Cloud Computing Compliance Controls Catalog (C5)

Übersicht

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) ist ein regierungsgestütztes Prüfschema, das in Deutschland durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgestellt wurde. Anhand des Prüfschemas sollen Organisationen im Rahmen des Eckpunktepapiers "Sicherheitsempfehlungen für Cloud Computing-Anbieter" der deutschen Bundesregierung ihre operative Sicherheit gegen weit verbreitete Cyber-Angriffe mithilfe von Cloud-Services unter Beweis stellen.

Das C5-Prüfschema kann von AWS-Kunden und deren Compliance-Beratern verwendet werden, um die von AWS implementierten Sicherheitskontrollen zu verstehen, um die C5-Anforderungen zu erfüllen, die ihnen während der Übertragung von Workloads in die Cloud zur Verfügung stehen. C5 fügt dem IT-Grundschutz das gesetzlich festgelegte IT-Sicherheitsleveläquivalent mit zusätzlichen Cloud-spezifischen Kontrollfunktionen hinzu.

C5 umfasst nun zusätzliche Kontrollanforderungen, die sich auf den Datenspeicherort, die Servicebereitstellung, den Gerichtsstand, die existierenden Zertifizierungen, die Offenlegungsverpflichtungen von Informationen und eine ausführliche Beschreibung der Services beziehen. Mittels dieser Informationen können Kunden bewerten, wie rechtliche Vorgaben (z. B. zu Datenschutz), ihre eigenen Richtlinien oder das Bedrohungsumfeld ihre Cloud Computing-Services beeinflussen.

  • Was ist C5?

    C5 (Cloud Computing Compliance Controls Catalogue) ist der Cloud-Computing-Standard für die IT-Sicherheit in Deutschland. Das vom BSI entwickelte und im Februar 2016 veröffentlichte C5-Kontrollset bietet Kunden in Deutschland zusätzliche Sicherheit bei der Übertragung ihrer komplexen und regulierten Arbeitslasten zu Anbietern von Cloud Computing-Services wie AWS. C5 deckt die folgenden internationalen Standards ab:

    • ISO/IEC 27001:2013 (ISO – International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
    • AICPA Trust Services Principles and Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud v2.0 (Entwurf) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (Entwurf einer Stellungnahme zur Rechnungslegung: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing", Version vom 4. November 2014)
    • BSI IT-Grundschutz Kataloge 14. EL 2014
    • BSI SaaS Sicherheitsprofile 2014 [BSI SaaS Security Profiles 2014]
  • Welche Vorteile hat der Kunde durch diesen Standard?

    AWS hat seine Bewertung für 2020 im Hinblick auf das C5-Programm für Informationssicherheit und Compliance abgeschlossen. Der C5-Bericht kann in AWS Artifact heruntergeladen werden. Der C5-Bestätigungsbericht von AWS für 2021 wird Ende 2021 verfügbar sein. 

    Der C5-Bericht bietet unseren europäischen Kunden eine unabhängige Bescheinigung von Dritten über die Eignung des Designs und die betriebliche Wirksamkeit unserer Kontrollen, um die grundlegenden und zusätzlichen C5-Kriterien zu erfüllen. Insbesondere in Deutschland sind Kunden es gewohnt, nach Cloud-Services zu suchen, die anhand der C5-Kriterien bewertet werden. C5 bietet Kunden ein Framework, das eine dem IT-Grundschutz entsprechende IT-Sicherheitsstufe dokumentiert und alle IT-Sicherheitsbestimmungen für Cloud Computing abdeckt. Für Bundesbehörden ist ein C5-Testat Voraussetzung, wenn es um die Auftragsvergabe geht.

  • Welche AWS-Regionen erfüllen die Anforderungen von C5?

    Zu AWS-Regionen, die die Anforderungen von C5 zu erfüllen, gehören u. a. die Folgenden: Frankfurt, Irland, London, Paris, Mailand, Stockholm und Singapore sowie Edge-Standorte in Deutschland, Irland, England, Frankreich und Singapur.

  • Welche Services erfüllen die Anforderungen?

    Die durch das C5-Testat abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren, und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

  • Wer hat den C5-Standard entwickelt?

