plusserver-Blog-BSI-C5 Testierung
Blog

|

24.11.2021

BSI-C5-Testierung: Sichere Cloud mit Brief und Siegel

Kirsten Nothbaum
Eine unabhängige Testierung sagt viel über die Sicherheit einer Cloud aus. Ein Beispiel dafür ist die C5-Cloud-Testierung des BSI.

Die flexible Bereitstellung von Anwendungen und Ressourcen aus der Cloud gehört mittlerweile zum Alltag in Unternehmen. Laut Cloud-Monitor 2021 von Bitkom Research und KPMG nutzen inzwischen 82 Prozent der deutschen Unternehmen Rechenleistung oder Anwendungen aus der Cloud – im Vorjahr waren es „nur“ 76 Prozent. Kein Wunder. Schließlich können Firmen mit Hilfe der Cloud schnell und bedarfsgerecht auf neue Anforderungen reagieren, ihre Prozesse optimieren oder auch datenbasierte Geschäftsmodelle umsetzen.

Sicherheit in der Cloud

Zwar zögern viele Unternehmen anfangs aus Sicherheitsbedenken, ihre Daten oder Anwendungen in die Cloud zu verlagern. Doch in den meisten Fällen erhöht die Cloud sogar die Sicherheit. Denn bei Cloud-Providern gehören IT-Sicherheit und Compliance zum Kerngeschäft. Sie investieren sehr viel Geld in die Absicherung ihrer Cloud-Umgebungen, setzen aktuelle Sicherheitstechnologien inklusive End-to-End-Verschlüsselung ein und beschäftigen ein großes Team mit IT-Experten, die ausschließlich Security-Maßnahmen umsetzen, prüfen und anpassen.

Bei kleinen und mittleren Unternehmen sieht das anders aus. Sie müssen sich fragen, ob sie mit ihrem internen IT-Personal zu den Kosten der Cloud-Lösung in der Lage wären, in ihren eigenen Rechenzentren selbst die Sicherheit für die Daten und Compliance gewährleisten könnten. Das ist meist nicht der Fall. Damit weisen Cloud-Lösungen in der Regel immer noch mehr Sicherheit auf als intern betriebene Rechenzentren – angesichts der steigenden Zahl an Cyberattacken ein zentraler Vorteil.

Cloud-Sicherheit als Auswahlkriterium

Bei der Wahl des richtigen Cloud-Providers sollten grundsätzlich alle wichtigen Parteien im Unternehmen am Tisch sitzen, sprich Geschäftsführung, Fachabteilungen, IT, die Beauftragten für Datenschutz und Informationssicherheit oder der Hausjurist. Erste Orientierung für die Minimalanforderungen bei Cloud-Security/-Compliance bieten etwa die Leitfäden des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Branchenverbands Bitkom.

Zentral für die Einschätzung des Sicherheitsniveaus eines Cloud-Anbieters ist eine Testierung oder auch Zertifizierung durch eine externe Stelle. Ein Testat oder Zertifikat belegt, dass der Provider Vorgaben an IT-Security und Informationssicherheit umsetzt und deren Einhaltung durch meist jährliche Re-Audits durch externe Prüfer nachgewiesen wird. So entsteht Vertrauen. Beispiele sind etwa die Zertifizierung gemäß der Norm ISO/IEC 27001 oder spezielle Cloud-Gütesiegel wie SaaS von EuroCloud, CSA STAR, TÜV Trust IT oder die C5-Cloud-Testierung des BSI.

Die BSI-Cloud-Testierung (C5)

BSI C5 Cloud Security plusserver

C5 steht für Cloud Computing Compliance Criteria Catalogue. Das BSI beschreibt mit diesem Kriterienkatalog Mindestanforderungen an die Informationssicherheit für Cloud-Dienste, die nicht unterschritten werden sollten. Er richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer/Auditoren und Kunden. Informationssicherheit umfasst drei wesentliche Schutzziele:

Verfügbarkeit: Alle Informationen stehen innerhalb eines vereinbarten Zeitrahmens zur Verfügung.
Vertraulichkeit: Schutz von Informationen vor unbefugtem Zugriff.
Integrität: Schutz von Information vor unbefugter Modifikation (inkl. Erzeugung und Löschung).

Ziel der C5-Cloud-Testierung des BSI ist die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung. Cloud-Anbieter können die C5-Kriterien umsetzen, um die IT-Sicherheit ihrer Cloud-Dienste zu erhöhen und sich damit einen Wettbewerbsvorteil zu verschaffen.

Beim Audit wird geprüft, ob der Cloud-Anbieter die Kriterien des C5 derzeit erfüllt (Prüfungstyp 1 Angemessenheit) oder auch, ob diese in der Vergangenheit durchgängig erfüllt waren (Prüfungstyp 2 Wirksamkeit). Diese Prüfung erfolgt nicht durch das BSI selbst, sondern durch Wirtschaftsprüfer.

