Bundesamt für Sicherheit in der Informationstechnik

Wofür ist die ISO/IEC 27001 gedacht?

ISO/IEC 27001 ist der internationale Standard für ein Informationssicherheitsmanagementsystem (ISMS). In ihm ist zugrunde gelegt, wie ein solches Managementsystem ausgeprägt sein muss. Darüber enthält ISO/IEC 27001 im Anhang eine Liste von Anforderungen (controls), die erfüllt bzw. behandelt werden müssen. Umsetzungshinweise (recommandations) zur Umsetzung finden sich in ISO/IEC 27002.

Hält sich der Anforderungskatalog an ISO/IEC 27001?

Der Anforderungskatalog nimmt alle Anforderungen der ISO/IEC 27001 in den Basis-Anforderungen auf. Dies bedeutet, dass ein Cloud-Anbieter, der ISO/IEC 27001 umgesetzt hat, für viele der Anforderungen des Katalogs bereits Maßnahmen implementiert hat.

Der Anforderungskatalog fordert bei den Basis-Anforderungen ein Managementsystem, das sich an ISO/IEC 27001 orientiert. Er lässt es aber dem Cloud-Anbieter frei, auch andere ISMS zu nutzen, solange die wesentlichen Anforderungen der ISO/IEC 27001 an ein solches ISMS erfüllt sind, um so das gleiche Sicherheitsniveau zu erreichen. Die höherwertige Anforderung verlangt dann ein nach ISO/IEC 27001 zertifiziertes ISMS.

Und was ist mit den "Cloud"-Standards ISO/IEC 27017 und ISO/IEC 27018?

Der Standard ISO/IEC 27017 "Code of practice for information security controls based on ISO/IEC 27002 for cloud services" erweitert den Standard ISO/IEC 27002 um Cloud-spezifische Umsetzungshinweise. Zusätzlich nimmt er im Anhang noch einige zusätzlich Anforderungen mit auf, die sich auch im Anforderungskatalog wiederfinden. Der "code of practice" ist eine gute Referenz für die Umsetzung der Anforderungen des Anforderungskatalogs.

ISO/IEC 27018 "Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors" befasst sich mit dem Schutz personenbezogener Daten im Cloud Computing. Er lehnt sich stark an den europäischen Datenschutz an, besitzt aber keinen normativen Charakter. Da der Anforderungskatalog sich nicht mit dem Datenschutz befasst, kann ISO/IEC 27018 als sehr hilfreiche Ergänzung zum Datenschutz herangezogen werden.

Warum wird der französische Standard der ANSSI referenziert?

Zwischen der ANSSI (Agence nationale de la sécurité des systèmes d'information) und dem BSI gibt es eine enge Zusammenarbeit bei der Sicherheit des Cloud Computing. Beide streben das selbe Sicherheitsniveau an, auch wenn dies auf unterschiedlichen Wegen geschieht. Das ESCloud Label, das momentan auf dem C5 des BSI und SecNumCloud der ANSSI basiert, drückt dies sichtbar aus.

Was ist der Unterschied zwischen C5 und dem IT-Grundschutz des BSI?

Der IT-Grundschutz ist ein Standard für die Etablierung und Aufrechterhaltung eines angemessenen Schutzes aller Informationen einer Institution. In den IT-Grundschutz-Katalogen werden Sicherheitsmaßnahmen für typische Geschäftsprozesse, IT-Systeme, Anwendungen beschrieben. Der C5 (Cloud Computing Compliance Controls Catalogue) ist dagegen ein reiner Prüfstandard. Der IT-Grundschutz adressiert vor allem den Schutz der eigenen Informationen im eigenen Unternehmen, der C5 ist dagegen explizit für Dienste eines Cloud Service Provider (CSP) ausgelegt. Beide Werke betrachten die Informationssicherheit ganzheitlich und beschränken sich nicht z. B. nur auf technische Aspekte. Über die Jahre hat sich der IT-Grundschutz, der Informationssicherheit auf konkrete Maßnahmen herunterbricht, als ein Referenzwerk für Informationssicherheit in Deutschland etabliert. Für Cloud-Anbieter, die ihre Services aber oft auf höchst unterschiedliche Weise erbringen, ist ein Modell mit Sicherheitsanforderungen anstatt von Maßnahmen vorteilhafter, da Cloud-Anbietern die Ausgestaltung der Erfüllung dieser Anforderungen überlassen wird.

Adressieren beide das selbe Sicherheitsniveau?

Trotz des unterschiedlichen Aufbaus adressieren beide Möglichkeiten das selbe Sicherheitsniveau für Cloud-Dienste, wenn man die jeweiligen Mindestanforderungen betrachtet. Sowohl IT-Grundschutz als auch C5 zeigen zudem noch Anforderungen bzw. Maßnahmen auf, um ein höheres Sicherheitsniveau zu erreichen.

Wie verhält sich eine Zertifizierung nach IT-Grundschutz zum Testat nach BSI C5?

Wie oben beschrieben unterscheiden sich Zertifikate und Testate grundlegend. Auch sind der Anforderungskatalog C5 und der IT-Grundschutz verschieden aufgebaut, obwohl beide das selbe Sicherheitsniveau für Cloud-Dienste adressieren. Insofern können die beiden Alternativen nicht pauschal verglichen werden. Aus Sicht des BSI sind beide Möglichkeiten geeignet, um die Sicherheit von Cloud-Diensten nachzuweisen. Compliance-Vorschriften, denen der Cloud-Anbieter oder der Cloud-Kunde unterliegen, können bestimmte Arten von Nachweisen verlangen. Der Cloud-Kunde sollte sich auf jeden Fall darüber klar werden, welche Nachweise für ihn geeigneter sind und welche Informationen er vom Cloud-Anbieter erhalten will oder muss. Im übrigen kann der Cloud-Anbieter beide Nachweise effizient kombinieren und so ein noch breiteres Kundenspektrum adressieren.

Wodurch unterscheiden sich die beiden Audit-Berichte grundsätzlich?

Der Audit-Bericht zu einem Testat nach BSI C5 adressiert den Kunden des Cloud-Anbieters, sodass dieser nicht nur eine generelle Aussage des Wirtschaftsprüfers bekommt, sondern auch detailliert selbst nachvollziehen kann, wie dieser zum Prüfungsergebnis kommt. Das führt zu Vorteilen eines C5-Berichts in Bezug auf die Governance des Kunden. Dies gilt nicht für Audit-Berichte bei Zertifizierungen, da diese nicht einen potenziellen Kunden im Blick zu haben. Sie werden für den Auftraggeber und eine Zertifizierungsstelle erstellt. Zudem sind solche Reports in der Regel von den Cloud-Kunden nicht einsehbar. Nur im C5-Bericht wird, neben der Sicherheit des Cloud-Dienstes, über die Umfeldparameter zusätzlich Transparenz der Diensterbringung adressiert.

Worin unterscheiden sich die beiden Prüfungen?

Bei jeder C5-Prüfung werden alle Anforderungen des C5 vollständig auf Angemessenheit und Wirksamkeit hin über einen gewissen Zeitraum (z. B. ein Jahr) der Vergangenheit geprüft. Die Wirksamkeit der sich aus den Anforderungen ergebenden Maßnahmen wird anhand einer statistischen Stichprobe mit einem 95%-Konfidenzintervall ermittelt. Bei einer IT-Grundschutz-Prüfung wird hingegen das ISMS zu einem bestimmten Zeitpunkt analysiert. Dabei werden im gesamten Zertifizierungszeitraum Referenzdokumente und zwischen 7 und 10 Bausteine geprüft.

Bekommt man mit einem IT-Grundschutz-Zertifikat des BSI oder einem ISO 27001-Zertifikat automatisch ein C5-Testat?

Mit einem IT-Grundschutz-Zertifikat oder ISO 27001-Zertifikat bekommt man nicht automatisch ein C5-Testat, da die Nachweise zu unterschiedlich sind.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK