Maximale Sicherheit für Cloud-Dienste

Mit dem Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindestsicherheitsanforderungen für Cloud-Dienstleistungen unabhängig von ihrem Anwendungskontext.
Das Ziel ist, ein hohes Niveau an Informationssicherheit zu gewährleisten, diese mit einer standardisierten Prüfung transparent zu machen und damit Vertrauen in Cloud-Services zu schaffen. Anbieter, die die Prüfung bestehen, erhalten ein C5-Testat. Kunden von Cloud-Dienstleistungen bietet ein C5-Testat eine Orientierung bei der Auswahl ihrer Geschäftspartner und die Grundlage für ein eigenes Risikomanagement.
2019 wurde der Kriterienkatalog C5 grundlegend überarbeitet, die neue Version wurde 2020 fertiggestellt. Nun trat mit dem 1. Juli 2024 der neue § 393 des SGB V für Cloud-Dienste in der Gesundheitsbranche in Kraft. Für die Anbieter von Cloud-Diensten im Gesundheitswesen sind ab sofort ein C5-Testat oder vergleichbare Testate oder Zertifikate erforderlich!
Aber auch Bundesbehörden (Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG) und Betriebe im Versorgungswesen bzw. Betreiber von KRITIS (§ 8a Absatz 3 BSIG, IT-Sicherheitsgesetz) benötigen ein C5-Testat. Es ist damit oft die Voraussetzung, um mit Regierungsbehörden und großen Unternehmen zusammenzuarbeiten.
Optional können sich auch Cloud-Dienstanbieter, deren Kunden eine erhöhte Informationssicherheit benötigen, nach C5 auditieren lassen.
In der C5-Prüfung werden ein oder mehrere Cloud-Dienste für definierte Regionen geprüft – auf Basis des internationalen Standards ISAE 3000 oder dessen nationaler Umsetzung. Die Prüfung darf nur von Wirtschaftsprüfern durchgeführt werden. Erfüllt der Cloud-Dienst alle Kriterien, erhält der Anbieter ein C5-Testat für die geprüften Dienste. Eine jährliche Wiederholung wird empfohlen.
Konkret wird nach BSI-Angaben bei der C5-Prüfung „das dienstleistungsbezogene interne Kontrollsystem des Cloud-Anbieters zur Bereitstellung des Cloud-Dienstes“ geprüft. Dieses umfasst die Grundsätze, Verfahren, Maßnahmen sowie die eingerichteten Kontrollen in der Aufbau- und Ablauforganisation.
Der Cloud-Dienstanbieter fertigt hierüber entweder eine Beschreibung an und gibt eine Erklärung ab oder die Auditoren erheben die eingerichteten Kontrollen selbst und erstatten hierüber Bericht.
Es werden zwei Prüfungstypen unterschieden: Angemessenheitsprüfung und Wirksamkeitsprüfung.
- Typ 1: Bei der Angemessenheitsprüfung gibt der Auditor ein Prüfungsurteil darüber ab, ob die Kontrollen zum Zeitpunkt der Prüfung angemessen ausgestaltet und eingerichtet sind, um die Kriterien des C5 mit hinreichender Sicherheit zu erfüllen („suitability of the design“). Sie ist die relevante Form einer Erstprüfung.
- Typ 2: Bei der Wirksamkeitsprüfung umfasst das Urteil neben der Aussage zur Angemessenheit eine Aussage über die Wirksamkeit der Kontrollen in einem Prüfungszeitraum („operating effectiveness“). Diese Prüfungsform ist relevant für Folgeprüfungen.
Im Prüfbericht werden die Prüftätigkeiten dokumentiert und das System mit den Maßnahmen des Anbieters beschrieben.
- Zugang zu öffentlichen Aufträgen: Bei Bundesbehörden und im öffentlichen Sektor ist ein aktuelles C5-Testat oft Voraussetzung für die Vergabe von Aufträgen.
- Wettbewerbsvorteil: Als zertifizierter Anbieter können Sie sich in einem wachsenden und komplexen Markt vom Wettbewerb abheben und Ihren Mehrwert herausstellen.
- Qualität und Professionalität: Das C5-Testat signalisiert Ihren Kunden, dass Ihr Unternehmen hohe Sicherheitsstandards einhält und in Informationssicherheit investiert.
- Vereinfachte Kundenaudits: Durch eine einmalige C5-Prüfung können Sie einer Vielzahl von Kunden die Einhaltung von Sicherheitskriterien nachweisen. Das reduziert den Aufwand für beide Seiten.
- Kundenvertrauen stärken: Mit einem C5-Testat können Sie Ihren Kunden transparent nachweisen, dass Sie die anspruchsvollen Sicherheitsanforderungen des BSI C5-Standards erfüllen.
- Compliance und Risikomanagement: Die C5-Zertifizierung hilft Ihnen, regulatorische Anforderungen zu erfüllen. Der C5-Katalog ist zudem eine gute Unterstützung für das Risikomanagement und die Identifikation von Sicherheitsrisiken.
Expertenunterstützung von der Vorbereitung bis zur Zertifizierung
achelos unterstützt Cloud-Dienstanbieter ganzheitlich dabei, ein C5-Testat zu erlangen. Dabei gehen wir in den folgenden Schritten vor:
- Analyse und Beratung
- Initiale Sicherheitsanalyse Ihrer aktuellen Cloud-Infrastruktur und Anwendungsebene Ihrer Cloud-Dienste.
- Gap-Analyse im Vergleich zu den C5-Anforderungen
- Implementierung der Sicherheitsmaßnahmen
- Entwicklung und Implementierung notwendiger Sicherheitskontrollen
- Erstellen und Anpassen von Sicherheitsrichtlinien und -prozessen
- Schulungen und Workshops
- Schulung Ihrer IT-Teams in den C5-Anforderungen und Best Practices
- Durchführung regelmäßiger Workshops zur kontinuierlichen Verbesserung der Sicherheitsstandards
- Auditvorbereitung
- Unterstützung bei der Dokumentation aller notwendigen Nachweise
- Durchführung von internen Audits zur Vorbereitung auf das externe C5-Audit durch einen Wirtschaftsprüfer
- C5-Audit
- Vermittlung eines geeigneten Wirtschaftsprüfers zur Durchführung des C5-Audits
- Vermittlung eines geeigneten Wirtschaftsprüfers zur Durchführung des C5-Audits
Sie haben Fragen? Ihre Ansprechpartner in diesem Bereich sind:

