Cloud Computing Compliance Criteria Catalogue

Der C5-Bericht bietet unseren europäischen Kunden eine unabhängige Bescheinigung von Dritten über die Eignung des Designs und die betriebliche Wirksamkeit unserer Kontrollen, um die grundlegenden und zusätzlichen C5-Kriterien zu erfüllen. Insbesondere in Deutschland sind Kunden es gewohnt, nach Cloud-Services zu suchen, die anhand der C5-Kriterien bewertet werden. C5 bietet Kunden ein Framework, das eine dem IT-Grundschutz entsprechende IT-Sicherheitsstufe dokumentiert und alle IT-Sicherheitsbestimmungen für Cloud Computing abdeckt. Für Bundesbehörden ist ein C5-Testat Voraussetzung, wenn es um die Auftragsvergabe geht.

Aktuelle Informationen zu C5 bei AWS können in den jeweiligen C5-Beiträgen des AWS-Sicherheitsblogs eingesehen werden.

Die staatliche Cybersecurity-Behörde Deutschlands, das Bundesamt für Sicherheit in der Informationstechnik (BSI), hat den C5-Standard im Jahr 2016 entwickelt. Das BSI definiert die Anforderungen an die IT-Sicherheit für alle Bundesbehörden, und die meisten deutschen Unternehmen richten ihre IT-Sicherheitsstrategie ebenfalls an den BSI-Standards aus. Das BSI hat den C5-Katalog 2019 überarbeitet und aktualisiert. Eine neue Version (C5: 2020) wurde im Januar 2020 fertiggestellt.

Eine Zertifizierung wird von einem anerkannten spezialisierten Unternehmen ausgestellt und ist für gewöhnlich ein bis drei Jahre lang gültig. Ein Testat kann im Rahmen eines Compliance-Audits oder einer Wirtschaftsprüfungsgesellschaft durch qualifiziertes Fachpersonal erlangt werden. Ein Testat konzentriert sich mehr auf die kontinuierliche Implementierung, was zur Folge hat, dass der Audit-Zyklus viel kürzer ausfällt – ein Audit kann alle sechs Monate erfolgen. Gemäß ISAE 3000/3402 liefert der Audit-Prozess Beweise zur Angemessenheit und Effektivität über einen längeren Zeitraum. Eine Zertifizierung dagegen ist nur ein Schnappschuss und hat keine längerfristige Relevanz.

C5 (Cloud Computing Compliance Criteria Catalogue) ist der „Cloud-Computing-Standard für die IT-Sicherheit“ in Deutschland. Das vom BSI entwickelte und im erstmals Jahr 2016 veröffentlichte C5-Kontrollset bietet Kunden in Deutschland zusätzliche Sicherheit bei der Übertragung ihrer komplexen und regulierten Workloads zu Anbietern von Cloud Computing Services wie AWS.

Das aktuelle C5 wurde 2020 veröffentlicht und beinhaltet Anforderungen aus den folgenden Standards und Veröffentlichungen:

• ISO/IEC 27001:2013 – Informationssicherheitsmanagementsysteme – Anforderungen
• ISO/IEC 27002:2016 – IT-Sicherheitsverfahren – Richtlinien für Informationssicherheitsmaßnahmen
• ISO/IEC 27017:2015 – Sicherheitstechniken – Verhaltenskodex für Informationssicherheitskontrollen auf der Grundlage von ISO/IEC 27002 für Cloud-Services
• BSI – IT-Grundschutz Kompendium – 2. Edition 2019
• CSA – Cloud Controls Matrix 3.0.1 (CSA – Cloud Security Alliance)
• AICPA Trust Services Principles and Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
• ANSSI (Agence nationale de la sécurité des systèmes d’information, Nationale Agentur für Sicherheit der Informationssysteme Frankreichs) – Anbieter von Cloud Computing Services v. 3.1 (SecNumCloud)
• IDW (Institut der Wirtschaftsprüfer) RS FAIT 5 – Stellungnahme zur Rechnungslegung: „Grundsätze einer ordnungsgemäßen Rechnungslegung für die Auslagerung von Dienstleistungen im Zusammenhang mit der Rechnungslegung einschließlich Cloud Computing“, Stand 4. November 2015

Der AWS C5 Bericht steht Kunden durch Verwendung von AWS Artifact zur Verfügung. AWS Artifact ist ein Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

Die durch das C5-Testat abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Wenn Sie mehr über die Nutzung dieser Services erfahren möchten und/oder Interesse an anderen Services haben, kontaktieren Sie uns.

Zu AWS-Regionen, die die Anforderungen von C5 erfüllen, gehören u. a. die Folgenden: Frankfurt, Irland, London, Paris, Mailand, Stockholm, Singapur, Zürich und Spanien sowie Edge-Standorte in Deutschland, Irland, England, Frankreich, Singapur, Schweden, Italien, Spanien und die Schweiz.

Das BSI hat die Anforderungen für diesen Standard in Übereinstimmung mit der ANSSI (Agence nationale de la sécurité des systèmes d’information, Nationale Agentur für Sicherheit der Informationssysteme) ausgearbeitet, die demnächst ihren eigenen Standard, das SecNumCloud-Label, einführen wird. Der C5-Standard und der SecNumCloud-Standard in Frankreich haben sich gegenseitig beeinflusst. Beide Standards sollen in einem gemeinsamen Label namens ESCloud vereint werden und so europaweite Anerkennung erlangen. Der Entwurf des EU-Zertifizierungssystems für Cybersicherheit für Cloud-Services (EUCS) der Agentur der Europäischen Union für Cybersicherheit (ENISA) stützt sich erheblich auf den Sicherheitsstandard von C5.

Der IT-Grundschutz ist ein Standard für die Einführung und die Aufrechterhaltung eines angemessenen Datenschutzes in einer Behörde oder einem Unternehmen. Die IT-Grundschutzkataloge enthalten Sicherheitsmaßnahmen für typische Unternehmensprozesse, IT-Systeme und Anwendungen. Sie zielen vor allem auf den Schutz der eigenen Informationen einer Behörde oder eines Unternehmens ab. C5 dagegen legt Richtlinien für die Produkte von Cloud-Serviceanbietern (CSP) fest.