Grundlegendes Konzept

Der BSI Cloud Computing Compliance Criteria Catalogue (kurz: BSI C5) ist ein Kriterienkatalog und beschreibt Mindestanforderungen an die Informationssicherheit für Cloud-Dienste, die nicht unterschritten werden sollten. Ziel ist die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung. Diese kann von Kunden im Rahmen einer eigenen Risikoanalyse verwendet werden. Der Kriterienkatalog wird von Cloud-Anbietern, Auditoren und Cloud-Kunden verwendet. Jede dieser Parteien hat eine Mitwirkungspflicht hinsichtlich der Informationssicherheit.

Cloud-Anbieter können die C5-Kriterien umsetzen, um die IT-Sicherheit ihrer Cloud-Dienste zu erhöhen und sich damit einen attraktiven Wettbewerbsvorteil zu verschaffen. Die Erfüllung der Kriterien kann beispielsweise durch Wirtschafts- oder andere geeignete Prüfer testiert und somit gegenüber Kunden nachgewiesen werden. Diese Prüfer werden in diesem Fall direkt vom Cloud-Anbieter beauftragt.

Die Auditoren untersuchen, ob die Kriterien des C5 derzeit erfüllt sind und abhängig vom Prüfungstyp auch, ob diese in der Vergangenheit durchgängig erfüllt waren. Hierbei erstellen sie einen Prüfbericht nach international anerkannten Standards. Der Prüfbericht enthält eine Dokumentation der jeweiligen Prüftätigkeiten und eine Systembeschreibung, welche die ergriffenen Maßnahmen des Anbieters dokumentiert.

Die Verwendung von Cloud-Diensten bietet Chancen, birgt aber auch Risiken, sodass ein eigenes Risikomanagement durch jeden Kunden unerlässlich ist. Als Grundlage sollte der Kunde hierzu den C5-Prüfbericht initial und dann regelmäßig jährlich anfordern und auswerten. Das BSI ist bei der Auswahl der Auditoren sowie der eigentlichen Prüfung nicht involviert und die Prüfberichte werden auch nicht vom BSI ausgewertet. Eine tiefergehende Analyse des Prüfberichtes durch den Kunden selbst ist daher unerlässlich. Der Kunde ist auch in der Verantwortung zu prüfen, ob die Mindestkriterien für seinen konkreten Anwendungsfall durch weitergehende Kriterien ergänzt werden müssen. Verbleibende Restrisiken müssen durch den Kunden getragen und im Eintrittsfall verantwortet werden. Der C5 unterstützt den Kunden dabei, Transparenz hinsichtlich der Aufteilung von sicherheitskritischen Aufgaben zwischen Cloud-Anbieter und -Kunde zu erhalten.

Mindeststandard zur Nutzung externer Cloud-Dienste

Bundesbehörden können sich im Rahmen der Anwendung des Mindeststandard zur Nutzung externer Cloud-Dienste durch das BSI beraten lassen.

Weitere Informationen finden Sie unter

Mindeststandard zur Nutzung externer Cloud-Dienste