AWS Germany – Amazon Web Services in Deutschland

Warum ein C5-Testat kein Freifahrtschein ist – und worauf Sie achten sollten

Wenn Sie eine Ausschreibung zum Bezug von Cloud-Services durchführen, orientieren Sie sich bei der Auswahl des Anbieters an technischen Standards, wie etwa dem Cloud Computing Compliance Criteria Catalogue kurz C5 des Deutschen Bundesamtes für Sicherheit in der Informationstechnik(BSI). Für Bundesbehörden ist ein Typ 2 C5-Testat eine einfache Möglichkeit die Konformität zu den Mindeststandard des BSI zur Nutzung externer Cloud-Dienste grundlegend nachzuweisen. Auch Gesundheitsdaten dürfen gemäß Digitalisierungsgesetz im Gesundheitswesen (DigiG), referenzierend auf §391 Sozialgesetzbuch V (SGB V), nur mit einem C5-Testat in der Cloud verarbeitet werden.

AWS war der erste Cloud-Service-Provider, der die strikten Anforderungen bereits im Jahr 2017 nachweislich erfüllt hat. Mittlerweile ist es ein etablierter Standard, den Viele erfüllen. Wenn Sie Clouddienstleister vergleichen möchten, genügt es jedoch nicht, auf den bloßen Nachweis des C5-Testats zu achten, denn der Reifegrad und die Abdeckung des Testats kann stark variieren. Wie Sie die Qualität des Testats einschätzen können, erfahren Sie hier.

Ein C5-Testat ist ein Transparenzbericht, der gelesen werden muss. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den C5-Prüfungsstandard für Cloud-Service-Provider entwickelt, damit Ihnen als Unternehmen beim Auslagern von Daten in die Cloud die notwendigen Informationen in einem einheitlichen Prüfbericht vorliegen, sodass Sie die Dienstleistung unterschiedlicher Cloud-Service-Provider vergleichen können. Dazu wurde vom BSI auch ein Auswertungsleitfaden entwickelt.

Zweistufigkeit

Bewusst hat das BSI eine Zweistufigkeit bezüglich der Testierung eingeführt. Es gibt den Prüfbericht Typ 1 und Typ 2. Beim Typ-1-Prüfbericht wird in der Erstprüfung lediglich das technische und organisatorische Design der IT-Sicherheitsmaßnahmen geprüft. Beim Typ-2-Prüfbericht wird die Effektivität der Kontrollen geprüft. Daher kann der Reifegrad eines Cloud-Service-Providers auch nur anhand des Typ-2-Berichts validiert werden.

Basis- und Zusatzkriterien

Neben der oben aufgeführten Zweistufigkeit hat das BSI eine Unterteilung zwischen Basiskriterien und zusätzlichen Kriterien aufgebaut. Anhand dieser Kriterien können Sie bei einer Prüfung und beim Vergleich unterschiedlicher Cloud-Anbieter die Risikosteuerung in der Auslagerung effektiver durchführen. Ob und wie wesentlich für Sie mit Ihren spezifischen Anforderungen die Zusatzkriterien sind, kann im Rahmen einer Einzelfallprüfung auf Grundlage der Datenklassifikation oder einer Schutzbedarfsanalyse eingeschätzt werden.

Prüfungsumfang auf Service-Ebene (Scope der Prüfung)

Bei einer C5-Prüfung wird nicht nur der Cloud-Service-Provider geprüft, sondern jeder einzelne Cloud-Service. Sie als Cloud-Kunde haben eine genaue Vorstellung davon, welche Cloud-Services Sie nutzen werden. Es gilt sicherzustellen, dass diese im Prüfungsumfang des C5-Audits enthalten sind.

Ein Beispiel: Wenn Sie die Cloud als netzwerktechnische Erweiterung konzipieren, also ein Subnet mit IP-Adressen an Ihr Rechenzentrum anbinden, und darin virtualisierte Windows- oder Linux-Server deployen, dann sollte neben den virtualisierten Servern auch dieses softwaredefinierte Netzwerk im Mittelpunkt des C5-Prüfberichts stehen.

Wie transparent ist der IT-Sicherheitsbericht?

Ein C5-Testat wird durch das prüfende Unternehmen ausgestellt. Dies ist ein für die Aussagen haftender Wirtschaftsprüfer, der sich gemäß des Prüfungsstandards IDWPS 951 verpflichtet, eine transparente Berichterstattung durchzuführen. Dies bedeutet in Folge, dass Abweichungen, also Nichterfüllung der erwarteten Kontrollkriterien, dokumentiert festgehalten werden. Der Prüfende bewertet dabei auch die vom Cloud-Service-Provider implementierten Maßnahmen auf deren Effektivität, die von den Vorgaben des BSI im Prüfungskatalog abweichen, und bestätigt, ob das Risiko ausreichend adressiert ist.

Negative Feststellungen des Prüfenden, also wenn die Maßnahmen einer spezifischen Kontrolle nicht effektiv implementiert bzw. betrieben sind, werden im C5-Prüfungsbericht ebenfalls dokumentiert. Besonders in einer Ausschreibung sollten Sie als Cloud-Kunde solche Abweichungen genau anschauen und prüfen. Wägen Sie gut ab, ob Sie der Einschätzung des Wirtschaftsprüfers zustimmen oder nicht: Kommen Sie bei einer risikobasierten Begutachtung dieses Themas zu einem anderen Resultat? Dann käme der betreffende Cloud-Service-Provider für Sie nicht in Frage.

