Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

C5 - Ältere Versionen

Auf dieser Seite werden ältere Versionen des C5 und dazugehörige Begleitdokumente zur Verfügung gestellt.

Für Prüfzeiträume, die am oder nach dem 15. Februar 2021 enden, empfiehlt das BSI, die Version C5:2020 anzuwenden, um aktuelle Entwicklungen ausreichend berücksichtigen zu können.

Neuerungen von C5:2016 auf C5:2020

Zwei neue Bereiche für Sicherheitskriterien

  • Der neue Bereich Produktsicherheit fokussiert, anders als die anderen Teile des C5, auf die Sicherheit des Cloud-Dienstes selbst, nicht auf die Erbringung des Dienstes. Beispielsweise wird gefordert, dass der Cloud-Anbieter Leitfäden zur sicheren Konfiguration des Dienstes bereitstellt oder es werden Kriterien an das Session-Management formuliert. Die Anforderungen aus dem Bereich Produktsicherheit sind unter anderem aus dem EU Cybersecurity Act abgeleitet.
  • Der Bereich Umgang mit Ermittlungsanfragen staatlicher Stellen soll einen angemessenen Umgang mit Ermittlungsanfragen staatlicher Stellen hinsichtlich juristischer Überprüfung gewährleisten.

Überarbeitung von Sicherheitskriterien

  • Die bestehenden Sicherheitskriterien wurden zum Teil grundlegend überarbeitet, um die Qualität weiter zu erhöhen und Trends, wie zum Beispiel das Thema "DevOps", besser berücksichtigen zu können.
  • Zu jedem Sicherheitskriterium gibt es nun Hinweise, ob und ggf. wie es im Rahmen einer kontinuierlichen Auditierung geprüft werden kann.
  • Im Cloud Computing ist eine transparente Teilung von Aufgaben und Verantwortung zwischen Cloud-Anbieter und -Kunde sehr wichtig. Mit den korrespondierenden Kriterien werden diese Schnittstellen beschrieben, um dem Cloud-Kunden seinen Anteil bei der sicheren Nutzung eines Cloud-Dienstes deutlich zu machen.

Ermöglichung einer direkten Prüfung

  • Bisher musste der Cloud-Anbieter vor einer Prüfung eigenständig eine Systembeschreibung erstellen und vorlegen. Diese umfasst eine formale Beschreibung der eigenen Umgebung zusammen mit den ergriffenen Maßnahmen. Mit dem C5:2020 gibt es nun auch die Möglichkeit der direkten Prüfung, bei dem der Prüfer eine vergleichbare Beschreibung während des Prüfvorganges erstellt. Die direkte Prüfung ist aus Sicht des BSI insbesondere für Cloud-Anbieter geeignet, die ihre vollständige Beschreibung des dienstleistungsbezogenen internen Kontrollsystems noch nicht abgeschlossen beziehungsweise ausreichend detailliert dargestellt haben.

Downloads

C5:2016

Eine detaillierte Auflistung aller Änderungen des C5:2020 im Vergleich zur Version C5:2016 finden Sie in dem folgenden Dokument:

Ähnliche Themen

Zurück zu Kriterienkatalog C5

Kurz-URL:
https://www.bsi.bund.de/dok/13368656