Cloud-Dienstleistungen müssen unabhängig von ihrer Anwendung gewissen Mindestsicherheitsanforderungen genügen. Diese werden im Kriterienkatalog C5 (Cloud Computing Compliance Controls Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert.
- Der Kriterienkatalog wurde 2019 grundlegend überarbeitet, die neue Version 2020 fertiggestellt.
- Am 1. Juli 2024 trat der neue § 393 des Sozialgesetzbuchs (SGB) V für Cloud-Dienste in der Gesundheitsbranche in Kraft.
Anbieter von Cloud-Diensten im Gesundheitswesen benötigen seitdem ein C5-Testat oder vergleichbare Testate oder Zertifikate, um nachzuweisen, dass sie die C5-Kriterien erfüllen. Aber auch Bundesbehörden (Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG) und Betriebe im Versorgungswesen bzw. Betreiber von KRITIS (§ 8a Absatz 3 BSIG, IT-Sicherheitsgesetz) benötigen ein C5-Testat.
Mit dem Kriterienkatalog und dem Compliance-Nachweis in Form des C5-Testats will der Gesetzgeber ein hohes Niveau an Informationssicherheit gewährleisten, diese mit einer standardisierten Prüfung transparent machen und damit Vertrauen in Cloud-Services schaffen. Kunden von Cloud-Dienstleistungen bietet ein solches C5-Testat eine Orientierung bei der Auswahl ihrer Geschäftspartner.
C5-Testat Prüfung: Prüfgegenstand und Prüfungsarten
In der C5-Prüfung werden ein oder mehrere Cloud-Dienste für definierte Regionen von Wirtschaftsprüfern geprüft – auf Basis des internationalen Standards ISAE 3000 oder dessen nationaler Umsetzung. Eine jährliche Wiederholung wird empfohlen.
Konkret wird nach BSI-Angaben bei der C5-Prüfung das interne Kontrollsystem des Cloud-Anbieters zur Bereitstellung des Cloud-Dienstes untersucht. Dieses umfasst die Grundsätze, Verfahren, Maßnahmen sowie die eingerichteten Kontrollen in der Aufbau- und Ablauforganisation des Cloud-Dienstanbieters.
Es werden zwei Prüfungstypen unterschieden:
- Bei der Angemessenheitsprüfung (Typ 1) gibt der Auditor ein Prüfungsurteil darüber ab, ob die Kontrollen zum Zeitpunkt der Prüfung angemessen ausgestaltet und eingerichtet sind („suitability of the design“). Sie ist die relevante Form einer Erstprüfung.
- Bei der Wirksamkeitsprüfung (Typ 2) umfasst das Urteil neben der Aussage zur Angemessenheit eine Aussage über die Wirksamkeit der Kontrollen in einem Prüfungszeitraum („operating effectiveness“). Diese Prüfungsform ist relevant für Folgeprüfungen. Im Prüfbericht werden die Prüftätigkeiten dokumentiert und das System mit den Maßnahmen des Anbieters beschrieben.
C5-Testate für Medizingerätehersteller und E-Health Dienstleister
Die achelos GmbH unterstützte einen Medizingerätehersteller und einen E-Health Dienstleister dabei, C5-Testate zu erhalten.
- Der Medizingerätehersteller ist ein führender Anbieter von Dialyseprodukten. Sein Ziel war die Entwicklung eines Cloud-Services, über den Dialysegeräte voreingestellt werden können. Zunächst wurde dafür ein Threat Modelling vorgenommen und eine Risikoanalyse erstellt. Dem schloss sich die Selektion von passenden Maßnahmen zur Risikominderung gemäß den Anforderungen von C5 an.
Der Medizingerätehersteller hat damit die erforderlichen Basis- und Zusatzkriterien aus dem C5 umsetzen können und das Testat erhalten. Sein Cloud-Service ist abgesichert, wird regelmäßig geprüft und kann am Markt angeboten werden. Aufgrund der regelmäßigen Re-Testierung sind die Prüfaufwände deutlich geringer als bei unregelmäßiger Überwachung.
- Der E-Health Dienstleister ist Marktführer im Bereich digitaler Arzt- und Zahnarztinformationssysteme. Er bietet Krankenhäusern und medizinischen Versorgungszentren Lösungen für E-Health-Management. Sein Cloud-Service-Modell sollte für eine C5-Testierung vorbereitet werden. achelos erstellte eine Bestandsaufnahme und eine GAP-Analyse. Maßnahmen wurden an die neuen C5-Anforderungen angepasst und ergänzende C5-Kriterien ausgewählt. Alle C5-Kriterien für das Cloud-Service-Modell wurden erfasst und umgesetzt. Das C5-Testat wurde erteilt und wird regelmäßig erneuert. Das Cloud-Service-Modell des E-Health Dienstleisters verschafft ihm nun deutliche Vorteile gegenüber dem Wettbewerb.
Die Vorteile einer C5-Zertifizierung
Unternehmen profitieren von einer C5-Zertifizierung auf unterschiedlichen Wegen: Sie kann den Zugang zu öffentlichen Aufträgen ebnen, da bei Bundesbehörden und im öffentlichen Sektor ein aktuelles C5-Testat oft Voraussetzung für die Vergabe ist. Zertifizierte Anbieter können sich in einem wachsenden und komplexen Markt von der Konkurrenz abheben und einen Wettbewerbsvorteil generieren. Ein C5-Testat signalisiert die Einhaltung hoher Sicherheitsstandards und ist ein Ausweis für Qualität.
Auch Kundenaudits können durch die C5-Prüfung vereinfacht werden, da der Nachweis der Einhaltung von Sicherheitskriterien bereits erbracht wurde. Unternehmen zeigen sich transparent, was das Kundenvertrauen stärken kann. Nicht zuletzt ist der C5-Katalog eine Unterstützung für das Risikomanagement und die Identifikation von Sicherheitsrisiken.
Expertenunterstützung von der Vorbereitung bis zur Zertifizierung
Um es Unternehmen zu erleichtern, die Prüfung zu bestehen und ein C5-Testat zu erlangen, bietet achelos Unterstützung von der Vorbereitung bis zum finalen Audit an.
Der Prozess beginnt mit einer initialen Sicherheitsanalyse der aktuellen Cloud-Infrastruktur und Anwendungsebene der Cloud-Dienste. Dem schließt sich eine Gap-Analyse im Vergleich zu den C5-Anforderungen an. Danach werden die notwendigen Sicherheitskontrollen entwickelt und implementiert, Sicherheitsrichtlinien und -prozesse erstellt und angepasst. IT-Teams werden in den C5-Anforderungen und Best Practices geschult. Regelmäßige Workshops zur kontinuierlichen Verbesserung der Sicherheitsstandards bieten sich an.
In der Auditvorbereitung unterstützt achelos bei der Dokumentation aller Nachweise und führt eine interne Prüfung durch. Final vermittelt achelos einen geeigneten Wirtschaftsprüfer für das externe C5-Audit.
Autoren: Gorden Bittner, Sales Director und Mario Kemper, Security Consultant – achelos GmbH
