Bundesamt für Sicherheit in der Informationstechnik

Anforderungskatalog Cloud Computing (C5)

Zielgruppen

Der Anforderungskatalog (englischer Titel: Cloud Computing Compliance Controls Catalogue, kurz "C5") richtet sich in erster Linie an professionelle Cloud-Diensteanbieter deren Prüfer und Kunden der Cloud-Diensteanbieter. Es wird festgelegt, welche Anforderungen die Cloud-Anbieter erfüllen müssen bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte.

Rolle: Cloud-Anbieter (primär), Cloud-Anwender (sekundär)
Zielgruppe: Professionals (primär), Management (sekundär)

Inhalt

Cloud Computing bedeutet einen Umbruch für die IKT-Branche und ihre Kunden, und verspricht sowohl Kostenvorteile als auch hohe Flexibilität. Insgesamt mangelt es in der Branche zwar nicht an Sicherheitsempfehlungen, Standards und Zertifikaten. Die Standards weisen auch trotz unterschiedlicher Blickwinkel auf die Cloud-Sicherheit eine hohe inhaltliche Übereinstimmung auf. Eine allgemein anerkannte Basis-Linie für Sicherheit im Cloud Computing existiert aber noch nicht. Zertifizierungen auf Basis dieser Standards stehen häufig nur nebeneinander und werden zum Teil mit hohem Aufwand gleichzeitig aufrecht erhalten. Deshalb ist es für Kunden oft schwer zu beurteilen, ob ein Cloud-Dienst die nötige Sicherheit bietet.

Mit der Veröffentlichung des Anforderungskatalogs (C5) zur Beurteilung der Informationssicherheit von Cloud-Diensten wird eine Basislinie für Cloud Security aus Sicht des BSI festgelegt. Dabei wird ein etabliertes Nachweisverfahren verwendet, das nur einen geringen Mehraufwand für den Cloud-Anbieter bedeutet.

Der Katalog ist in 17 thematische Bereiche (z. B. Organisation der Informationssicherheit, Physische Sicherheit) unterteilt. Hier bedient sich das BSI bei anerkannten Sicherheitsstandards wie ISO/IEC 27001, der Cloud Controls Matrix der Cloud Security Alliance sowie BSI-Veröffentlichungen und übernimmt deren Anforderungen, wo immer es sich angeboten hat. Erschien eine Konkretisierung notwendig, wurde diese auch vorgenommen, existierten keine Anforderungen aus anderen Standards, wurden neue erstellt. Neben diesen Basis-Anforderungen sind im Katalog zu vielen Anforderungen auch weitergehende Anforderungen enthalten, die entweder besonders die Vertraulichkeit oder die Verfügbarkeit oder beides zugleich adressieren.

Zusätzlich zum Anforderungskatalog (C5) selbst, wurden die Anforderungen auf die oben genannten Standards referenziert. Diese Information bietet einen schnellen Überblick darüber, wo die Anforderungen des Kataloges in anderen Standards zu finden sind und ob die Anforderungen über die Standards hinaus gehen oder nicht.

Ein Novum im Vergleich zu anderen Sicherheitsstandards sind die sogenannten Umfeldparameter. Sie geben Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen und Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen und enthalten eine Systembeschreibung. Die so geschaffene Transparenz erlaubt es potentiellen Cloud-Kunden zu entscheiden, ob gesetzliche Vorschriften (wie z. B. Datenschutz), die eigenen Richtlinien oder auch die Gefährdungslage bezüglich Wirtschaftsspionage die Nutzung des jeweiligen Cloud-Dienstes als geeignet erscheinen lassen.

Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen SOC 2-Bericht erbracht. Dieser basiert auf dem international anerkannten Testierungsregime der ISAE 3000, das von Wirtschaftsprüfern verwendet wird. Bei der Prüfung des Jahresabschlusses sind sie bereits vor Ort und eine Auditierung nach dem Anforderungskatalog (C5) kann mit nicht allzu hohem Aufwand durchgeführt werden.

Zum Anforderungskatalog (C5) sind die Antworten auf die häufig gestellten Fragen hier zu finden: FAQ Anforderungskatalog

Download

Ergänzendes Material (editierbares Format):

Alle Informationen sind auch in Englisch verfügbar.