Bundesamt für Sicherheit in der Informationstechnik

Was reicht als Nachweis aus?

Das BSI kann nicht verbindlich vorgeben, was ein Kunde als hinreichenden Nachweis zu akzeptieren hat. Das liegt im Ermessen des jeweiligen Kunden. Er wird in der Regel die Einhaltung der Anforderungen vertraglich vom Cloud-Anbieter einfordern. Dies ist deutlich verbindlicher als eine reine Selbstauskunft durch den Cloud-Anbieter, wirft aber die Frage auf, wie der Kunde die Einhaltung der Anforderungen nachprüfen oder plausibilisieren kann. Dem Cloud-Anbieter muss daran gelegen sein, diese Nachfragen von Kunden möglichst effizient zu behandeln, um einen "Prüftourismus" in seinen Rechenzentren zu vermeiden. So liegt es nahe, unabhängige Dritte die Prüfung vornehmen zu lassen.

Wie wird nachgewiesen, dass die Anforderungen erfüllt werden?

Im Anforderungskatalog wird ein Verfahren beschrieben, das in seiner Verbindlichkeit über eine reine vertragliche Zusicherung hinaus geht (ohne diese obsolet zu machen), für einen Cloud-Anbieter effizient ausgestaltet werden kann und das für besondere Kundenwünsche Erweiterungen zulässt. Es sieht vor, dass ein Wirtschaftsprüfer nach einem international anerkannten Verfahren ein Testat für die betrachteten Cloud-Dienste erteilt. Dieses Testat (s.u. für Details) adressiert die Angemessenheit des Designs der umgesetzten Maßnahmen und zusätzlich deren Wirksamkeit über den Prüfzeitraum. Grundlage für das Testat ist ein Prüfbericht indem der Prüfer darstellt, ob die Anforderungen erfüllt und wirksam umgesetzt waren.

Warum gibt es kein BSI-Zertifikat zum Anforderungskatalog?

Da Cloud Computing oft international aufgestellt ist, lag es dem BSI daran, kein neues nationales Zertifikat einzuführen, sondern möglichst auf im internationalen Umfeld Bewährtes zurückzugreifen. Zudem wäre die Aufrechterhaltung eines neuen Zertifizierungsprozesses sehr aufwändig. Das BSI hat mit dem IT-Grundschutz bereits ein Zertifikat im Portfolio, das auch Cloud Computing abdeckt und national angewendet werden kann.

Wieso erstellen Wirtschaftsprüfer das Testat?

Sehr viele Cloud-Anbieter sind gesetzlich verpflichtet, eine Jahresabschlussprüfung durch Wirtschaftsprüfer durchführen zu lassen. Ein nicht geringer Teil davon beinhaltet eine Prüfung der IT-Systeme, die für die Buchhaltung und Erstellung des Jahresabschlusses relevant sind. Dieser Teil wird immer umfangreicher und kann relativ einfach auf IT-Systeme ausgedehnt werden, die Cloud-Dienste für Kunden bereitstellen.

Können Wirtschaftsprüfer das überhaupt fachlich leisten?

Eine Jahresabschlussprüfung wird in der Regel nicht von einem Wirtschaftsprüfer in Person durchgeführt, sondern von einem Team. Darin gibt es auch IT-Experten. Um den Anforderungskatalog zu testieren, müssen Team-Mitglieder ihre Qualifikation nachweisen (siehe Abschnitt 3.5.1). Mögliche Personenzertifizierungen sind z. B. von der ISACA (CISA, CISM, CRISC), der CSA (CCSK) oder ISO 27001- und IT-Grundschutz-Auditoren. Diese Qualifikationen müssen im Testat aufgeführt und nachgewiesen werden.

Was ist der Unterschied zwischen einem Testat und einem Zertifikat?