Der Auditbericht erfüllt international anerkannte Standards und dokumentiert sowohl die Prüftätigkeiten als auch die Maßnahmen des Cloud-Anbieters für eine höhere Informationssicherheit. Dazu gehören etwa Angaben zur Verfügbarkeit und Störungsbeseitigung, zu den eingesetzten Subdienstleistern, zur geografischen Lage der Rechenzentren oder zum Umgang mit Ermittlungsanfragen staatlicher Stellen.

Der BSI-Anforderungskatalog Cloud Computing

Potenzielle Kunden können den C5-Prüfbericht anfordern und für die Auswahl des Cloud-Anbieters auswerten. Sie erhalten so Antwort auf die zentrale Frage: Erfüllt der Provider die Mindestkriterien für unsere Cloud-Anforderungen? Schließlich muss der Kunde verbleibende Restrisiken tragen und im Eintrittsfall verantworten.

Der Kriterienkatalog C5 wurde im Jahr 2016 durch das Bundesamt für Sicherheit in der Informationstechnik erstmals veröffentlicht. Seit 2020 gibt es eine neue, aktualisierte Version. Der Katalog C5:2020 gliedert sich in 17 Themengebiete mit insgesamt 125 Kriterien, die sich an der Darstellung der Maßnahmenziele aus dem Anhang A der ISO/IEC 27001 Anhang orientieren. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele und konkrete Maßnahmen, mit denen Firmen die Informationssicherheit verbessern können.

Zu den 17 Bereichen gehören Themen wie Organisation der Informationssicherheit, Richtlinien, Personalsicherheit, Asset Management, Incident Management, Physische Sicherheit, Kryptografie, Identity und Access Management oder Compliance.

DSGVO: Daten sollten in Deutschland liegen

Der C5-Katalog legt zudem großen Wert auf Datenschutz und die Einhaltung der Datenschutzgrundverordnung (DSGVO). Damit verbunden ist auch das Hosting der Daten in Deutschland oder der EU. Unternehmen sollten daher in den SLAs mit dem Cloud-Anbieter festlegen, dass die Daten Deutschland oder die EU nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden.

Darüber hinaus benötigen Firmen transparente Informationen über die Sicherheitskonzeption des Cloud-Providers. Dieser sollte beispielsweise auf folgende Fragen detailliert antworten:

  • Wo werden die Daten abgelegt?
  • Wie sieht das Programm im Notfall aus, wenn tatsächlich Daten verschwinden?
  • Wer greift wann und mit welchen Rechten auf die Daten zu?
  • Werden die Daten fristgerecht gelöscht?
  • Was passiert mit den Daten bei Ende des Vertrags?

BSI-testierte Clouds jetzt vergleichen

Im September 2021 wurde für die Cloud-Angebote pluscloud VMware und pluscloud open von plusserver die BSI-C5-Testierung erreicht. Damit erfüllen die Cloud-Lösungen wesentliche Anforderungen an sicheres Cloud Computing und sind für datenschutzsensible Anwendungen und Workloads nutzbar.

Vergleichen Sie jetzt weitere Features der beiden Clouds und finden Sie die für Sie passende:

Über den Autor

Kirsten Nothbaum ist Content & Product Marketing Manager bei plusserver und blick auf mehr als 15 Jahre in der IT-Branche zurück. Sie verantwortet unter anderem die Positionierung und Marketinginhalte der Security-Produkte sowie der plusserver Kubernetes Engine (PSKE).

Weiterführende Inhalte

Blog

Sichere Cloud: Wirksamkeit des BSI C5 bestätigt

plusserver erhielt BSI-C5/ISAE-3402-Typ-II-Bericht zur Kundendatensicherheit.
Produkt

pluscloud VMware

Nutzen Sie unsere BSI-C5-testierte VMware Cloud aus deutschen Rechenzentren.
Produkt

pluscloud open

Mit der pluscloud open nutzen Sie die digital souveräne OpenStack-Cloud, made in Germany.
Unternehmen

Zertifikate und Testate von plusserver

Unsere Testate und Zertifikate sind der objektive Beweis für die Qualität, Sicherheit und Zuverlässigkeit unserer Cloud-Lösungen.
Unternehmen

Rechenzentren

Als deutscher Cloud Provider verfügen wir über vier pluscloud-Rechenzentren an wichtigen deutschen Wirtschaftsstandorten.
Download

Datasheet: BSI C5 und Cloud Security

Warum die Testierung für Cloud-Kunden wichtig ist und dennoch eigene Security-Maßnahmen erforderlich sind.