Ein Beispiel: Sie möchten das Risiko eines Rechenzentrumsbrandes bewerten, der zu einer Betriebsunterbrechung führen würde. Dafür müssen Sie als Kunde Transparenz über die ergriffenen Maßnahmen haben und diese hinsichtlich eventueller Abweichungen bewerten können. Die im Prüfbericht benannte Abweichung lautet beispielsweise, dass die Türen nicht wie gefordert 90 Minuten Brandschutz bieten, sondern nur 60 Minuten. Um diese Abweichung und das damit verbundene Risiko bewerten zu können, müssen Sie andere Aspekte kennen: Sind beispielsweise die Brandschutzanlagen so beschaffen, dass ein Feuer sofort durch die Partikel-, Rauch- oder Temperatur-Fühler erkannt und umgehend gelöscht wird, also noch bevor ein Brand entsteht? Dann wäre es vermutlich ausreichend, dass Türen eine Brandschutzzertifizierung über lediglich 60 Minuten haben.

Ein anderes Beispiel: Die dokumentierte Abweichung ist, dass die ausweisgestützte Zutrittskontrolle eines Rechenzentrums für mehrere Wochen ohne Funktion ist, wodurch es keine technisch gestützte Protokollierung gibt. Sie als Kunde können daraus ableiten, dass der Reifegrad des Rechenzentrumsbetriebes hier eine Schwäche hat, und dies in die Bewertung einfließen lassen.

Bei beiden Beispielen wird deutlich: Der C5-Prüfbericht als solcher führt nicht zu einer Bewertung, sondern nur zu einer Transparenz, die Sie als Kunde nutzen müssen.

Damit ist festzuhalten, dass Sie als Cloud-Kunde zwingend eine Begutachtung der dokumentierten Abweichungen durchführen müssen. Bei mehreren Cloud-Service-Anbietern werden Sie diese nach dem BSI-Auswertungsleitfaden vergleichen, und damit zu einer Einschätzung kommen können, welcher Cloud-Betreiber spezifisch für welche Cloud-Services den Reifegrad nachweisen kann, den Sie erwarten.

 Auf welche Details ist besonders zu achten?

  1. Welche Services sind im Prüfungsumfang enthalten?
  2. Welche Standorte (Region(en)) sind im Prüfungsumfang enthalten?
  3. Ist es ein Typ-2-Audit?
  4. Welche Abweichungen sind dokumentiert – und sind diese für Sie als Risiko akzeptabel?
  5. Falls für Sie als Cloud-Kunden relevant: Wurden auch die folgenden Zusatzkriterien geprüft?
    1. PS-01: autarker Betrieb beim Eintritt außergewöhnlicher Ereignisse
    2. PS-02: Standorte sind räumlich ausreichend weit voneinander entfernt
    3. PS-03: Sicherheitspersonal, Videoüberwachung und Einbruchmeldeanlagen
    4. PS-06: Telekommunikationsnetz ist mit ausreichender Redundanz ausgelegt
    5. OPS-04: Maßnahmen zur sicheren Konfiguration und Überwachung der Konsole
    6. OPS-05: Konfiguration der Schutzmechanismen wird automatisch überwacht
    7. OPS-11: Entfernung personenbezogener Daten aus Protokollen
    8. OPS-22: Sicherheitspatches mit CVSS = 9.0 – 10.0 werden in 3 Stunden eingespielt
    9. IDM-07: Zugriffe auf die im Cloud-Dienst verarbeiteten, gespeicherten oder übertragenen Daten bedürfen der vorherigen Zustimmung des Cloud-Kunden
    10. BCM-04: Zusätzlich zu den BCM-Tests werden auch Übungen durchgeführt
    11. PSS-02: Code Reviews und Penetration-Tests durch qualifizierte Dritte
    12. PSS-11: Erkennung und Meldung von Manipulationen an Images

(Auszug aus dem BSI C5-Kontrollkatalog)

Weitere, wichtige Informationen

Damit Sie den C5-Bericht richtig anwenden oder sogar selbst C5-Compliance erreichen können, die wichtigsten Links im Überblick:

Einige AWS-Kunden, die bereits als SaaS-Anbieter ein C5 Testat erhielten:

Zusammenfassung

Der Unterschied zwischen einem Testat und einer Zertifizierung ist, dass ein unabhängiger Dritter einen Transparenzbericht über das während des Audits Vorgefundene erstellt. Für die Korrektheit ihrer Aussagen haftet die prüfende Person.

Auch das BSI vertritt die Position, dass es ungenügend ist, lediglich die Vorlage eines C5-Testats zu prüfen. Zitat: „Eine tiefergehende Analyse des Prüfberichtes durch den Kunden selbst ist daher unerlässlich. Der Kunde ist auch in der Verantwortung zu prüfen, ob die Mindestkriterien für seinen konkreten Anwendungsfall durch weitergehende Kriterien ergänzt werden müssen.“

Für Rückfragen stehen Ihnen unsere IT-Security- und Compliance-Experten via E-Mail gern zur Verfügung.

Über die Autoren

Gerald Boyne verantwortete als Head of Security Assurance Germany bei Amazon Web Services (AWS) die regionalen Compliance-Aktivitäten, wie die Umsetzungsauditierung gemäß des durch das BSI entwickelten Prüfungsstandards C5 oder der Vorgaben kritischer Infrastrukturen. Heute nutzt er als Principal Regional Security & Compliance Strategist DACH bei AWS seine Erfahrung und hilft Kunden dabei, die Cloud-Technologie im Einklang mit den Regularien einsetzen zu können.