Bei einem Zertifikat gibt es drei verschiedene Parteien: Auditierter, Auditor, Zertifizierungsstelle. Der Auditbericht des von der Zertifizierungsstelle akkreditierten Auditors, wird zur Überprüfung an die Zertifizierungsstelle geschickt. Wenn dieser den Regularien der Zertifizierung entspricht, wird von der Zertifizierungsstelle ein entsprechendes Zertifikat erteilt. Die Beteiligung dieser drei Parteien soll die Qualität und Vergleichbarkeit der Zertifikate gewährleisten. Zudem verhindert oder erschwert ein solches Vorgehen "Gefälligkeits-Zertifikate".

Bei der Testierung gibt es nur zwei Parteien: den Auditierten und den Auditor. Der Auditor wird vom Auditierten mit der Prüfung beauftragt und von ihm bezahlt. Somit besteht eine Abhängigkeit des Auditors vom Auditierten, die zu einer Beeinträchtigung der Qualität des Testats führen kann. Um hier entgegenzuwirken wurde für den Anforderungskatalog ein Verfahren gewählt, bei dem der Prüfer in der Regel für seine Prüfungsleistung haftet (siehe Abschnitt 3.5.3).

Worauf ist beim Testat zu achten?

Der Cloud-Kunde muss bei einem Testat eines Cloud-Anbieters darauf achten, dass folgende Randbedingungen erfüllt sind, die das BSI aufgestellt hat.

Der Prozess der Auditierung und Berichterstattung erfolgt nach dem international eingesetzten und erprobten Standard ISAE 3000 (Revised) "Assurance Engagements Other than Audits or Reviews of Historical Financial Information". Er umfasst allgemeine Anforderungen an die Qualifikation und das Verhalten eines Prüfers (z. B. sachverständige Beurteilung und Skepsis) sowie an die Annahme, Planung und Durchführung eines Prüfungsauftrags (siehe Abschnitt 3.2.1). Zudem gibt es weitere Regelungen, die sinngemäß angewendet werden sollen: ISAE 3402 "Assurance Reports on Controls at a Service Organization" bzw. IDW PS 951 n.F. "Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen" und weitere (siehe Abschnitt 3.2.2).

Die grundlegenden Prinzipien für die Testierung sind: Relevanz, Vollständigkeit, Verlässlichkeit, Neutralität und Verständlichkeit. Der Prüfbericht muss in der Form eines SOC 2-Berichts (Service Organization Control) abgefasst werden.

Wie steht es um die Effizienz der Prüfung dieses Anforderungskataloges?

Es ist das Anliegen des BSI, Cloud-Anbieter nicht übermäßig durch eine weitere Prüfung von Standardanforderungen zu belasten. Bei einer Prüfung durch Wirtschaftsprüfer besteht für den Cloud-Anbieter der Vorteil, dass Wirtschaftsprüfer ohnehin jedes Jahr den Jahresabschluss prüfen, so dass ein Audit nach diesem Anforderungskatalog leicht mit der Jahresabschlussprüfung kombiniert werden kann. Hier gibt es bereits eine Überlappung der Anforderungen, sodass eine Prüfung für zwei unterschiedliche Berichte genutzt werden kann. Ferner kann ein Cloud-Anbieter weitere Prüfungen, beispielsweise nach ISO-Standards, mit dieser Prüfung kombinieren, indem das Prüfteam um entsprechende Auditoren erweitert wird. Dadurch entsteht weiteres Synergiepotenzial.

Was ist ein SOC 2-Bericht?

SOC 2-Berichte nach den Vorgaben der AICPA (American Institute of Certified Public Accountants) dienen dazu, das interne Kontrollsystem eines Dienstleisters in Bezug auf Sicherheit, Verfügbarkeit, Prozesse, Integrität, Vertraulichkeit und Datenschutz zu verstehen. Dieser Bericht gibt dem Kunden des Dienstleisters die notwendigen Informationen für dessen eigenes Kontrollsystem und sein Risikomanagement.

