Wolke mit Flugzeug

Neuer Standard C5:2020 für Cloud-Anbieter

  • Andreas Steffens, Senior Manager |

Keyfacts

  • Das BSI hat den Standard zur Cloud-Provider-Zertifizierung überarbeitet.

  • Der neue Anforderungskatalog „Cloud Computing Compliance Criteria Catalogue“ führt auch zwei zusätzliche Bereiche ein.

  • Cloud Provider müssen nun sicherstellen, dass sie die Daten vor staatlichem Zugriff schützen.

Wer seine Daten der Cloud anvertraut, möchte, dass sie dort sicher und rechtskonform gespeichert werden. Cloud-Anbieter haben daher die Möglichkeit, sich bescheinigen zu lassen, dass sie genau dies gewährleisten. Dazu hat das Bundesamt für Sicherheit und Informationstechnik (BSI) 2016 den „Cloud Computing Compliance Criteria Catalogue” veröffentlicht.

Mit dem Anforderungskatalog an Cloud-Dienstleister können Nutzer das Sicherheits- und Schutzniveau der Cloud-Dienstleistung einschätzen und vergleichen. Um einerseits neuen technologischen Herausforderungen gerecht zu werden, aber auch um die Prüfungserfahrungen aus der Praxis zu berücksichtigen, wurde der Standard nun überarbeitet.

Mit C5:2020 zertifiziert gegen staatliche Zugriffsversuche

Neben der Überarbeitung fast aller Anforderungen des Katalogs wurden diese nun auch um Hinweise ergänzt, wie ein kontinuierlicher Prüfungsprozess optimal gestaltet werden kann. Über das Institut der Wirtschaftsprüfer und den Branchenverband Bitkom hat KPMG an der Überarbeitung mitgewirkt.

Die größte Änderung betrifft die Aufnahme von zwei neuen Bereichen: 

  • Der Bereich Produktsicherheit zielt auf die Sicherheit des Cloud-Dienstes selbst ab. Dazu muss der Cloud Provider beispielsweise darlegen, wie er aktuelle Informationen zur sicheren Konfiguration seiner Dienste an seine Kunden weitergibt und sie über bekannte Schwachstellen des Cloud-Dienstes informiert. Außerdem muss er geeignete Mechanismen zur Fehlerbehandlung und Protokollierung sowie zur Authentisierung und Autorisierung von Benutzern der Cloud-Kunden (z. B. für den Fall von qualifizierten Fehlermeldungen) bereitstellen.
  • Der Bereich „Umgang mit Ermittlungsanfragen staatlicher Stellen“ ist  - soweit wir wissen  - einzigartig und gibt es so in vergleichbaren Standards nicht. Der Bereich soll insbesondere die im Zusammenhang mit ausländischen Cloud Providern oft gestellte Frage zufriedenstellend beantworten, wie der Cloud Provider auf Zugriffsversuche seiner Regierung reagiert. Auch wenn niemand so naiv sein wird, zu glauben, dass durch entsprechende Prüfungsaussagen den Zugriffsversuchen fremder (und auch deutscher) Behörden wirklich Einhalt geboten werden kann, stellt doch ein gegensätzliches Verhalten im Rahmen einer Prüfung eine ernstzunehmende Falschaussage dar, die weitere juristische Optionen eröffnen kann. Cloud Provider werden sich dadurch sicherlich mehrmals überlegen, ob sie den ihren Kunden gegenüber versprochenen Schutz der ihnen anvertrauten Daten leichtfertig aufgeben.

Die Umsetzung der Anforderungen des C5 kann durch einen Wirtschaftsprüfer geprüft werden. Der Prüfungsbericht kann dann den Nutzern der Cloud-Dienste als ein unabhängiger Nachweis der teilweise sehr restriktiven Anforderungen dienen und die Notwendigkeit eigener Prüfungshandlungen weiter minimieren.

Herausforderung für kleinere Cloud-Anbieter

Gerade kleinere Cloud-Anbieter tun sich oft schwer, die für die Prüfung erforderliche Systembeschreibung und die Beschreibung ihres Internen Kontrollsystems in der erforderlichen Detailtiefe darzustellen. Hier kann der Prüfer nach C5:2020 unterstützen, indem er sein vor und während der Prüfung erworbenes Wissen über das Umfeld des Cloud-Anbieters nutzt und auf Basis seiner Erfahrung die Beschreibung erstellt. Dieser sogenannte direkte Prüfungsansatz kann somit oft den Start der eigentlichen Prüfung signifikant beschleunigen.

Aus unserer Beratungspraxis wissen wir, dass viele Cloud-Kunden viel Zeit und Energie darauf verwenden, die für ihr eigenes internes Kontrollsystem erforderlichen Risiken und Kontrollen im Zusammenspiel mit der Nutzung von Cloud-Dienstleistungen zu bestimmen. Hier kommt der Standard mit den sog. korrespondierenden Kriterien entgegen. Wie beim Schlüssel-Schloss-Prinzip wirken hier die Maßnahmen des Cloud Providers und die komplementären Kontrollen des Cloud-Nutzers zusammen, um einen optimalen Schutz zu ermöglichen.

Fazit und Handlungsempfehlungen

  • Die Überarbeitung des Standards war notwendig und wird nicht die letzte Anpassung gewesen sein. Nur durch die stetige Weiterentwicklung kann der Standard  - und damit auch die damit verbundene Prüfungsaussage  - dem Anspruch gerecht werden, eine besonders aussagekräftige Zertifizierung zu ermöglichen.
  • Aus der Praxis wissen wir, dass eine Prüfung nach C5:2020 eine zusätzliche Belastung für die beteiligten Unternehmensbereiche (z. B. Compliance, Softwareentwicklung, Betrieb) des Cloud-Service-Providers darstellt. Oft führt aber auch erst die Beschäftigung mit den Anforderungen dazu, die eigenen Prozesse zu hinterfragen und schlussendlich auch zu verbessern.
  • Alle, die sich mit dem Gedanken beschäftigen, ihre Cloud-Angebote nach C5 prüfen zu lassen, sollten direkt mit dem neuen Standard C5:2020 einsteigen.
  • Bereits bestehende Prüfberichte sollten spätestens im nächsten Prüfungszyklus umgestellt werden, um den Anwendern die Vergleichbarkeit zu vereinfachen.

Der Standard orientiert sich an bereits bestehenden anderen Industriestandards und es ergeben sich verschiedene Möglichkeiten der Kombination mit anderen Prüfungen, wie unsere Kolleginnen im FS-Bereich am Beispiel Datenschutz eindrucksvoll gezeigt haben.