BSI C5: Ihr Cloud-Dienst auf Transparenz und IT-Sicherheit geprüft
Sie sind Anbieter eines Cloud-Dienstes und möchten Ihre aktuelle Cloud-Infrastruktur objektiv bewerten lassen?
Mit einer Prüfung nach dem Cloud Computing Compliance Controls Catalog, kurz C5, des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten Sie eine transparente Einschätzung. Gemeinsam mit unserem Partner FIDES führen wir entsprechende C5-Prüfungen durch und stellen Ihnen einen aussagekräftigen sowie umfassenden Prüfbericht aus. Dieser bildet die Grundlage für eine erfolgreiche, abschließende Zertifizierung nach C5 durch das BSI.
Objektive Bewertung Ihrer Cloud-Infrastruktur
Eine C5-Prüfung dient als objektiver Nachweis, dass Sie angemessene Sicherheitsmaßnahmen nach C5-Katalog getroffen haben.
Maximale Transparenz gegenüber Kunden & Geschäftspartnern
Durch die Prüfung & Zertifizierung nach BSI C5 zeigen Sie, dass Sie anerkannten Standards folgen & machen Ihre Datenverarbeitungspraktiken transparent.
Reduzierung von Sicherheitsrisiken
Mithilfe des BSI C5-Kriterienkatalogs verbessern Sie kontinuierlich Ihr Risikomanagement und verhindern Daten- sowie Sicherheitsverletzungen.
Was ist der C5-Kriterienkatalog?
Der C5 (Cloud Computing Compliance Controls Catalogue) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk zur Gewährleistung der Sicherheit und Compliance von Cloud-Diensten. Er bietet eine umfassende Sammlung von Sicherheitskontrollen, die Cloud-Anbieter implementieren sollten, um den Datenschutz und die Einhaltung von Sicherheitsstandards zu gewährleisten.
Der C5-Katalog richtet sich insbesondere an Unternehmen, die Cloud-Dienste nutzen oder anbieten, und hilft ihnen, die Sicherheitsanforderungen zu verstehen und umzusetzen. Durch die Anwendung von C5 können Organisationen die Transparenz und Sicherheit ihrer Cloud-Dienste erhöhen und das Vertrauen ihrer Kunden stärken.
Cloud-spezifische Regelungen im Gesundheitswesen
Mit dem neuen § 393 „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ im Sozialgesetzbuch (SGB) V erhöht das Bundesministerium für Gesundheit den Schutz sensibler, personenbezogener Sozial- und Gesundheitsdaten.
Krankenkassen und Leistungserbringer sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen solche Daten nur noch dann mit Cloud-basierten Anwendungen verarbeiten, sofern die folgenden Voraussetzungen erfüllt sind:
- Der Anbieter des Cloud-basierten Dienstes verfügt über einen BSI C5 Prüfbericht Typ 1 bzw. Typ 2, der die BSI C5 Basiskriterien abdeckt.
- Die Einrichtung, die den Cloud-Dienst nutzt, hat:
angemessene und dem Stand der Technik entsprechende, technische und organisatorische Maßnahmen zur Absicherung der Cloud-Nutzung ergriffen,
die vom Cloud-Anbieter im BSI C5 Prüfbericht formulierten Endnutzer-Kontrollen umgesetzt.
Dies gilt auch für Einrichtungen, die private Clouds aufgebaut haben und diese selbst nutzen. Dadurch werden auch Organisationen erfasst, die nicht zu den klassischen IT- oder Cloud-Anbietern gehören. Hierzu zählen beispielsweise Forschungseinrichtungen, Pharmaunternehmen oder sonstige Dienstleister, die personenbezogene Gesundheitsdaten in ihrer privaten Cloud speichern und verarbeiten.
Aktuell ist eine neue Verordnung im Referentenentwurf „C5-Äquivalenz-Verordnung“ in Arbeit, der aller Voraussicht nach die Anforderungen erweitert.
Ihre Vorteile auf einen Blick
Objektive Bestätigung der Sicherheit
Mit einer Prüfung & Zertifizierung nach C5 weisen Sie nach, dass Sie umfangreiche Sicherheitsmaßnahmen umsetzen.
Identifizierung potenzieller Sicherheitslücken
Mithilfe des BSI C5-Kriterienkatalogs decken Sie potenzielle Sicherheitslücken sowie Risiken frühzeitig auf.
Erfüllung regulatorischer Vorgaben
In bestimmten Bereichen (z. B. Gesundheitswesen) entspricht die C5-Prüfung den regulatorischen Anforderungen.
Vertrauen bei Kund:innen
Die transparente Prüfung bietet Kund:innen eine fundierte Entscheidungsbasis für die Wahl eines Cloud-Anbieters.
Verbesserung der Wettbewerbsfähigkeit
Durch eine unabhängige Prüfung & Zertifizierung nach C5 heben Sie sich erfolgreich vom Wettbewerb ab.
Erhöhung der IT-Sicherheit
Der BSI C5-Katalog unterstützt Sie dabei, die IT-Sicherheit Ihres Cloud-Dienstes systematisch zu verbessern.
Unsere Leistungen rund um eine BSI C5-Zertifizierung
BSI C5 Maturity Assessment
Mit unserem BSI C5 Maturity Assessment erhalten Sie schnell Klarheit darüber, inwieweit ihre bestehenden Sicherheitsmaßnahmen die BSI C5-Kriterien bereits erfüllen. Dazu sichten wir beispielsweise vorhandene Richtlinien, ordnen die darin beschriebenen Maßnahmen den BSI C5-Kriterien zu, bewerten deren Abdeckung und identifizieren mögliche Lücken. Auf Basis der Ergebnisse des Maturity Assessments können Cloud-Anbieter erkannte Lücken schließen und sich auf das BSI C5-Audit vorbereiten, wobei wir unterstützend zur Seite stehen.
BSI C5 Prüfung Typ 1
Mit unserem Partner, der Wirtschaftsprüfungsgesellschaft FIDES als anerkannter BSI C5-Prüfer, sind wir in der Lage die BSI C5-Prüfung (Typ 1) durchzuführen. Diese Prüfung umfasst hauptsächlich Interviews mit Fachpersonal und die Überprüfung von Nachweisen wie Richtlinien. Ziel der Prüfung ist es, zu bewerten, inwieweit die Sicherheitsmaßnahmen des Cloud-Anbieters angemessen gestaltet und umgesetzt sind, um die BSI C5 Basiskriterien zu einem bestimmten Zeitpunkt zu erfüllen.
BSI C5 Prüfung Typ 2
Zusammen mit unserem Partner, der Wirtschaftsprüfungsgesellschaft FIDES als anerkannter BSI C5-Prüfer, sind wir in der Lage, die BSI C5-Prüfung (Typ 2) durchzuführen. Die Typ-2-Prüfung umfasst im Wesentlichen Befragungen des Fachpersonals, die Prüfung von Nachweisen und zusätzlich die Durchführung von Stichproben. Ziel der Prüfung ist es, zu bewerten, inwieweit die Sicherheitsmaßnahmen des Cloud-Anbieters angemessen konzipiert, umgesetzt und über einen definierten Zeitraum (in der Regel zwischen 6 und 12 Monaten) wirksam waren, um die BSI C5 Basiskriterien zu erfüllen.