Die Prüfung muss so durchgeführt und dokumentiert werden, dass ein sachverständiger Dritter noch nach 10 Jahren genau nachvollziehen kann, wie das Prüfungsergebnis zustande kam.

Generell unterscheidet man zwei verschieden Typen von Berichten: Typ 1 und Typ 2.

Was unterscheidet einen SOC 2-Bericht Typ 1 von Typ 2?

Bei einem SOC 2-Bericht nach Typ 1 wird geprüft ob das "Design" so ausgelegt ist, dass die Anforderungen des Anforderungskatalog erfüllt werden. In einem SOC 2-Bericht nach Typ 2 wird auch die Wirksamkeit der implementierten Maßnahmen im Berichtszeitraum getestet. Dies ist ein wesentlicher Unterschied zu vielen anderen Zertifizierungen auf dem Gebiet der IT-Sicherheit. Bei einer erstmaligen Prüfung kann es vorkommen, dass noch zu wenige Aussagen über die Wirksamkeit gemacht werden können. Dann kann für diesen Zeitraum nur ein Bericht vom Typ 1 gemacht werden, der aber dort wo möglich, auch Aussagen zur Wirksamkeit der Maßnahmen macht. Im nächsten Prüfungszeitraum ist dann ein Bericht nach Typ 2 zu fordern.

Gibt es spezielle Anforderungen an das Testat für den Anforderungskatalog?

Zu einem BSI-konformen Testat eines Cloud-Dienstes muss der Bericht folgende Informationen enthalten:

  • detaillierte Systembeschreibung des Cloud-Dienstes (siehe Abschnitt 3.3.2)
  • Qualifikation des Prüfers (siehe Abschnitt 3.5.1)
  • bestehende bzw. festgestellte Abweichungen von den Anforderungen (siehe Abschnitt 3.5.2)
  • Angaben zur Haftungsbegrenzung (siehe Abschnitt 3.5.3)

Gibt es bei der Erteilung eines Testats Vorteile, falls schon andere Zertifikate vorhanden sind?

Zertifikate werden im Rahmen des Testats grundsätzlich nicht anerkannt. Dies hat im Wesentlichen zwei Gründe:

  • Die Art und Weise der Zertifikate unterscheidet sich vom Testat, da z. B. die Wirksamkeit der Maßnahmen in der Vergangenheit nicht überprüft wird.
  • Da der Wirtschaftsprüfer das Testat unterschreibt und dafür haftet, kann er zwar in begrenztem Maß auf Berichte anderer Zertifikate zurückgreifen, aber in der Regel wird er die Prüfung unabhängig davon durchführen wollen.

Und wenn gleichzeitig mit der Testierung eine Zertifizierung durchgeführt wird?

In diesem Fall hat das Testat folgenden großen Vorteil: da alle Anforderungen der ISO/IEC 27001 auch im Anforderungskatalog aufgeführt sind, kann bei gleichzeitiger Testierung und Zertifizierung das Prinzip "audit once – certify many" angewendet werden. Hierunter versteht man, dass das Ergebnis der Prüfung einer Anforderung für unterschiedliche Audits verwendet werden kann, also z. B. für den Anforderungskatalog und für ein Zertifikat nach ISO/IEC 27001. Dies verringert den Aufwand bei der Durchführung der Prüfung erheblich. Sehr hilfreich ist hierbei die Matrix, die die Anforderungen des Katalogs auf andere Normen aufzeigt.

Und wie wird mit den Zertifikaten/Testaten von Unterauftragnehmern umgegangen?

Idealerweise hat der Unterauftragnehmer, der Services für den Cloud-Anbieter erbringt, auch ein Testat nach dem Anforderungskatalog. Dann kann dies vom Wirtschaftsprüfer in einfacher Weise herangezogen werden und fügt sich in die eigene Prüfung nahtlos ein. Alle anderen Zertifikate werden als Indikatoren für erreichte Sicherheit angesehen, werden aber vom Auditor ggf. überprüft.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK