Cloud Computing Compliance Controls Catalog (C5)

Übersicht

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) ist ein regierungsgestütztes Prüfschema, das in Deutschland durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgestellt wurde. Anhand des Prüfschemas sollen Organisationen im Rahmen des Eckpunktepapiers "Sicherheitsempfehlungen für Cloud Computing Anbieter" der deutschen Bundesregierung ihre operative Sicherheit gegen weit verbreitete Cyber-Angriffe unter Beweis stellen.

Das C5-Prüfschema kann von AWS-Kunden und deren Compliance-Beratern verwendet werden, um den Umfang der IT-Sicherheitsservices von AWS zu verstehen, die ihnen während der Übertragung von Arbeitslasten in die Cloud zur Verfügung stehen. C5 fügt dem IT-Grundschutz das gesetzlich festgelegte IT-Sicherheitsleveläquivalent mit zusätzlichen Cloud-spezifischen Kontrollfunktionen hinzu.

C5 bietet nun zusätzliche Kontrollfunktionen, die Informationen zum Datenspeicherort, der Servicebereitstellung, dem Gerichtsstand, den existierenden Zertifizierungen, den Offenlegungsverpflichtungen von Informationen und eine ausführliche Beschreibung der Services enthalten. Mittels dieser Informationen können Kunden bewerten, wie rechtliche Vorgaben (z. B. zu Datenschutz), ihre eigenen Richtlinien oder das Bedrohungsumfeld ihre Cloud Computing-Services beeinflussen.

C5-Testat für Ihre SaaS- und PaaS-Anwendungen

AWS-Kunden können das C5-Testat für Cloud-Anwendungen erlangen, die auf der AWS-Infrastruktur ausgeführt werden. Im November 2016 erlangte AWS als erster Cloud-Service-Anbieter in Deutschland das C5-Testat auf Infrastrukturebene. Mit dem C5-Bericht legt AWS den Grundstein für die Dokumentation der C5-Compliance als Infrastructure-as-a-Service(IaaS)-Anbieter.

AWS können jetzt ein C5-Testat für ihre Cloud-Anwendungen erlangen, ohne die physische Sicherheit der Rechenzentren oder der Cloud-Infrastruktur prüfen zu müssen. Kunden können sich außerdem ihre SaaS- und PaaS-Anwendungen für das C5-Rahmenwerk zertifizieren lassen. Ihre Kunden erhalten so den Nachweis, dass die BSI-Standards der IT-Sicherheit in jedem Bereich eingehalten werden.

C5-Kundenberichte

Das BSI-Prüfschema Cloud Computing Compliance Control Catalogue deckt alle Aspekte eines sicher betriebenen Cloud Services ab. Für derzeitige AWS-Kunden wird die interne Kommunikation mit Sicherheits- und Compliance-Beratern bedeutend vereinfacht. Potentiellen Kunden wird die Übertragung von Anwendungsfällen zu AWS erleichtert. Jedoch ist eindeutig, dass das Prüfschema zu einem deutlichen Anstieg bei der Inanspruchnahme der Services führen wird.

Computacenter AG & Co oHG

Das BSI-C5-Attestat ist Beweis dafür, dass Box Cloud eine sichere Cloud-Lösung für das Enterprise Content Management ist. Box nimmt die Compliance in Deutschland und der gesamten EU äußerst ernst und investiert entsprechend, um zu beweisen, wie wichtig diese Märkte für das Unternehmen sind. Box nutzt unter anderem die AWS-Infrastruktur in der Region Frankfurt, die ebenfalls die C5-Compliance-Anforderungen erfüllt.

Box, Inc.

"Mit dem AWS-C5-Testat können wir sowie unsere Kunden sicher sein, dass Rechenzentren, Server, Netzwerke und Daten sicher gehandhabt und die Infrastruktur effektiv verwaltet werden. Wir können uns auf AWS verlassen und uns stattdessen voll auf unser eigenes Unternehmen konzentrieren, weil wir wissen, dass wir in guten Händen sind.“

e-Spirit AG

Die folgenden häufig gestellten Fragen sollen Ihnen dabei helfen, das C5-Attestat für Ihre SaaS- und PaaS-Anwendungen erlangen können. Weitere Informationen über C5 und "Cloud Computing Compliance Controls Catalogue (C5) – Kriterien zur Prüfung der Informationssicherheit bei Cloud-Services" finden Sie auf der BSI-Website.

