Die BSI-C5-Kriterien

BSI - Cloud Computing Compliance Criteria Catalogue (C5)

Der BSI Cloud Computing Compliance Criteria Catalogue (BSI C5) ist ein Rahmenwerk, mit dem Unternehmen die Einhaltung nationaler und internationaler Anforderungen und Empfehlungen im Bereich Cloud Computing sicherstellen können. Er basiert auf den BSI-Grundsätzen für Cyber-Sicherheitskontrollen, die als international anerkanntes Verfahren zur Umsetzung von Cloud Computing in der EU gelten. Der Katalog enthält konkrete Kontrollen und Anforderungen für die Einführung, den Betrieb und die Beendigung von Cloud-Diensten. Er bildet die Grundlage für die Prüfung der Compliance mit den Anforderungen der EU-Richtlinie für Cloud-Computing-Verträge und bietet Unternehmen eine effiziente Möglichkeit, ihre Konformität nachzuweisen.

Was umfassen die BSI-C5-Kriterien?

Der BSI C5 umfasst konkrete Kontrollen und Anforderungen, die nahezu alle relevanten Aspekte eines Cloud-Dienstes abdecken, darunter:

• Organisation der Informationssicherheit (OIS): OIS beschreibt Strukturen und Prozesse für das Management der Informationssicherheit innerhalb einer Organisation. Ziel ist es, ein sicheres Umfeld zu schaffen, in dem sensible Daten und unternehmenskritische Informationen geschützt sind.

• Sicherheitsrichtlinien und Arbeitsanweisungen (SP): Sicherheitsrichtlinien und Arbeitsanweisungen legen die Regeln fest, die Mitarbeitende über den Umgang mit sensiblen Daten und Informationen informieren. Sie können auch Notfallvorschriften und Handlungsanweisungen umfassen.

• Personal (HR): Dieser Bereich schafft die Rahmenbedingungen für eine angemessene Personalauswahl, Vergütung und Arbeitsbedingungen. Darüber hinaus werden Regeln für die Sicherheit am Arbeitsplatz und Anforderungen an die Qualifikation der Mitarbeitenden definiert.

• Asset Management (AM): Asset Management umfasst die Verwaltung von Hardware, Software und anderen Vermögenswerten eines Unternehmens. Ziel ist es, einen vollständigen Überblick über alle vorhandenen Assets zu erhalten, um Ressourcen und Kosten effizient zu steuern.

• Physische Sicherheit (PS): Physische Sicherheit umfasst alle Maßnahmen zum Schutz von Gebäuden und deren Vermögenswerten. Typische Beispiele sind Zugangskontrollen, Wachpersonal, Videoüberwachung und elektronische Schließsysteme.

• Regelbetrieb (OPS): Der Regelbetrieb umfasst den täglichen Betrieb eines Unternehmens, einschließlich der routinemäßigen Überprüfung, Wartung und Überwachung der Informationssicherheit.

• Identitäts- und Berechtigungsmanagement (IDM): Das Identitäts- und Berechtigungsmanagement beschreibt die Prozesse zur Überwachung und Verifizierung von Identitäten, um den Zugang zu geschützten Anwendungen und Daten zu kontrollieren.

• Kryptographie und Schlüsselmanagement (CRY): Dieser Bereich umfasst die Prozesse zur Verschlüsselung und Entschlüsselung von Informationen sowie die sichere Verwaltung kryptographischer Schlüssel.

• Kommunikationssicherheit (COS): Kommunikationssicherheit betrifft den Schutz der Protokolle, Mechanismen und Anwendungen, die für die Kommunikation zwischen verschiedenen Geräten und Systemen eingesetzt werden.

• Portabilität und Interoperabilität (PI): Portabilität und Interoperabilität bezeichnen die Fähigkeit eines Systems, Funktionen und Daten zwischen verschiedenen Plattformen zu übertragen. Dies ermöglicht es internen und externen Systemen und Anwendungen, nahtlos zusammenzuarbeiten.

• Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV): Dieser Bereich betrifft sichere Beschaffungs- und Entwicklungsprozesse, die es Organisationen ermöglichen, Softwareanforderungen sicher und wirtschaftlich umzusetzen.

• Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO): SSO umfasst Maßnahmen, mit denen Organisationen sicherstellen, dass Dienstleister und Lieferanten ihre Leistungen vorschriftsmäßig und sicher erbringen.

• Umgang mit Sicherheitsvorfällen (SIM): SIM beschreibt Prozesse und Richtlinien, die einer Organisation ermöglichen, angemessen auf Sicherheitsvorfälle zu reagieren.

• Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM): BCM umfasst die Planung und Vorbereitung, um ein Unternehmen vor unvorhergesehenen oder unkontrollierbaren Ereignissen zu schützen und den Geschäftsbetrieb aufrechtzuerhalten.

• Compliance (COM): Compliance bezieht sich auf die spezifischen Richtlinien und Gesetze, die Organisationen einhalten müssen -- insbesondere solche, die den Datenschutz betreffen.

• Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ): INQ beschreibt Verfahren, die Organisationen vorhalten und befolgen müssen, um auf Anfragen staatlicher Stellen ordnungsgemäß reagieren zu können.

• Produktsicherheit (PSS): Produktsicherheit umfasst die Sicherheitsvorkehrungen, die bei der Entwicklung eines Produkts berücksichtigt werden, um Fehler zu vermeiden, die zu Sicherheitsvorfällen führen könnten.

Wer hat den Standard entwickelt?

Der BSI C5 wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Das BSI arbeitet mit dem European Cloud Computing Forum (ECCF) zusammen, um die Konformität des BSI C5 mit anderen europäischen Standards sicherzustellen. Der BSI C5 wird auch von der Europäischen Kommission als Grundlage für die Umsetzung von Cloud-Computing-Lösungen empfohlen.

An wen richtet sich dieser Standard?

Der BSI C5 richtet sich an Unternehmen aller Größen, die Cloud-Dienste beauftragen oder bereitstellen und dabei die Einhaltung von Anforderungen an Datensicherheit, Datenschutz, Rechtmäßigkeit und Datenverfügbarkeit sicherstellen möchten. Der Standard ist insbesondere für Drittanbieter relevant, die Cloud-Dienste anbieten oder nutzen.

BSI C5 für internationale Zwecke?

Der BSI C5 deckt auch internationale Aspekte ab, die die Nutzung und Bereitstellung von Cloud-Diensten betreffen. Dazu gehören unter anderem die internationale Verfügbarkeit von Diensten, der Schutz personenbezogener Daten, die Datensicherheit, die Einhaltung internationaler Vorschriften sowie die Regulierung des öffentlichen Cloud Computing.

Fallstudie vom BSI

C5:2020: SaaS-Fallstudie: Anwendung des Community Draft C5:2020 bei SaaS-Anbietern ohne eigene Infrastruktur im Vergleich zu C5:2016.

Fazit

Zusammenfassend lässt sich sagen, dass die BSI-C5-Kriterien für den Cloud-Kontext sehr hilfreich sind, aufgrund ihrer nationalen Ausrichtung für international agierende Unternehmen jedoch nur eingeschränkt Vorteile bieten. In vielen Fällen ist es daher sinnvoller, eine ISO-27001-Zertifizierung anzustreben und die Vorgaben der ISO 27018 über einen Auftragsverarbeitungsvertrag abzubilden. Ein zusätzliches BSI-C5-Testat bringt in diesem Szenario keinen wesentlichen Mehrwert.