DE EN
Digital Compliance

BSI C5 Cloud Compliance – Stärkung von Sicherheit und Vertrauen bei Cloud-Diensten

Beratung anfragen

Der Kriterienkatalog BSI C5 (Cloud Computing Compliance Criteria Catalogue) beschreibt Mindestanforderungen an die Informationssicherheit für Cloud-Dienste, die nicht unterschritten werden dürfen.

 

Hierbei sind folgende Servicemodelle im Fokus:

  • Infrastructure as a Service (IaaS) 
  • Platform as a Service (PaaS) 
  • Software as a Service (SaaS)

Cloud- und SaaS-Anbieter unterziehen sich einer C5-Prüfung, um gegenüber Ihren Geschäftspartnern und Kunden die Informations­sicherheit ihrer Cloud-Services zu erhöhen und sich auf Basis einer standardisierten Prüfung einen entscheidenden Wettbewerbsvorteil zu sichern.

Eine BSI C5-Zertifizierung kann als Angemessenheitsprüfung zu einem definierten Zeitpunkt oder als Wirksamkeitsprüfung über einen definierten Prüfungszeitraum durchgeführt werden.

Ziel der Angemessenheitsprüfung ist eine Beurteilung,

  • ob die Beschreibung des erbrachten Cloud-Dienstes (zu erstellen von den gesetzlichen Vertretern des Unternehmens) in allen wesentlichen Belangen in Übereinstimmung mit den im Prüfungs­standard enthaltenen Mindestinhalten aufgestellt wurde und
  • ob die in der Beschreibung des Cloud-Dienstes dargestellten und von den gesetzlichen Vertretern umzusetzenden Maßnahmen in allen wesentlichen Belangen geeignet waren und zu dem zu prüfenden Zeitpunkt implementiert waren.

Ziel der Wirksamkeitsprüfung ist es – über die Angemessenheits­prüfung hinaus – zu beurteilen, ob diese Maßnahmen geeignet sowie im geprüften Zeitraum implementiert wirksam waren.

Die BSI C5-Prüfungen erfolgen nach dem deutschen Prüfungs­standard IDW PS 860 „IT-Prüfung außerhalb der Abschlussprüfung“ des Instituts der Wirtschaftsprüfer (IDW) und des IDW Prüfungshin­weises „Die Prüfung von Cloud-Diensten“ (IDW PH 9.860.3 n.F.). Letzterer steht im Einklang mit dem „International Standard on Assurance Engagements“ (ISAE) 3000 (Revised).

Wir beraten Sie:

Wir begleiten Sie von der BSI C5-Erstprüfung (Angemessen­heitsprüfung, Typ 1) bis hin zur Wirksamkeitsprüfung (Typ 2). Hierbei unterstützen wir Sie bei der Absicherung Ihrer Prozesse und coachen Sie projektbegleitend bis zum Abschluss der erfolgreichen Umsetzung.

Unsere Compliance-Prüfungen werden von erfahrenen IT- und Wirtschaftsprüfern durchgeführt, die für Sie eine anerkannte BSI C5-Bescheinigung erstellen und Sie langfristig persönlich begleiten.

Wir verfügen über fundierte Team-Erfahrung bei C5-Bescheinigungen, System- und Prozessprüfungen (IKS, ISAE 3402) und dem initialen Aufbau von geeigneten Kontrollen (IKS) bei Data Centern, SaaS-Anbietern, Service-Providern und Softwareherstellern.

Profitieren Sie von unserem umfassenden BSI C5-Know-how, bewährten Best-Practice-Ansätzen und einem erfahrenen Projektteam, das Ihre Cloud-Services sicher und transparent macht.

 
 

Mehr erfahren?

Der Kriterienkatalog des BSI C5:2020 umfasst für den Bereich Infrastructure as a Service (IaaS) 17 Themenbereiche:
 

  • Organisation der Informationssicherheit (OIS)
  • Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
  • Personal (HR)
  • Asset-Management (AM)
  • Physische Sicherheit (PS)
  • Regelbetrieb (OPS)
  • Identitäts- und Berechtigungsmanagement (IDM)
  • Kryptografie und Schlüsselmanagement (CRY)
  • Kommunikationssicherheit (COS)
  • Portabilität und Interoperabilität (PI)
  • Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
  • Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
  • Umgang mit Sicherheitsvorfällen (SIM)
  • Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
  • Compliance (COM)
  • Umgang mit Ermittlungsfragen staatlicher Stellen (INQ)
  • Produktsicherheit (PS)

Innerhalb dieser Bereiche sind 121 Kriterien mit detaillierten und zu erfüllenden Anforderungen aufgeführt, z. B.
 

  • Richtlinien zur Informationssicherheit,
  • Regelungen für Zugriffskontrolle und Authentifizierung,
  • Anforderungen an Verschlüsselung von Daten in Ruhe und in Transit,
  • Prozesse für Incident Response und Notfallwiederherstellung,
  • Richtlinie für die Planung und Durchführung von Audits,
  • Redundanzmodelle,
  • Konzept zum Umgang mit Metadaten bei Protokollierung und Überwachung sowie
  • Dokumentation und Nachweisführung für Prüfungen.

Die Einhaltung des BSI C5-Kriterienkatalogs wird durch Wirtschaftsprüfer testiert und gegenüber Kunden transparent nachgewiesen. In diesem Prozess beauftragt der Cloud- oder SaaS-Anbieter direkt die Prüfer. Der Prüfbericht enthält eine detaillierte Dokumentation der durchgeführten Prüfhandlungen sowie eine Beschreibung des erbachten Cloud-Dienstes, die die umgesetzten Sicherheitsmaßnahmen des Anbieters nachvollziehbar darstellt.

Ist der Cloud-Anbieter noch nicht nach BSI C5 testiert und wird dieser beispielsweise in einer Ausschreibung vertraglich hierzu verpflichtet, empfehlen wir, initial eine projektbegleitende Angemessenheitsprüfung nach Typ 1 unter Prüfung der Mindestkriterien durchzuführen.

Nach Implementierung aller Maßnahmen beginnt der Zeitraum für eine mögliche Wirksamkeitsprüfung, die üblicherweise einen Zeitraum von mindestens sechs bis maximal zwölf Monaten umfasst. Je nach Reifegrad und gefordertem Sicherheitslevel empfiehlt sich auch eine erweiterte Betrachtung durch Anwendung der Zusatzkriterien.

In der Praxis greifen Cloud-Anbieter bei ihrer Service-Erbringung häufig auf eigene Subdienstleister zurück – etwa Hosting- oder Housing-Partner für den Rechenzentrumsbetrieb sowie strategische Partner wie AWS, Azure, Google Cloud oder die Open Telekom Cloud. Für C5-Zertifizierungen ist dabei eine präzise und nachvollziehbare Abgrenzung der Verantwortlichkeiten unerlässlich.

Subdienstleister können beispielsweise nach der Carved-out-Methode behandelt werden. Hierbei erfolgt die Überwachung gemäß den BSI C5-Kontrollen zur Lieferantensicherheit und Outsourcing (SSO) über regelmäßige Nachweisprüfungen (z. B. Nachweis mittels eigener C5- oder ISAE 3402-Testate sowie ISO-Reporte) und die daraus resultierenden Risikobeurteilungen.

Hierbei lassen sich durch einen optimierten Prüfungsablauf und eine sinnvolle Abgrenzung Synergievorteile erzielen, die den Prüfungsaufwand erheblich verringern können. Gerne beraten wir Sie hierbei.
 

Beispiel:

Der BSI C5-Kriterienbereich „Physische Sicherheit (PS)“ ist nicht Teil der Beschreibung der gesetzlichen Vertreter (und entfällt bei der Prüfung), weil er ausschließlich im Verantwortungsbereich von genutzten Rechenzentrumsbetreibern liegt.

Die Sicherheitsanforderungen für Räumlichkeiten und Gebäude mit Bezug zu dem bereitgestellten Cloud- oder SaaS-Angebot können dabei durch den Rechenzentrumsbetreiber mittels eines eigenen C5-Testats (Typ 2) entsprechend den Anforderungen gemäß C5: PS-01-07 nachgewiesen werden.

Eine angemessene und wirksame Überprüfung der Umsetzung kann gemäß einer Richtlinie zum Lieferantenmanagement (C5: SSO-01 und SSO-02) erfolgen.

Abweichungen von den Prüfkriterien werden im Rahmen des Risikomanagements individuell bewertet und behandelt. Geeignete Eskalations- und Remediationsprozesse sind definiert.