Klaus Göbbel
„Schon wieder eine neue Sicherheitsnorm – muss das wirklich sein?“, werden Sie sich vielleicht fragen. Die Antwort lautet in diesem Fall eindeutig „Ja“. Denn immerhin verfasst den überaus anspruchsvollen C5-Prüfkatalog das renommierte Bundesamt für Sicherheitstechnik in der Informationstechnik, kurz BSI, mit Sitz in Bonn. Ein Gastbeitrag von Klaus Göbbel
30. August 2018
|
Lesedauer: ca. 2 Min.
© adam121/stock.adobe.com
Ursprünglich bestand das Ziel der BSI-Experten darin, Anwender in die Lage zu versetzen, Cloud Provider auf einen Blick zu erkennen, die freiwillig wichtige Mindeststandards der Informationssicherheit einhalten und dies nachweisen können. Als Anwender hatte das BSI dabei insbesondere die Behörden und andere Organisationen des Bundes im Auge.
Inzwischen sind diese dazu verpflichtet, nur Cloud-Dienste von Providern zu buchen, die zumindest die erste Stufe der Anforderungen des C5-Prüfkatalogs erfüllen und über ein entsprechendes Testat verfügen.
Worauf liegt der Fokus bei einem solchen Intensiv-Check? Mit dem C5-Prüfkatalog – C5 steht dabei für „Cloud Computing Compliance Controls Catalogue“ – werden alle Bereiche im Unternehmen abgedeckt, die Fragen der Informationssicherheit in irgendeiner Form berühren. Vom sicheren Umgang mit Datenträgern über regelmäßige Sicherheitsüberprüfungen der mit kritischen Aufgaben beauftragten Mitarbeiter bis zur Verschlüsselung der genutzten Netzwerkverbindungen.
Cloud Provider, die diese Anforderungen erfüllen, können sich von einer unabhängigen Organisation – das sind in der Regel Wirtschaftsprüfer – testieren lassen. Warum ausgerechnet von Wirtschaftsprüfern? Dahinter steckt die Abwägung, dass einerseits die internen Prozesse des Cloud-Anbieters anhand des C5-Katalogs schon sehr kritisch und tief durchleuchtet werden sollen.
Denn das C5-Testat muss aus Sicht der Anwender natürlich aussagekräftig sein. Andererseits sollte der Aufwand aus der Perspektive der Cloud Provider trotzdem vertretbar sein – sonst würde keiner den durch manchen Schweißtropfen gekennzeichneten Weg zum C5-Testat gehen wollen. Und C5 hätte folglich keine Chance auf angemessene Akzeptanz im Cloud-Computing-Markt.
Vor diesem Hintergrund haben sich die BSI-Spezialisten für folgenden Prozess entschieden: Jedes Unternehmen benötigt zur Erstellung des Jahresabschlusses die Unterstützung unabhängiger Wirtschaftsprüfer, die sehr intensiv jeden Ablauf in der Firma durchleuchten, der steuerlich relevant sein könnte.
Unternehmen, die ein C5-Testat anstreben, sollten das Mandat ihrer Wirtschaftsprüfer erweitern – damit nicht nur die Finanzprozesse auf den Prüfstand gestellt werden, sondern auch jene Vorgänge, die die Informationssicherheit betreffen. Voraussetzung ist natürlich, dass sie sich zuvor für Berater mit C5-Kompetenzen entschieden haben. Jedenfalls besteht kein Zweifel, dass sich die Wirtschaftsprüfer sowohl in Bezug auf sachliche Richtigkeit als auch Vollständigkeit der Analyse voll engagieren werden. Immerhin haften sie in vollem Umfang für das von ihnen ausgestellte Testat.
