheit verbessern können.

Zu den 17 Bereichen gehören Themen wie Organisation der Informationssicherheit, Richtlinien, Personalsicherheit, Asset Management, Incident Management, Physische Sicherheit, Kryptografie, Identity und Access Management oder Compliance.

DSGVO: Daten sollten in Deutschland liegen

Der C5-Katalog legt zudem großen Wert auf Datenschutz und die Einhaltung der Datenschutzgrundverordnung (DSGVO). Damit verbunden ist auch das Hosting der Daten in Deutschland oder der EU. Unternehmen sollten daher in den SLAs mit dem Cloud-Anbieter festlegen, dass die Daten Deutschland oder die EU nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden.

Darüber hinaus benötigen Firmen transparente Informationen über die Sicherheitskonzeption des Cloud-Providers. Dieser sollte beispielsweise auf folgende Fragen detailliert antworten:

  • Wo werden die Daten abgelegt?
  • Wie sieht das Programm im Notfall aus, wenn tatsächlich Daten verschwinden?
  • Wer greift wann und mit welchen Rechten auf die Daten zu?
  • Werden die Daten fristgerecht gelöscht?
  • Was passiert mit den Daten bei Ende des Vertrags?

BSI-zertifizierte Cloud jetzt testen

PLS_C5_1200x630 (4)

Im September 2021 wurde für die Cloud-Angebote pluscloud und pluscloud open von plusserver die Testierung nach Typ-1 der BSI-C5-Zertifizierung erreicht. Damit erfüllen die Cloud-Lösungen wesentliche Anforderungen an sicheres Cloud Computing und sind für datenschutzsensible Anwendungen und Workloads nutzbar. 

Obendrein setzt die pluscloud open komplett auf Open Source und ist optimiert auf Cloud-native Anwendungen. Interessierte Unternehmen können die BSI-zertifizierte Cloud jetzt 30 Tage kostenfrei testen:

Jetzt Blog abonnieren



Hallo, wie kann ich Ihnen helfen?