Der C5-Kriterienkatalog: Ein Kurzüberblick
Der BSI C5-Kriterienkatalog enthält 121 Kriterien zur Informationssicherheit von Cloud-Diensten. Diese gliedern sich in 17 Themengebiete, denen jeweils eine Zielsetzung zugewiesen ist, die durch die Kriterien erreicht werden soll. Die Bereiche orientieren sich an der Darstellung der Maßnahmenziele aus ISO/IEC 27001:2013 Anhang A:
| Nr. | Bereich | Zielsetzung |
| 1 | Organisation der Informationssicherheit (OIS) 5.1 auf Seite 37 | Planung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Rahmenwerks zur Informationssicherheit innerhalb der Organisation |
| 2 | Sicherheitsrichtlinien und Arbeitsanweisungen (SP) 5.2 auf Seite 42 | Bereitstellen von Richtlinien und Anweisungen bzgl. des Sicherheitsanspruchs und zur Unterstützung der geschäftlichen Anforderungen |
| 3 | Personal (HR) 5.3 auf Seite 45 | Sicherstellen, dass Mitarbeitende ihre Aufgaben verstehen, sich ihrer Verantwortung in Bezug auf Informationssicherheit bewusst sind und die Assets der Organisation bei Änderung der Aufgaben oder Beendigung geschützt werden |
| 4 | Asset Management (AM) 5.4 auf Seite 49 | Identifizieren der organisationseigenen Assets gewährleisten und ein angemessenes Schutzniveau über deren gesamten Lebenszyklus sicherstellen |
| 5 | Physische Sicherheit (PS) 5.5 auf Seite 54 | Verhindern von unberechtigtem physischen Zutritt und Schutz vor Diebstahl, Schaden, Verlust und Ausfall des Betriebs |
| 6 | Regelbetrieb (OPS) 5.6 auf Seite 61 | Sicherstellen eines ordnungsgemäßen Regelbetriebs einschließlich angemessener Maßnahmen für Planung und Überwachung der Kapazität, Schutz vor Schadprogrammen, Protokollierung und Überwachung von Ereignissen sowie den Umgang mit Schwachstellen, Störungen und Fehlern |
| 7 | Identitäts- und Berechtigungsmanagement (IDM) 5.7 auf Seite 77 | Absichern der Autorisierung und Authentifizierung von Benutzern des Cloud-Anbieters (in der Regel privilegierte Benutzer) zur Verhinderung von unberechtigten Zugriffen |
| 8 | Kryptographie und Schlüsselmanagement (CRY) 5.8 auf Seite 84 | Sicherstellen eines angemessenen und wirksamen Gebrauchs von Kryptographie zum Schutz der Vertraulichkeit, Authentizität oder Integrität von Informationen |
| 9 | Kommunikationssicherheit (COS) 5.9 auf Seite 87 | Sicherstellen des Schutzes von Informationen in Netzen und den entsprechenden informationsverarbeitenden Systemen |
| 10 | Portabilität und Interoperabilität (PI) 5.10 auf Seite 92 | Ermöglichen der Eigenschaft, den Cloud-Dienst über andere Cloud-Dienste oder IT-Systeme der Cloud-Kunden ansprechen zu können, die gespeicherten Daten bei Beendigung des Auftragsverhältnisses zu beziehen und beim Cloud-Anbieter sicher zu löschen |
| 11 | Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV) 5.11 auf Seite 95 | Sicherstellen der Informationssicherheit im Entwicklungszyklus von Systemkomponenten des Cloud-Dienstes |
| 12 | Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO) 5.12 auf Seite 101 | Sicherstellen des Schutzes von Informationen, auf die Dienstleister bzw. Lieferanten des Cloud-Anbieters (Subdienstleister) zugreifen können, sowie Überwachung der vereinbarten Leistungen und Sicherheitsanforderungen |
| 13 | Umgang mit Sicherheitsvorfällen (SIM) 5.13 auf Seite 106 | Gewährleisten eines konsistenten und umfassenden Vorgehens zur Erfassung, Bewertung, Kommunikation und Behandlung von Sicherheitsvorfällen |
| 14 | Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM) 5.14 auf Seite 110 | Planen, Implementieren, Aufrechterhalten und Testen von Verfahren und Maßnahmen zur Kontinuität des Geschäftsbetriebs und für das Notfallmanagement |
| 15 | Compliance (COM) 5.15 auf Seite 113 | Vermeiden von Verstößen gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Anforderungen zur Informationssicherheit und Überprüfen der Einhaltung |
| 16 | Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ) 5.16 auf Seite 116 | Gewährleisten eines angemessenen Umgangs mit Ermittlungsanfragen staatlicher Stellen hinsichtlich juristischer Überprüfung, Information der Cloud-Kunden und Begrenzung des Zugriffs auf oder der Offenlegung von Daten |
| 17 | Produktsicherheit (PSS) 5.17 auf Seite 118 | Bereitstellen aktueller Informationen zur sicheren Konfiguration und über bekannte Schwachstellen des Cloud-Dienstes für Cloud-Kunden, geeigneter Mechanismen zur Fehlerbehandlung und Protokollierung sowie zur Authentisierung und Autorisierung von Benutzern der Cloud-Kunden |
Häufig gestellte Fragen (FAQ):
C5-Testate beziehen sich immer auf einen bereits vergangenen, abgeschlossenen Zeitraum. Insofern können sie die Gültigkeit nur verlieren, wenn nachweislich (fahrlässig, grob fahrlässig oder absichtlich) falsche Aussagen für den Berichtszeitraum getätigt wurden. Indes ist ein mehrere Jahre altes C5-Testat für das Risikomanagement aktueller Kunden kaum brauchbar. Daher werden C5-Prüfungen in der Regel jährlich wiederholt.
