Ich hätte gern Informationen über C5



 

Uptime Institute

Cloud Computing Compliance Controls Catalog (C5) ist ein Prüfschema des Bundesamtes für Sicherheit in der Informationstechnik (BSI) das Unternehmen und Behörden hilft einen Nachweis für operative Sicherheit gegen Cyber-Angriffe entsprechend des Eckpunktepapiers: „Sicherheitsempfehlungen für Cloud Computing Anbieter“ zu erbringen.

Die C5-Testierung dient den AWS-Kunden sowie deren Compliance-Beratern, das durch AWS angebotene Sicherheitsversprechen einordnen zu können, während sie ihre Workloads in die Cloud bringen. C5 liefert den regulatorisch definierten IT-Security-Level, der vergleichbar mit dem um die Cloud Controls erweiterten IT-Grundschutz ist.

Ein Vorteil von C5 im Vergleich zu anderen Sicherheitsstandards sind die so genannten Umfeldparameter, die besonders in Deutschland für Cloud Kunden Relevanz haben. Sie liefern Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen und Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen und enthalten eine Systembeschreibung.

Die so geschaffene Transparenz erlaubt es Kunden zu entscheiden, ob gesetzliche Vorschriften (wie z. B. Datenschutz), die eigenen Richtlinien oder auch die Gefährdungslage, die Nutzung des jeweiligen Cloud-Dienstes als geeignet erscheinen lassen.


Als AWS-Kunde können Sie C5 auch für Ihre eigenen Cloud Applikationen erreichen. AWS hat als erster Cloud-Anbieter in Deutschland bereits November 2016 ein Testat nach dem Anforderungskatalog C5 auf der Infrastruktur- Ebene erhalten. Mit dem C5-Bericht legt AWS die Grundlage für die Dokumentation der C5-Konformität als Infrastructure as a Service (IaaS)-Anbieter.

AWS Kunden eröffnet dies die Möglichkeit, sich für ihre eigene C5-Attestierung zu entscheiden, ohne die physische Sicherheit von Rechenzentren und den Infrastrukturteil der Cloud, im Rahmen ihrer individuellen Prüfung berücksichtigen zu müssen. Applikationen die als Software as a Service (SaaS) und Platform as a Service (PaaS) bereitgestellt werden, können ebenfalls nach dem C5-Prüfschema attestiert werden. Ihre Kunden erhalten somit den Nachweis, dass Sie auf allen Ebenen das BSI-Standardniveau der IT-Sicherheit effektiv umsetzen.

Für den privaten und öffentlichen Sektor ist somit neben dem IT-Grundschutz auf Basis der ISO 27001 eine anerkannte Alternative geschaffen worden, die den IT-Sicherheitskriterien des BSI entspricht.


The BSI Cloud Computing Compliance Control Catalogue (C5) covers all aspects of a securely operated Cloud Service. For current AWS customers the internal discussion with Security- and Compliance Manager will be considerably facilitated. For potential customers it will be much easier to transfer Use Cases to AWS. In either case we take that, the attestation will significantly rise the Service-Consumption.
Computacenter AG & Co oHG

Das BSI C5 Testat belegt, dass die Box Cloud eine sichere Cloud-Lösung für Enterprise Content Management ist. Durch sein Engagement und seine Investitionen für Compliance in Deutschland und Europa, zeigt Box wie wichtig diese Märkte für das Unternehmen sind. Neben anderen Lösungen nutzt Box auch die Infrastruktur der AWS-Region Frankfurt, die ebenfalls C5 compliant ist.

Das BSI C5 Testat belegt, dass die Box Cloud eine sichere Cloud-Lösung für Enterprise Content Management ist.

Durch sein Engagement und seine Investitionen für Compliance in Deutschland und Europa, zeigt Box wie wichtig diese Märkte für das Unternehmen sind.

Neben anderen Lösungen nutzt Box auch die Infrastruktur der AWS-Region Frankfurt, die ebenfalls C5 compliant ist.

Das BSI C5 Testat belegt, dass die Box Cloud eine sichere Cloud-Lösung für Enterprise Content Management ist.

Durch sein Engagement und seine Investitionen für Compliance in Deutschland und Europa, zeigt Box wie wichtig diese Märkte für das Unternehmen sind.

Neben anderen Lösungen nutzt Box auch die Infrastruktur der AWS-Region Frankfurt, die ebenfalls C5 compliant ist.

Das BSI C5 Testat belegt, dass die Box Cloud eine sichere Cloud-Lösung für Enterprise Content Management ist.

Durch sein Engagement und seine Investitionen für Compliance in Deutschland und Europa, zeigt Box wie wichtig diese Märkte für das Unternehmen sind.

Neben anderen Lösungen nutzt Box auch die Infrastruktur der AWS-Region Frankfurt, die ebenfalls C5 compliant ist.

