Bundesamt für Sicherheit in der Informationstechnik

Wie ist mit den Aspekten des C5 umzugehen, die nicht in ISAE 3000-Prüfungen vorgesehen sind?

Im C5 (Cloud Computing Compliance Controls Catalogue) wird festgelegt, dass die Anforderungen des C5 nach dem Prüfstandard ISAE 3000 und für weitere Aspekte unter sinngemäßer Anwendung von ISAE 3402 und SOC 2 geprüft werden müssen. Werden im C5 zusätzliche Dinge verlangt, so sind die Regelungen des C5 maßgeblich. Dies trifft z. B. auf die Anforderung zu, Auskunft über das Prüfteam im Bericht zu geben. In ISAE 3000-Prüfberichten wird normalerweise nur der unterzeichnende Wirtschaftsprüfer genannt. In einem C5-konformen Bericht ist jedoch auch Auskunft über das das Prüfteam und dessen Qualifikationen zu geben. Auch bei der Systembeschreibung geht C5 über Anforderungen eines ISAE 3000-Berichts hinaus. Bei diesen liefert der Cloud-Anbieter die Systembeschreibung, die vom Wirtschaftsprüfer nur sehr wenig beeinflusst wird. Beim C5 geben die Umfeldparameter (siehe UP-01 bis UP-04) im Wortlaut vor, was in der Systembeschreibung der geprüften Services dokumentiert sein muss. Der C5 fordert bewusst mehr Details, als in ISAE 3000-Prüfungen sonst üblich ist. Diese Informationen können in die Systembeschreibung eingearbeitet werden oder am Ende der Systembeschreibung zusätzlich aufgeführt sein.

Wie kann eine typische ISAE 3000-Prüfung mit möglichst geringem Mehraufwand zu einer C5-Prüfung ausgebaut werden?

Das Konzept des C5 ermöglicht es, Prüfungen mit größtmöglicher Effizienz durchzuführen, indem möglichst viele Prüfergebnisse aus vorhandenen Prüfungen des gleichen Zeitraums verwendet werden können. Hierzu müssen die bisher geprüften Kontrollen der ISAE 3000-Prüfung des Cloud-Anbieters mit den C5-Kontrollen abgeglichen werden, um die Differenz sichtbar zu machen. Dort wo die Anforderungen aus dem Kontrollsystem des Anbieters das gleiche oder mehr umfassen als die C5-Anforderungen, ist für den C5-konformen Bericht keine zusätzliche Prüfung notwendig. Fordert der C5 mehr, muss diese Differenz zusätzlich geprüft werden. Je genauer dieser Unterschied bestimmt ist, umso effizienter kann die Prüfung nach C5 gestaltet werden. Zu beachten ist, dass die ISAE 3000-Prüfung nach Typ II durchgeführt wurde, also Angemessenheit und Wirksamkeit geprüft wurden, wie es auch der C5 fordert.

Wie kann sicher gestellt werden, dass eine Prüfung und ein Bericht C5-konform sind? Prüft das BSI vorhandene C5-Berichte?

Das BSI führt keine Aufsicht über C5-Prüfungen durch und gibt daher keine Liste anerkannter C5-Testate heraus. C5-Testate werden von Wirtschaftsprüfern erstellt und das BSI kann nicht sicherstellen, dass C5-Testate nur vergeben werden, wenn alle Anforderungen aus dem C5 eingehalten werden. Es ist vom reinen Ansehen her nicht ersichtlich, ob lediglich eine ISAE 3000-Prüfung in Anlehnung an oder unter Berücksichtigung von C5 oder tatsächlich eine ISAE 3000-Prüfung unter Einhaltung aller C5-Anforderungen durchgeführt wurde. Die in Kapitel 3.6 des Anforderungskatalogs genannte Sichtung des Prüfberichts ist daher unerlässlich. Jedoch können folgende schnell prüfbare Anhaltspunkte einen ersten Eindruck verschaffen:

  • Der C5 muss von einem Wirtschaftsprüfer geprüft werden. Ist er nicht von einem Wirtschaftsprüfer unterschrieben, ist der Bericht nicht C5-konform.
  • Der C5 fordert Auskunft über das gesamte Prüfteam inklusive ihrer Qualifikationen (und mindestens die Hälfte des Teams muss bestimmte Erfahrungen und Berufsqualifikationen besitzen). Fehlt diese Auskunft ist der Bericht nicht C5-konform.
  • Ein ISAE 3000-Bericht besteht in der Regel aus drei Teilen (plus Anhang): Zusammenfassende Prüfaussage des Wirtschaftsprüfers, Systembeschreibung und Kontrollprüfung.Der C5 macht mit seinen Umfeldparametern (UP-01 bis UP-04) besondere Vorgaben, was in der Systembeschreibung über den Cloud-Dienst aufgeführt werden muss. Fehlen diese Informationen (und sind sie nicht an anderer Stelle im Bericht enthalten), ist der Bericht nicht C5-konform.
  • Falls im Bericht Abweichungen von den geforderten Kontrollen gefunden werden, so muss in einem C5-konformen Bericht aufgeführt werden, welche Maßnahmen zur Behebung dieses Mangels ergriffen werden, ob dieser Mangel bereits im vorhergehenden Prüfzeitraum aufgetreten ist und unter welchen Umständen dieser Mangel erkannt wurde.
  • Nur wenn alle Kontrollen aus Kapitel 5 des C5 geprüft wurden, kann die Prüfung vollständig sein. Wenn der Bericht in der Prüfaussage des Wirtschaftsprüfers (Auditor-Opinion) zusätzlich erwähnt, dass die geprüften Services alle zusätzlichen Anforderungen zur Vertraulichkeit oder Verfügbarkeit (oder beides) erfüllt, dann müssen diese Kontrollen zusätzlich aufgeführt sein.

Besteht bis hier hin kein Grund zur Beanstandung, dann kann mit einer eingehenden Sichtung der Prüfungsergebnisse zu jeder Kontrolle aus dem C5 begonnen werden. Es muss dem Leser ersichtlich werden, wie der Prüfer zu seinem Ergebnis gelangt ist. Bei Unklarheiten sollte der Cloud-Anbieter kontaktiert werden.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK