ISAE 3402: Empfohlene Kontrollerweiterungen bei Cloud Computing

Beim klassischen Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Die Wirksamkeit der ausgelagerten Kontrollen wird hierbei beispielsweise über einen ISAE 3402 Report bestätigt („IKS Compliance“).

Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen, Web-Oberflächen und Protokolle.

Der Kriterienkatalog C5 bietet Cloud-Kunden dabei eine wichtige Orientierung für die Auswahl eines Anbieters. Er bildet die Grundlage, um ein kundeneigenes Risiko-Management durchführen zu können.

Das BSI hat hierfür Sicherheitsziele definiert, aber offengelassen, wie diese erreicht werden. Nicht das BSI führt C5-Audits zur Bestätigung der Mindestanforderungen durch, sondern Wirtschaftsprüfer, deren vorhandenes Prüfportfolio (ISAE 3402 und IDW PS 951 Audits) mit dem C5 um Cloud-Sicherheitsaspekte erweitert wird.

Da sich individuelle Cloud-Architekturen und konkrete Einzelmaßnahmen schwierig standardisieren lassen, hat man sich mit diesem Kriterienkatalog auf gemeinsame Sicherheitsziele geeinigt. Der C5 dient daher als gutes Beispiel, wie Informationssicherheit in der Digitalisierung gestaltet werden kann.

Quelle: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html