23.01.2020

Quasistandard für sichere Clouds kommt aus Deutschland

netzversteher Foto: netzversteher

Clouds, wohin man schaut … nur heute nicht bei der Vorstellung des neuen Anforderungskataloges für sicheres Cloud Computing, genannt „Cloud Computing Compliance Criteria Catalogue“ (kurz C5:2020). Denn bei schönstem Winterwetter – endlich mal ohne eine einzige Wolke – traf sich die deutsche Elite des Cloud-Business im Frankfurter PwC-Tower auf der 48. Etage. PwC-Chefin Petra Justenhoven hieß die rund 100 Gäste willkommen und würdigte den neuen Katalog als gelungenes Gemeinschaftswerk in Zusammenarbeit mit allen Stakeholdern, allen voran den Prüfern, Anwendern, Anbietern und dem Herausgeber, dem Bundesamt für Sicherheit in der Informationstechnik, kurz BSI. Schon der aktuelle C5 habe sich zu einem Exportschlager entwickelt. Neben den Neuerungen wurden auch weitergehende Informationen und insbesondere Best Practices rund um das Thema „Sicherheit im Cloud Computing“ vorgetragen.

Deutscher Exportschlager: Der C5

Das Bundesamt für Sicherheit in der Informationstechnik hatte vor Kurzem die öffentliche Kommentierungsphase für die Überarbeitung des C5 abgeschlossen. Nun wird der C5 zur neuen Version C5:2020 finalisiert. Die Aktualisierungen umfassen sowohl die formalen Regelungen als auch die Kriterien des C5, die an den aktuellen Stand der Technik angepasst wurden. Das Regelwerk wurde in seiner ursprünglichen Form aus Bedarf für den öffentlichen Sektor erstellt und durch das BSI 2016 veröffentlicht, um eine Basislinie für die Informationssicherheit von Cloud-Diensten zu definieren. Auch Vizepräsident Dr. Gerhard Schabhüser verwies in seiner Einführung stolz auf Umfragen und Branchenfeedbacks, dass sich der C5-Standard weltweit zum Nachweis von Sicherheit von Cloud-Diensten gemausert habe. Große ausländische Plattformökonomien wie Alibaba, Amazon-AWS, Dropbox, Microsoft u. v. m. hätten sich auditieren lassen.

Community Draft bindet Öffentlichkeit ein

Um diese Erfolgsgeschichte fortzusetzen, wurde der C5 in diesem Jahr einer Revision unterzogen und bereits in einer ersten überarbeiteten Version 2019 als Community Draft der Öffentlichkeit vorgestellt. In die Überarbeitung flossen die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern ein. Kernpunkte der Überarbeitung sind unter anderem die neue Domäne Produktsicherheit (womit die Regelungen des EU Cyber Security Acts adressiert werden) und die Berücksichtigung von agilen Softwaremanagementsystemen wie beispielsweise DevOps.

c5 - Cloud Computing Compliance Criteria Catalogue
Foto: netzversteher„Mister C5“ alias Dr. Patrick Grete vom BSI stellt das neue Regelwerk vor

Kontrollsystem für Cloud-Anbieter

Entwickelt wurde der Anforderungskatalog Cloud Computing im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) von der Wirtschaftsprüfungsgesellschaft PwC. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000 wie „Mister C5“, Dr. Patrick Grete, vom BSI erläutert. Nicht der BSI vergebe das C5-Zertifikat, sondern ein Wirtschaftsprüfer.

Fazit

Seit seiner Veröffentlichung 2016 hat sich der C5 des Bundesamts für Sicherheit in der Informationstechnik zum etablierten und vielfach national und international umgesetzten Standard der Cloud-Sicherheit entwickelt. Dafür gebührt dem BSI Respekt und Anerkennung. Zudem hat die Behörde alle Stakeholdern eingebunden und den Kontakt zur Basis und Praxis gesucht. Auf sogenannten Themeninseln bestand heute die Möglichkeit, in direkten Kontakt mit dem BSI zu treten. All das ist höchst löblich. Hier ist kein Behördenmonster entstanden, sondern ein gut durchdachtes Regelwerk, Clouds sicherer zu machen und dies nach Außen zu kennzeichnen. Dass „seine“ Beamten sich bei aller Ernsthaftigkeit der Thematik mit Witz und Esprit präsentierten, darf auch ein Lob für ihren Chef, dem Präsidenten Arne Schönbohm, sein, der leider verhindert war. Top Mannschaft!

#c5 #bsi #pwc #cloud #cloudact #cloudsecurity #eucybersecurityacts