Was ein C5-Testat für Cloud-Storage-Dienste bedeutet

Was ist C5?

C5 besitzt insbesondere im öffentlichen Bereich bereits eine hohe Bedeutung: Stellen des Bundes haben bei einer Nutzung von externen Cloud-Diensten zu berücksichtigen, dass mindestens die Basisanforderungen des C5 vom Cloud-Anbieter erfüllt werden.

Cloud Computing Compliance Controls Catalogue, kurz C5, ist ein Anforderungskatalog, der sich in erster Linie an professionelle Cloud-Diensteanbieter, deren Prüfer und an die Kunden der Cloud-Diensteanbieter richtet. Es wird darin festgelegt, welche Anforderungen die Cloud-Anbieter erfüllen müssen beziehungsweise auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte.

Der C5 definiert ein Niveau der Informationssicherheit von Cloud-Diensten, das aus Sicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nicht unterschritten werden sollte. Stellen des Bundes haben bei einer Nutzung von externen Cloud-Diensten zu berücksichtigen, dass ihnen die Erfüllung der Basisanforderungen des C5 in geeigneter Form nachgewiesen wird, beispielsweise durch die Vorlage eines Prüfberichts nach C5. Auf der Grundlage dieses Berichts können Stellen des Bundes die Angebote von Cloud-Anbietern mit ihren eigenen Anforderungen abgleichen.

Neben den Basisanforderungen in C5 sind zu vielen Punkten auch weitergehende Anforderungen enthalten, die entweder besonders die Vertraulichkeit oder die Verfügbarkeit oder beides zugleich ansprechen. Entsprechend gibt es auch Testate, die die Einhaltung von C5 nach den weitergehenden, höherwertigen Anforderungen bescheinigen.

Beispiele für C5-Testate

Es gibt bereits mehrere Anbieter, die den Nachweis erbracht haben, dass sie die Anforderungen nach C5 erfüllen, entweder die Basisanforderungen oder zusätzlich auch die weitergehenden Anforderungen:

• Amazon Web Services hat als erster Anbieter von Cloud-Services ein Testat nach den Anforderungen des Anforderungskatalogs Cloud Computing (Cloud Computing Compliance Controls Catalogue, C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten. Das Testat wurde dem Unternehmen von Wirtschaftsprüfern erteilt (Dezember 2016).
• Der Cloud-Diensteanbieter Box hat ebenfalls das Testat nach dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue, C5) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten. Das Testat wurde Box.com durch die Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers erteilt (Februar 2017).
• Als erster europäischer Anbieter von Cloud-Services hat Fabasoft ein Testat nach den Kriterien des Anforderungskatalogs Cloud Computing (Cloud Computing Compliance Controls Catalogue, C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten, das dritte Testat dieser Art weltweit, es wurde dem Unternehmen von der KPMG Alpen-Treuhand GmbH Wirtschaftsprüfungs- und Steuerberatungsgesellschaft erteilt (März 2017).
• Microsoft Azure Deutschland hat ebenfalls ein Testat nach den Anforderungen des Anforderungskatalogs Cloud Computing (Cloud Computing Compliance Controls Catalogue, C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten. Das Testat wurde dem Unternehmen von Wirtschaftsprüfern erteilt (August 2017).
• Danach hat Dropbox für Dropbox Business und Dropbox Education ein Testat nach den Anforderungen des Cloud Computing Compliance Controls Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten. Das Testat wurde dem Unternehmen von Wirtschaftsprüfern erteilt (November 2017).
• Ein Testat nach den Anforderungen des Cloud Computing Compliance Controls Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist Alibaba Cloud für ihre Cloud-Dienste Elastic Compute Service (ECS), Relational Database Service (RDS), Object Storage Service (OSS), Content Delivery Network (CDN), Server Load Balancer (SLB), Virtual Private Cloud (VPC) und Alibaba Cloud Security aus den Regionen Singapur und Deutschland von Wirtschaftsprüfern erteilt worden. Alibaba Cloud ist nach Amazon Web Services, Box, Fabasoft, Microsoft Azure und Dropbox Deutschland das sechste Unternehmen, das das Testat für seine Cloud-Dienste erhalten hat. Alibaba Cloud ist jedoch der erste Cloud-Anbieter, bei dem das Testat auch teilweise die höherwertigen Anforderungen des C5 umfasst (Dezember 2017).

C5-Testate, Auditierungen und Datenschutz

Wie das BSI ausführt, können bei einer internen Revision oder einem Second-Party-Audit (der Cloud-Kunde prüft den Cloud-Anbieter) die Sicherheitsanforderungen des C5 genutzt werden. Die spezifischen C5-Anforderungen an die Prüfung selbst (zum Beispiel vorgeschriebene Prüfstandards) können hierbei vernachlässigt werden. Hat der Cloud-Anbieter ein C5-Testat, so steht dem Auditor schon eine umfangreiche Prüfungsdokumentation zur Verfügung, die bereits einer standardisierten Prüfung unterworfen wurde.

Hinsichtlich Datenschutz muss jedoch festgehalten werden, dass das C5-Testat kein Datenschutz-Zertifikat sein soll oder ersetzen kann. Es gibt zwar zum Beispiel zwischen TCDP (Trusted Cloud Data Protection Profile) und C5 eine große Übereinstimmung hinsichtlich der technisch-organisatorischen Maßnahmen für die Datensicherheit. Die rechtliche Seite des Datenschutzes wird jedoch nicht vom C5 adressiert. TCDP und C5 ergänzen einander, wie das BSI deutlich macht. Entsprechend muss bei der Suche nach einem geeigneten Cloud-Storage-Anbieter zusätzlich zum C5-Testat auch das erforderliche Datenschutzniveau nach DSGVO nachgewiesen werden können.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!