    Die staatliche Cybersecurity-Behörde Deutschlands, das Bundesamt für Sicherheit in der Informationstechnik (BSI), ist für die Entwicklung des C5-Standards im Jahre 2016 verantwortlich. Das BSI hat den C5-Katalog 2019 überarbeitet und aktualisiert. Eine neue Version (C5: 2020) wurde im Januar 2020 fertiggestellt. Das BSI empfiehlt nachdrücklich die Anwendung von C5:2020 für Prüfungen mit Bewertungszeiträumen, die am oder nach dem 15. Februar 2021 enden. Das BSI definiert die Anforderungen an die IT-Sicherheit für alle Bundesbehörden, und die meisten deutschen Unternehmen richten ihre IT-Sicherheitsstrategie ebenfalls an den BSI-Standards aus.

  • Was ist der Unterschied zwischen dem C5-Standard und dem IT-Grundschutz des BSI?

    Der IT-Grundschutz ist ein Standard für die Einführung und die Aufrechterhaltung eines angemessenen Datenschutzes in einer Behörde oder einem Unternehmen. Die IT-Grundschutzkataloge enthalten Sicherheitsmaßnahmen für typische Unternehmensprozesse, IT-Systeme und Anwendungen. Sie zielen vor allem auf den Schutz der eigenen Informationen einer Behörde oder eines Unternehmens ab. C5 dagegen legt Richtlinien für die Produkte von Cloud-Service-Anbietern fest.

  • Wie kann mich AWS dabei unterstützen, das C5-Testat für meine SaaS- und PaaS-Anwendungen zu erlangen?

    C5 ist vor allem auf professionelle Cloud-Service-Anbieter sowie deren Auditoren und Kunden ausgerichtet. Es definiert, welche Anforderungen (auch als Kontrollen bezeichnet) die Cloud-Anbieter erfüllen müssen.

    Im November 2016 erlangte AWS als erster Cloud-Service-Anbieter in Deutschland das C5-Testat auf Infrastrukturebene. Kunden in Deutschland und anderen europäischen Ländern können den AWS-Testetbericht verwenden, um die lokalen Sicherheitsanforderungen des C5-Frameworks zu erfüllen. Das C5-Testat von AWS bildet die Grundlage für die Erlangung eines eigenen C5-Testats für ihre Cloud-Anwendungen durch ihren Prüfer. Insbesondere Kunden haben die Möglichkeit sich auf den Erwerb eines eigenen C5-Testats konzentrieren, ohne sich beim eigenen Audit Gedanken um die physische Sicherheit der Rechenzentren oder die Verwaltung der Cloud-Infrastruktur machen zu müssen. Als Software as a Service (SaaS) und Platform as a Service (PaaS) bereitgestellte Anwendungen können ebenfalls mit den C5-Framework-Anforderungen bewertet werden. Der Support von AWS hilft Ihnen dabei, Ihren Kunden zu zeigen, dass die BSI-Standards der IT-Sicherheit in jedem Bereich eingehalten werden.

  • Wirkt sich dieser Standard auch international aus?

    Das BSI hat die Anforderungen für diesen Standard in Übereinstimmung mit der ANSSI (Agence nationale de la sécurité des systèmes d’information, Nationale Agentur für Sicherheit der Informationssysteme) ausgearbeitet, die demnächst ihren eigenen Standard, das SecNumCloud-Label, einführen wird. Der C5-Standard und der SecNumCloud-Standard in Frankreich haben sich gegenseitig beeinflusst. Beide Standards sollen in einem gemeinsamen Label namens ESCloud vereint werden und so europaweite Anerkennung erlangen. Der Entwurf des EU-Zertifizierungssystems für Cybersicherheit für Cloud-Services (EUCS) der Agentur der Europäischen Union für Cybersicherheit (ENISA) stützt sich erheblich auf den Sicherheitsstandard von C5.

  • Was ist der Unterschied zwischen einer Zertifizierung und einem Testat?

    Eine Zertifizierung wird von einem anerkannten spezialisierten Unternehmen ausgestellt und ist für gewöhnlich ein bis drei Jahre lang gültig. Ein Testat kann im Rahmen eines Compliance-Audits oder einer Wirtschaftsprüfungsgesellschaft durch qualifiziertes Fachpersonal erlangt werden. Ein Testat konzentriert sich mehr auf die kontinuierliche Implementierung, was zur Folge hat, dass der Audit-Zyklus viel kürzer ausfällt – ein Audit kann alle sechs Monate erfolgen. Gemäß ISAE 3000/3402 liefert der Audit-Prozess Beweise zur Angemessenheit und Effektivität über einen längeren Zeitraum. Eine Zertifizierung dagegen ist nur ein Schnappschuss und hat keine längerfristige Relevanz.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »