Cloud Computing Compliance Controls Catalog (C5)

Übersicht

Der Cloud Computing Compliance Controls Catalog (C5) ist ein von der deutschen Regierung unterstütztes Zertifizierungssystem, das in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeführt wurde. C5 unterstützt Organisationen beim Nachweis der betrieblichen Sicherheit gegen gängige Cyberangriffe bei der Nutzung von Cloud-Services im Rahmen der Sicherheitsempfehlungen für Cloud-Anbieter der Bundesregierung.

Das C5-Prüfschema kann von AWS-Kunden und deren Compliance-Beratern verwendet werden, um die von AWS implementierten Sicherheitskontrollen zu verstehen, um die C5-Anforderungen zu erfüllen, die ihnen während der Übertragung von Workloads in die Cloud zur Verfügung stehen. C5 fügt dem IT-Grundschutz das gesetzlich festgelegte IT-Sicherheitsleveläquivalent mit zusätzlichen Cloud-spezifischen Kontrollfunktionen hinzu.

C5 umfasst nun zusätzliche Kontrollanforderungen, die sich auf den Datenspeicherort, die Servicebereitstellung, den Gerichtsstand, die existierenden Zertifizierungen, die Offenlegungsverpflichtungen von Informationen und eine ausführliche Beschreibung der Services beziehen. Mittels dieser Informationen können Kunden bewerten, wie rechtliche Vorgaben (z. B. zu Datenschutz), ihre eigenen Richtlinien oder das Bedrohungsumfeld ihre Cloud Computing-Services beeinflussen.

  • Was ist C5?

    C5 (Cloud Computing Compliance Controls Catalogue) ist der Cloud-Computing-Standard für die IT-Sicherheit in Deutschland. Das vom BSI entwickelte und im Februar 2016 veröffentlichte C5-Kontrollset bietet Kunden in Deutschland zusätzliche Sicherheit bei der Übertragung ihrer komplexen und regulierten Arbeitslasten zu Anbietern von Cloud Computing-Services wie AWS. C5 deckt die folgenden internationalen Standards ab:

    • ISO/IEC 27001:2017 (ISO – International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
    • AICPA Trust Services Principles and Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
    • Trusted Cloud Data Protection Profile (TCDP)  – Version 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • BSI IT-Grundschutz Kompendium – Edition 2019
  • Wer hat den C5-Standard entwickelt?

    Die staatliche Cybersecurity-Behörde Deutschlands, das Bundesamt für Sicherheit in der Informationstechnik (BSI), ist für die Entwicklung des C5-Standards im Jahre 2016 verantwortlich. Das BSI definiert die Anforderungen an die IT-Sicherheit für alle Bundesbehörden, und die meisten deutschen Unternehmen richten ihre IT-Sicherheitsstrategie ebenfalls an den BSI-Standards aus. Das BSI hat den C5-Katalog 2019 überarbeitet und aktualisiert. Eine neue Version (C5: 2020) wurde im Januar 2020 fertiggestellt. 

  • Welche Vorteile hat der Kunde durch diesen Standard?

    AWS hat seine Bewertung für 2021 im Hinblick auf das C5-Programm für Informationssicherheit und Compliance abgeschlossen. Der C5-Bericht kann in AWS Artifact heruntergeladen werden. Er deckt sowohl grundlegende als auch zusätzliche C5-Kriterien ab. Der C5-Bestätigungsbericht von AWS für 2022 wird Ende 2022 verfügbar sein.

    Der C5-Bericht bietet unseren europäischen Kunden eine unabhängige Bescheinigung von Dritten über die Eignung des Designs und die betriebliche Wirksamkeit unserer Kontrollen, um die grundlegenden und zusätzlichen C5-Kriterien zu erfüllen. Insbesondere in Deutschland sind Kunden es gewohnt, nach Cloud-Services zu suchen, die anhand der C5-Kriterien bewertet werden. C5 bietet Kunden ein Framework, das eine dem IT-Grundschutz entsprechende IT-Sicherheitsstufe dokumentiert und alle IT-Sicherheitsbestimmungen für Cloud Computing abdeckt. Für Bundesbehörden ist ein C5-Testat Voraussetzung, wenn es um die Auftragsvergabe geht.

  • Welche AWS-Regionen erfüllen die Anforderungen von C5?

    Zu AWS-Regionen, die die Anforderungen von C5 zu erfüllen, gehören u. a. die Folgenden: Frankfurt, Irland, London, Paris, Mailand, Stockholm und Singapore sowie Edge-Standorte in Deutschland, Irland, England, Frankreich und Singapur.
  • Welche Services erfüllen die Anforderungen?

    Die durch das C5-Testat abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren, und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

  • Was ist der Unterschied zwischen dem C5-Standard und dem IT-Grundschutz?

    Der IT-Grundschutz ist ein Standard für die Einführung und die Aufrechterhaltung eines angemessenen Datenschutzes in einer Behörde oder einem Unternehmen. Die IT-Grundschutzkataloge enthalten Sicherheitsmaßnahmen für typische Unternehmensprozesse, IT-Systeme und Anwendungen. Sie zielen vor allem auf den Schutz der eigenen Informationen einer Behörde oder eines Unternehmens ab. C5 dagegen legt Richtlinien für die Produkte von Cloud-Service-Anbietern fest.
  • Wirkt sich dieser Standard auch international aus?

    Das BSI hat die Anforderungen für diesen Standard in Übereinstimmung mit der ANSSI (Agence nationale de la sécurité des systèmes d’information, Nationale Agentur für Sicherheit der Informationssysteme) ausgearbeitet, die demnächst ihren eigenen Standard, das SecNumCloud-Label, einführen wird. Der C5-Standard und der SecNumCloud-Standard in Frankreich haben sich gegenseitig beeinflusst. Beide Standards sollen in einem gemeinsamen Label namens ESCloud vereint werden und so europaweite Anerkennung erlangen. Der Entwurf des EU-Zertifizierungssystems für Cybersicherheit für Cloud-Services (EUCS) der Agentur der Europäischen Union für Cybersicherheit (ENISA) stützt sich erheblich auf den Sicherheitsstandard von C5.

  • Was ist der Unterschied zwischen einer Zertifizierung und einem Testat?

    Eine Zertifizierung wird von einem anerkannten spezialisierten Unternehmen ausgestellt und ist für gewöhnlich ein bis drei Jahre lang gültig. Ein Testat kann im Rahmen eines Compliance-Audits oder einer Wirtschaftsprüfungsgesellschaft durch qualifiziertes Fachpersonal erlangt werden. Ein Testat konzentriert sich mehr auf die kontinuierliche Implementierung, was zur Folge hat, dass der Audit-Zyklus viel kürzer ausfällt – ein Audit kann alle sechs Monate erfolgen. Gemäß ISAE 3000/3402 liefert der Audit-Prozess Beweise zur Angemessenheit und Effektivität über einen längeren Zeitraum. Eine Zertifizierung dagegen ist nur ein Schnappschuss und hat keine längerfristige Relevanz.

Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »