30. August 2018 | pArtikel drucken | kKommentieren

BSI: C5-testierte Cloud Services schaffen Sicherheit

„Schon wieder eine neue Sicherheitsnorm – muss das wirklich sein?“, werden Sie sich vielleicht fragen. Die Antwort lautet in diesem Fall eindeutig „Ja“. Denn immerhin verfasst den überaus anspruchsvollen C5-Prüfkatalog das renommierte Bundesamt für Sicherheitstechnik in der Informationstechnik, kurz BSI, mit Sitz in Bonn.

Ursprünglich bestand das Ziel der BSI-Experten darin, Anwender in die Lage zu versetzen, Cloud Provider auf einen Blick zu erkennen, die freiwillig wichtige Mindeststandards der Informationssicherheit einhalten und dies nachweisen können. Als Anwender hatte das BSI dabei insbesondere die Behörden und andere Organisationen des Bundes im Auge.

Inzwischen sind diese dazu verpflichtet, nur Cloud-Dienste von Providern zu buchen, die zumindest die erste Stufe der Anforderungen des C5-Prüfkatalogs erfüllen und über ein entsprechendes Testat verfügen.

Alle Aspekte sind berücksichtigt

Worauf liegt der Fokus bei einem solchen Intensiv-Check? Mit dem C5-Prüfkatalog – C5 steht dabei für „Cloud Computing Compliance Controls Catalogue“ –  werden alle Bereiche im Unternehmen abgedeckt, die Fragen der Informationssicherheit in irgendeiner Form berühren. Vom sicheren Umgang mit Datenträgern über regelmäßige Sicherheitsüberprüfungen der mit kritischen Aufgaben beauftragten Mitarbeiter bis zur Verschlüsselung der genutzten Netzwerkverbindungen.

Prüfkatalog mit hohem Anspruch

Cloud Provider, die diese Anforderungen erfüllen, können sich von einer unabhängigen Organisation – das sind in der Regel Wirtschaftsprüfer – testieren lassen. Warum ausgerechnet von Wirtschaftsprüfern? Dahinter steckt die Abwägung, dass einerseits die internen Prozesse des Cloud-Anbieters anhand des C5-Katalogs schon sehr kritisch und tief durchleuchtet werden sollen.

Denn das C5-Testat muss aus Sicht der Anwender natürlich aussagekräftig sein. Andererseits sollte der Aufwand aus der Perspektive der Cloud Provider trotzdem vertretbar sein – sonst würde keiner den durch manchen Schweißtropfen gekennzeichneten Weg zum C5-Testat gehen wollen. Und C5 hätte folglich keine Chance auf angemessene Akzeptanz im Cloud-Computing-Markt.

„Wirtschaftsprüfer, übernehmen Sie!“

Vor diesem Hintergrund haben sich die BSI-Spezialisten für folgenden Prozess entschieden: Jedes Unternehmen benötigt zur Erstellung des Jahresabschlusses die Unterstützung unabhängiger Wirtschaftsprüfer, die sehr intensiv jeden Ablauf in der Firma durchleuchten, der steuerlich relevant sein könnte.

Unternehmen, die nun ein C5-Testat anstreben, sollten das Mandat ihrer Wirtschaftsprüfer erweitern – damit nicht nur die Finanzprozesse auf den Prüfstand gestellt werden, sondern auch jene Vorgänge, die die Informationssicherheit betreffen. Voraussetzung ist natürlich, dass sie sich zuvor für Berater mit C5-Kompetenzen entschieden haben. Jedenfalls besteht kein Zweifel, dass sich die Wirtschaftsprüfer sowohl in Bezug auf sachliche Richtigkeit als auch Vollständigkeit der Analyse voll engagieren werden. Immerhin haften sie in vollem Umfang für das von ihnen ausgestellte Testat.

Erster Provider aus dem Mittelstand

Klar ist: Der Aufwand ist aus der Perspektive des Providers trotzdem hoch und große Unternehmen können ein solches Projekt, dank der ihnen zur Verfügung stehenden Ressourcen, leichter stemmen als kleinere.

„Vor dem Hintergrund, dass bundeseigene Organisationen gehalten sind, Cloud-Services nur bei Providern mit C5-Testat zu buchen, ist es wichtig, dass ihnen nicht nur Angebote von Hyperscalern zur Verfügung stehen, sondern auch aus dem deutschen Mittelstand – gerade deshalb sind wir besonders stolz auf unser C5-Testat“, erklärt Marcel Reifenberger, Chief Security Officer (CSO) des CANCOM-Konzerns. „Darüber hinaus unterstützen wir nachdrücklich die Forderung des BSI, dass grundsätzlich alle Unternehmen, auch aus der Privatwirtschaft, Cloud Services nur noch von Providern mit C5-Testat beziehen sollten – um sich so bestmöglich gegen künftige Sicherheitsherausforderungen zu wappnen.“

Weitere Informationen zum C5-Testat von CANCOM erfahren Sie hier.

Titelbild: © adam121/stock.adobe.com

Hier schreibt Klaus Göbbel für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info