Der C5 richtet sich an Cloud-Kunden, Cloud-Anbieter und deren Prüfer. Der Anbieter hat die Kriterien des C5 umzusetzen und der Prüfer die Konformität nachzuweisen.
Da der Begriff "Cloud" in vielfältiger Weise genutzt wird, kann der C5 auch für IT-Dienstleistungen herangezogen werden, die nicht explizit "Cloud" im Titel führen, aber eine Nähe zu Cloud-Diensten haben. Die grundlegenden Sicherheitsanforderungen an einen Cloud-Dienst sind über den C5 abgedeckt, wobei ein Cloud-Kunde trotzdem prüfen muss, ob die Kriterien auch für den eigenen konkreten Anwendungsfall ausreichend adressiert sind. Somit kann sich ein Cloud-Kunde verstärkt den eigenen individuellen Anforderungen an Informationssicherheit und deren Umsetzung bzw. eigenen Kriterien, die über das Basisniveau des C5 hinausgehen, widmen. Die Kriterien sind branchenübergreifend anwendbar.
Nein, der C5 hat primär die Informationssicherheit und nicht den Datenschutz im Fokus. Nutzt man einen C5-testierten Cloud-Dienst, ist dieser deshalb nicht automatisch datenschutzkonform.
Der C5 nimmt alle Kriterien der ISO/IEC 27001 in den Basis-Kriterien auf. Dies bedeutet, dass ein Cloud-Anbieter, der ISO/IEC 27001 umgesetzt hat, für viele der Kriterien des Katalogs bereits Maßnahmen implementiert hat. Der C5 fordert bei den Basis-Kriterien ein Managementsystem, das sich an ISO/IEC 27001 orientiert.
Der Standard ISO/IEC 27017 "Code of practice for information security controls based on ISO/IEC 27002 for cloud services" erweitert den Standard ISO/IEC 27002 um Cloud-spezifische Umsetzungshinweise. Zusätzlich nimmt er im Anhang noch einige zusätzliche Kriterien mit auf, die sich auch im C5 wiederfinden. Der "code of practice" ist eine gute Referenz für die Umsetzung der Kriterien des C5.
ISO/IEC 27018 "Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors" befasst sich mit dem Schutz personenbezogener Daten im Cloud Computing. Er lehnt sich stark an den europäischen Datenschutz an, besitzt aber keinen normativen Charakter. Da der C5 sich nicht mit dem Datenschutz befasst, kann ISO/IEC 27018 als sehr hilfreiche Ergänzung zum Datenschutz herangezogen werden.
Im C5-Bericht muss kenntlich gemacht werden, über welche Services eines Cloud-Anbieters eine C5-Prüfung erfolgt ist. Da dies nicht zwangsweise die komplette Infrastruktur und alle Dienstleistungen eines Cloud-Anbieters abdeckt, muss vom Cloud-Kunden als erstes sichergestellt werden, dass die von ihm genutzten Services auch von dem C5-Testat abgedeckt werden.
Nein, zur Zeit existiert kein offizielles C5-Logo.
Warum wir ein starker Partner für Sie sind
Unabhängigkeit
Expertise
Internationales Expertennetzwerk
Branchenerfahrung
Auf Sie zugeschnitten