  • Welche AWS-Services erfüllen die Anforderungen von C5?

    Die durch das C5-Testat abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

  • Was ist C5?

    C5 (Cloud Computing Compliance Controls Catalogue) ist der Cloud-Computing-Standard für die IT-Sicherheit in Deutschland. Das vom BSI entwickelte und im Februar 2016 veröffentlichte C5-Kontrollset bietet Kunden in Deutschland zusätzliche Sicherheit bei der Übertragung ihrer komplexen und regulierten Arbeitslasten zu Anbietern von Cloud Computing-Services wie AWS. C5 deckt die folgenden internationalen Standards ab:

    • ISO/IEC 27001:2013 (ISO – International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
    • AICPA Trust Services Principles and Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud v2.0 (Entwurf) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (Entwurf einer Stellungnahme zur Rechnungslegung: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing", Version vom 4. November 2014)
    • BSI IT-Grundschutz Kataloge 14. EL 2014
    • BSI SaaS Sicherheitsprofile 2014 [BSI SaaS Security Profiles 2014]
  • Wer hat diesen neuen Standard ins Leben gerufen?

    Die staatliche Cybersecurity-Behörde Deutschlands, das Bundesamt für Sicherheit in der Informationstechnik (BSI), ist für die Ausarbeitung des C5-Standards verantwortlich. Das BSI definiert die Anforderungen an die IT-Sicherheit für alle Bundesbehörden und die meisten deutschen Unternehmen richten ihre IT-Sicherheitsstrategie ebenfalls gemäß der BSI-Standards aus.

  • Warum wurde der neue Standard entwickelt?

    Aus den oben genannten Standards wurden die relevanten Kontrollmechanismen gesammelt und speziell für die Anforderungen des Cloud-Computings gebündelt und angepasst. Davon profitiert nicht nur der Cloud-Service-Anbieter (CSA), sondern auch der Kunde selbst, da die Rolle des CSAs und die Rolle des Kunden im Modell der gemeinsamen Verantwortung klar festgelegt werden.

  • Was ist der Unterschied zwischen dem C5-Standard und dem IT-Grundschutz des BSI?

    Der IT-Grundschutz ist ein Standard für die Einführung und den Aufrechterhalt eines angemessenen Datenschutzes in einer Behörde oder einem Unternehmen. Die IT-Grundschutzkataloge enthalten Sicherheitsmaßnahmen für typische Unternehmensprozesse, IT-Systeme und Anwendungen. Sie zielen vor allem auf den Schutz der eigenen Informationen einer Behörde oder eines Unternehmens ab. C5 dagegen legt Richtlinien für die Produkte von Cloud-Service-Anbietern fest.

  • Was ist der Unterschied zwischen einer Zertifizierung und einem Testat?

    Eine Zertifizierung wird von einem anerkannten spezialisierten Unternehmen ausgestellt und ist für gewöhnlich ein bis drei Jahre lang gültig. Ein Testat kann bei einem Compliance-Audit oder einer Wirtschaftsprüfung durch qualifiziertes Fachpersonal erlangt werden. Ein Testat konzentriert sich mehr auf die kontinuierliche Implementierung, was zur Folge hat, dass der Audit-Zyklus viel kürzer ausfällt – eine Prüfung kann alle 6 Monate erfolgen. Gemäß ISAE 3000/3402 liefert der Audit-Prozess Beweise zur Angemessenheit und Effektivität über einen längeren Zeitraum. Eine Zertifizierung dagegen ist nur ein Schnappschuss und hat keine längerfristige Relevanz.

  • Welche Vorteile hat der Kunde durch diesen Standard?

    Vor allem in Deutschland suchen Kunden nach Services, die den vom BSI definierten IT-Grundschutz erfüllen und entsprechende Zertifizierungen vorweisen können. Der IT-Grundschutz eignet sich gut für unternehmensinterne Beziehungen oder Outsourcing-Partnerschaften, ist aber nicht für das Cloud-Computing optimiert. C5 bietet Kunden die Möglichkeit, IT-Sicherheitsbestimmungen speziell für Cloud-Computing-Produkte zu prüfen. Für Behörden ist ein C5-Testat Voraussetzung, wenn es um die Auftragsvergabe geht.

  • Wie kann mich AWS dabei unterstützen, das C5-Testat für meine SaaS- und PaaS-Anwendungen zu erlangen?

    C5 ist vor allem auf professionelle Cloud-Service-Anbieter sowie deren Auditoren und Kunden ausgerichtet. Dieser Standard legt fest, an welche Anforderungen (auch Kontrollmechanismen genannt) sich Cloud-Service-Anbieter halten müssen oder welche Mindestanforderungen Cloud-Service-Anbieter erfüllen sollten. AWS-Kunden profitieren von dem C5-Testat für die Infrastrukturebene (IaaS) und können sich so voll auf den Erwerb des Testats für ihre SaaS- und PaaS-Anwendungen konzentrieren.

    Im November 2016 erlangte AWS als erster Cloud-Service-Anbieter in Deutschland das C5-Testat auf Infrastrukturebene. Durch Erlangen dieses Testats haben wir den Grundstein dafür gelegt, dass Sie Ihr eigenes C5-Testat für Ihre Cloud-Anwendungen von einem Auditor erlangen können. AWS-Kunden können sich also auf den Erwerb eines eigenen C5-Testats konzentrieren, ohne sich beim eigenen Audit Gedanken um die physische Sicherheit der Rechenzentren und die Verwaltung der Cloud-Infrastruktur machen zu müssen. Für als Software as a Service (SaaS) und Platform as a Service (PaaS) bereitgestellte Anwendungen können mit dem C5-Rahmenwerk ebenfalls Testate erlangt werden. Ihre Kunden erhalten so den Nachweis, dass die BSI-Standards der IT-Sicherheit in jedem Bereich eingehalten werden.

  • Wie erlange ich ein C5-Testat?

    Im Compliance-Kontrollkatalog wird festgelegt, dass ein Auditor Cloud-Services gemäß international anerkannter Kriterien prüft und bei erfolgreicher Prüfung ein Testat ausstellt. Die Grundlage für das Testat ist ein Audit-Bericht, in welchem der Auditor festhält, ob die Anforderungen erfüllt und effektiv implementiert wurden.

    Fragen zur Vorbereitung und Durchführung eines C5-Audits richten Sie bitte an Ihren Auditor.

  • Auf welche Kriterien sollte ich bei der Auswahl eines Auditors achten?

    Ein Jahres-Audit wird normalerweise nicht von einem einzigen Auditor, sondern von einem ganzen Team, durchgeführt. In diesem Team befinden sich auch IT-Experten. Teammitglieder müssen nachweisen können, dass sie für die Durchführung eines C5-Audits und die Ausstellung des C5-Testats qualifiziert sind (siehe Abschnitt 3.5.1). Zu diesen Qualifikationen zählen zum Beispiel die Auditor-Zertifizierungen für ISACA (CISA, CISM, CRISC), CSA (CCSK) oder ISO 27001 sowie den IT-Grundschutz. Diese Zertifizierungen müssen im Testat aufgeführt und nachgewiesen werden.

  • Wie lange dauert der Audit-Prozess, um das C5-Testat zu erlangen?

    Die Dauer des Audit-Prozesses hängt davon ab, welche Zertifizierungen Ihr Unternehmen bereits erlangt hat. Eine ISO 27001-Zertifizierung beispielsweise verkürzt den Audit-Prozess. Wir empfehlen, dass Sie ein Testat gemeinsam mit einer Zertifizierung anstreben, da alle Anforderungen für ISO IEC 27001 auch im Compliance-Kontrollkatalog enthalten sind.

  • Wirkt sich dieser Standard auch international aus?

    Das BSI hat die Anforderungen für diesen Standard in Übereinstimmung mit der ANSSI (Agence nationale de la sécurité des systèmes d’information, Nationale Agentur für Sicherheit der Informationssysteme) ausgearbeitet, die demnächst ihren eigenen Standard, das Secure-Cloud-Label, einführen wird. Der C5-Standard und der Secure-Cloud-Standard in Frankreich haben sich gegenseitig beeinflusst. Beide Standards sollen in einem gemeinsamen Label namens ESCloud vereint werden und so europaweite Anerkennung erlangen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »