Treecha - stock.adobe.com
Das C5-Testat: die richtige Cloud-Entscheidung treffen
Das C5-Testat des BSI will durch verbindliche Vorgaben für Cloud-Lösungen Orientierung geben und ist für den öffentlichen Sektor von Bedeutung. Davon kann der Privatsektor lernen.
Mit der Digitalisierung haben sich auch im öffentlichen Sektor hybride IT-Umgebungen als Standard etabliert. Doch je mehr öffentliche Institutionen auf die Cloud setzen, desto mehr kritische Fragen bezüglich Cybersicherheit und Datenschutz kommen auf. Hier will das C5-Testat des BSI durch verbindliche Anforderungen für Cloud- und Sicherheitslösungen die nötige Orientierung geben. Davon kann auch der Privatsektor noch etwas lernen und von den hohen Sicherheitsanforderungen profitieren.
Cyberangriffe auf die IT-Systeme in Kommunen haben oftmals schwere Auswirkungen. Nicht zuletzt geht es dabei auch um das Thema Datenschutz, denn Cyberkriminelle haben es meist auf die besonders sensiblen, personenbezogenen Daten der Bürger abgesehen. Es ist daher kein Wunder, dass sich die Zahl der Ransomware-Angriffe auf kommunale Einrichtungen seit 2022 fast verdoppelt hat.
Konkrete Beispiele für die weitreichenden negativen Folgen einer erfolgreichen Cyber-Attacke gibt es Zuhauf. Eine im Januar dieses Jahres erfolge Ransomware-Attacke durch die berüchtigte Lockbit-Gruppe nahm wiederum 45 Schulen in Rheinland-Pfalz vom Netz. Die verantwortlichen Kriminellen drohten weiterhin damit, die angeblich drei TByte an exfiltrierten Daten zum Verkauf anzubieten, sollte das Lösegeld nicht bezahlt werden. Wie lange die Institutionen brauchen, um sich von dieser Attacke zu erholen, ist noch unklar.
Diese Fälle zeigen deutlich: IT- und IT-Security-Verantwortliche stehen in der Pflicht, ihre bisherigen Schutz-, und Wiederherstellungs-Konzepte zu überprüfen. Präventive Security-Maßnahmen allein reichen angesichts der veränderten und immer extremeren Bedrohungslage nicht mehr aus. Da es unmöglich geworden ist, alle Angriffe abzuwehren, gilt es für den öffentlichen Sektor Vorkehrungen zu treffen, um im Ernstfall rasch zu reagieren und vor allem schnell wieder betriebsfähig zu sein. Das Stichwort lautet: Cyberresilienz, also die Widerstandsfähigkeit gegenüber Cyberbedrohungen.
Cloud entfesselt Innovation – kann aber auch ein Sicherheitsrisiko sein
Cyberkriminelle haben längst erkannt, dass die Cloud zahlreiche neue Angriffsvektoren mit sich bringt. So entfielen laut Rubrik Zero Labs Report 2024 82 Prozent der Angriffe auf Datenbestände in SaaS-Plattformen, 62 Prozent entfielen auf die Cloud (IaaS) und nur 40 Prozent auf On-Premises. Besonders problematisch sind dabei unzureichend gesicherte Objekt-Speicher, die in einem durchschnittlichen Unternehmen etwa 70 Prozent der Daten in der Cloud speichern. Diese Speicher lassen sich im Allgemeinen mit herkömmlichen Sicherheitslösungen oft nicht maschinell analysieren, was sie zu einer Art Blackbox macht.
„Der nächste erfolgreiche Cyberangriff kommt bestimmt. Um eine schnelle Erholung und Wiederherstellung zu garantieren, braucht es eine starke Cyberresilienz, die wiederum auf einer durchdachten Backup-Strategie sowie einer einheitlichen Security-Plattform fußt.“
Frank Schwaak, Rubrik
Das bedeutet, dass ihre Inhalte mit herkömmlicher Sicherheitstechnologie größtenteils nicht maschinell ausgelesen oder überprüft werden können. Um Cloud-inhärente Sicherheitslücken abzudecken und Daten sowohl in der Cloud als auch On-Premises zu schützen, benötigen Unternehmen und Behörden spezialisierte IT-Lösungen. IT-Sicherheitsteams können etwa mit SaaS- und Cloud-basierten Plattformen verteilte Infrastrukturen von einer zentralen Managementkonsole aus absichern und die Komplexität von Überwachung, Reaktion und Wiederherstellung reduzieren.
Das C5-Testat leistet Orientierungshilfe für die richtige Lösung
Es kann jedoch eine Herausforderung sein, eine geeignete Cloud-Backup- und Recovery-Lösung zu finden. Um den Überblick über alle internen und externen Anforderungen zu erleichtern, hat sich das C5-Testat des BSI bewährt. Es ersetzt blindes Vertrauen in Softwareanbieter durch klare, auf kritische Infrastrukturen zugeschnittene Vorgaben.
C5 steht für „Cloud Computing Compliance Criteria Catalogue“ und definiert strenge Sicherheitsanforderungen für Cloud-Dienste. Das Testat bietet Entscheidern in der öffentlichen Hand eine klare Orientierung, welche Cloud-Dienste höchste Sicherheitsstandards erfüllen. Es ist für alle Cloud-Anwendungen in Bundesbehörden laut §8 BSI-Gesetz verpflichtend, und auch für andere Bereiche wie das Gesundheitswesen ist es seit Juli 2024 verpflichtend. Der Trend ist klar: Das C5-Testat wird mittelfristig nicht nur für kritische Infrastrukturen maßgebend sein, auch Wirtschaftsunternehmen sollten sich daran orientieren.
Um das Testat zu erhalten, müssen sich die Cloud-Anbieter einmal jährlich einem unabhängigen Audit durch einen Wirtschaftsprüfer unterziehen. Das standardisierte Prüfverfahren konzentriert sich auf fünf Kernbereiche der Sicherheit: Datenschutz, Transparenz, Compliance, Verfügbarkeit und Ausfallsicherheit. Dazu durchlaufen die Anbieter einen strengen Bewertungsprozess, der sowohl eine technische als auch eine organisatorische Prüfung umfasst.
Fazit
Der nächste erfolgreiche Cyberangriff kommt bestimmt. Um eine schnelle Erholung und Wiederherstellung zu garantieren, braucht es eine starke Cyberresilienz, die wiederum auf einer durchdachten Backup-Strategie sowie einer einheitlichen Security-Plattform fußt. Um eine geeignete Lösung im Anbieterdschungel zu finden, hat sich dabei das C5-Testat des BSI bewährt. Insbesondere öffentliche Verwaltungen und Anbieter kommunaler kritischer Infrastruktur, aber auch Wirtschaftsunternehmen, die sensible Daten beherbergen, sollten auf ein C5-Testat setzen. So stärken Kommunen den Schutz ihrer Bürger vor verheerenden Cyberattacken, indem sie im Ernstfall eine zügige Erholung und Wiederherstellung ihrer
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
