Bundesamt für Sicherheit in der Informationstechnik

Cloud-Zertifizierung

Zielgruppe

Zertifikate und Testate weisen die angebotene Informationssicherheit eines Cloud-Anbieters nach. Allerdings muss der Cloud-Anwender die Aussagekraft des Zertifikats/Testats kennen, um beurteilen zu können, ob dadurch die eigenen Sicherheitsvorgaben eingehalten werden können.

Rolle: Cloud-Anwender (primär) und Cloud-Anbieter (primär)
Zielgruppe: Management (primär), Professionals (sekundär)

Zertifizierung/Testierung

Die grundlegende Idee hinter Zertifikaten/Testaten ist, dass sich ein Cloud-Anbieter einem Satz von Anforderungen unterwirft und sich von einem unabhängigen Dritten auf die Einhaltung dieser Anforderungen prüfen lässt. Die Prüfung folgt dem für das Zertifikat/Testat zugrunde gelegte Auditschema und das Prüfungsergebnis wird in einem festgelegten Format festgehalten.

Der Anwender (oder Kunde) kann dann seine Anforderungen mit denen dem Zertifikat/Testat zugrunde liegenden abgleichen und entscheiden, ob die eigenen Anforderungen dadurch abgedeckt sind. Zertifikate und Testate dienen aber auch dazu, Vertrauen aufzubauen, denn der Cloud-Anbieter macht einem Externen die eigenen Sicherheitsmaßnahmen transparent und veröffentlicht das Ergebnis, oder zumindest Teile davon.

Die Komplexität des Cloud Computing macht es für Cloud-Anwender noch schwieriger, sich über die Sicherheitsmaßnahmen des Cloud-Anbieters zu informieren, weshalb der Ruf nach (international anerkannten) Zertifikaten zur Cloud-Sicherheit nachhaltig ist.

Übersicht über Zertifizierungen

Auf dem Markt gibt es bereits einige Zertifikate für Cloud-Angebote. Zu den bekannten zählen das Gütesiegel SaaS von EuroCloud, CSA STAR, TÜV Trust IT.

Das IT-Grundschutz-Zertifikat des BSI kann auch von Cloud-Anwendern genutzt werden, da der IT-Grundschutz um einige Cloud-spezifische Themen erweitert wurde.

Testierung nach dem Anforderungskatalog Cloud Computing (C5) des BSI

Der Anforderungskatalog C5 kann durch ein Audit analog zu ISAE 3402 beim Cloud-Anbieter geprüft werden, woraus ein so genannter SOC 2-Bericht über die Angemessenheit und Wirksamkeit der Kontrollen entsteht. Diese Testierung steht jedoch unter keinerlei Aufsicht durch das BSI, sondern wird durch einen Wirtschaftsprüfer vergeben.

Alle Informationen sind auch in Englisch verfügbar.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK