Sicheres Cloud Computing in der EU (archiviert)
BSI C5-Katalog Basis für Datenschutz und Informationssicherheit
Ort Bonn
Datum 27.01.2021
Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte „Cloud Computing Compliance Criteria Catalogue“ (C5) hat sich seit seiner Veröffentlichung 2016 zum etablierten und vielfach national und international umgesetzten Standard der Cloud-Sicherheit entwickelt. Der C5-Kriterienkatalog wurde aktiv vom BSI in die Entwicklung eines EU-Zertifizierungsschemas für Cloud-Dienste eingebracht und bildet hierfür eine wesentliche Grundlage. Neben Aspekten der Informationssicherheit deckt der C5 auch eine Vielzahl von Anforderungen ab, die im Kontext des Datenschutzes zu erbringen sind.
BSI-Präsident Arne Schönbohm: In Zeiten der Digitalisierung ist Datensicherheit eine wesentliche Voraussetzung für erfolgreichen Datenschutz. Insbesondere beim Cloud Computing ist die Einhaltung des Datenschutzes immer noch eine Herausforderung. Der C5 deckt viele technische und organisatorische Maßnahmen ab, die auch für den Datenschutz eine notwendige Voraussetzung sind. Ich freue mich, dass viele Inhalte unseres international sehr erfolgreichen C5-Kriterienkatalogs auch in den Entwurf des EU-Zertifizierungsschemas übernommen wurden. Als Gestalter einer sicheren Digitalisierung bringen wir unser Know-how auf internationaler Ebene ein und tragen dazu bei, dass Cyber-Sicherheit ‚Made in Germany‘ auch international ein integrierter Bestandteil innovativer digitaler Angebote ist.
Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber: Die Nutzung von Cloud-Diensten ist im Alltag praktisch, aber es muss eben auch sicher sein. Ein EU-Zertifizierungsschema kann den Bürgerinnen und Bürgern dabei helfen, die Sicherheit von Cloud-Diensten besser zu bewerten. Es würde mich freuen, wenn sich darin wesentliche Teile des C5-Kriterienkatalogs wiederfinden. Wichtige Teilaspekte des Datenschutzes würden so direkt mit berücksichtigt.
Ziel des EU-Zertifizierungsschemas ist es, bessere Bedingungen zur Nutzung von Cloud-Diensten im EU-Binnenmarkt zu schaffen sowie eine Harmonisierung und Straffung der für eine Zertifizierung notwendigen Nachweise herbeizuführen. Um das EU-Zertifizierungsschema noch besser an die Bedürfnisse der verschiedenen Stakeholder anzupassen, hat die europäische Cyber-Sicherheitsagentur ENISA am 22. Dezember 2020 die öffentliche Kommentierung des Entwurfs für das Zertifizierungsschema zur Cloud-Sicherheit unter dem Cyber Security Act gestartet. Noch bis 7. Februar 2021 besteht die Möglichkeit, den auf der ENISA-Webseite veröffentlichten Entwurf zu kommentieren.
Über den C5-Kriterienkatalog des BSI
Der „Cloud Computing Compliance Criteria Catalogue“ richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE--International Standard on Assurance Engagements 3000.
Pressekontakt:
Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: presse@bsi.bund.de
Internet: www.bsi.bund.de