Das BSI C5 Testat belegt, dass die Box Cloud eine sichere Cloud-Lösung für Enterprise Content Management ist.

Durch sein Engagement und seine Investitionen für Compliance in Deutschland und Europa, zeigt Box wie wichtig diese Märkte für das Unternehmen sind.

Neben anderen Lösungen nutzt Box auch die Infrastruktur der AWS-Region Frankfurt, die ebenfalls C5 compliant ist.

Das BSI C5 Testat belegt, dass die Box Cloud eine sichere Cloud-Lösung für Enterprise Content Management ist.

Durch sein Engagement und seine Investitionen für Compliance in Deutschland und Europa, zeigt Box wie wichtig diese Märkte für das Unternehmen sind.

Neben anderen Lösungen nutzt Box auch die Infrastruktur der AWS-Region Frankfurt, die ebenfalls C5 compliant ist.

Box, Inc.
Das C5 Testat für den Infrastrukturbetrieb durch AWS bietet uns und unseren Kunden einen verlässlichen Nachweis der Informationssicherheit in den Bereichen Rechenzentrums-, Server-, Netz- und Datensicherheit. Mit der Gewissheit dieses Rückhalts ist eine noch stärkere Fokussierung auf unser Kerngeschäft möglich.
e-Spirit AG

Folgende FAQs dienen zur Orientierung, wie Sie C5 für Ihre SaaS- und PaaS-Applikationen erreichen können. Ausführliche Informationen zu C5 und den Anforderungskatalog „Cloud Computing (C5) - Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten“, finden Sie auf der BSI-Website.

Die durch C5 abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

C5 ist die Abkürzung für Cloud Computing Compliance Controls Catalogue, also ein Anforderungskatalog an Cloud Computing. Es ist der einzige Cloud Computing IT-Sicherheitsstandard des BSI in Deutschland. Er deckt die Kontrollkataloge der folgenden internationalen Standards ab:

  • ISO/IEC 27001:2013 (ISO - International Organization for Standardization)
  • CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)
  • AICPA Trust Service Principles Criteria 2014 (AICPA - American Institute of Certified Public Accountants)
  • ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI - Agence nationale de la sécurité des systèmes d'information)
  • IDW ERS FAIT 5 04.11.201 (Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing, Version 4 November 2014)
  • BSI IT-Grundschutz Kataloge, 14. Version 2014
  • BSI SaaS Sicherheitsprofile 2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diesen Prüfungsstandard entwickelt. Das BSI legt für alle behördlich genutzten IT-Systeme, die zu erfüllenden IT-Sicherheitsstandard fest, an denen viele der Firmen in Deutschland ihre IT-Sicherheits-Strategie orientieren.

Um einen sehr Cloud spezifischen Standard zu haben, wurden die oben aufgeführten Standards zusammengeführt, sprachlich angepasst und damit speziell auf das Cloud Computing zugeschnitten. Dies hat sowohl für den Cloud Service Provider als auch für den Kunden Vorteile, die in der Implementierung des Modells der geteilten Verantwortlichkeit (Shared Responsibility), da die Verantwortung des Cloud Service Providers durch diesen Standard eindeutig beschrieben wurde.

Der IT-Grundschutz ist ein Standard für die Etablierung und Aufrechterhaltung eines angemessenen Schutzes aller Informationen einer Institution. In den IT-Grundschutz-Katalogen werden Sicherheitsmaßnahmen für typische Geschäftsprozesse, IT-Systeme, Anwendungen beschrieben. Der C5 (Cloud Computing Compliance Controls Catalogue) ist dagegen ein reiner Prüfstandard. Der IT-Grundschutz adressiert vor allem den Schutz der eigenen Informationen im eigenen Unternehmen, der C5 ist dagegen explizit für Dienste eines Cloud Service Provider (CSP) ausgelegt. Beide Werke betrachten die Informationssicherheit ganzheitlich und beschränken sich nicht z. B. nur auf technische Aspekte. Über die Jahre hat sich der IT-Grundschutz, der Informationssicherheit auf konkrete Maßnahmen herunterbricht, als ein Referenzwerk für Informationssicherheit in Deutschland etabliert. Für Cloud-Anbieter, die ihre Services aber oft auf höchst unterschiedliche Weise erbringen, ist ein Modell mit Sicherheitsanforderungen anstatt von Maßnahmen vorteilhafter, da Cloud-Anbietern die Ausgestaltung der Erfüllung dieser Anforderungen überlassen wird.

Eine Zertifizierung wird durch eine akkreditierte und spezialisierte Firma ausgestellt und gilt zwischen einem und drei Jahren. Eine Testierung kann während eines Compliance Audits durch eine qualifizierte Person durchgeführt werden. Bei dieser Prüfung liegt mehr der Fokus auf die Effektivität der tatsächlichen Implementierung der Kontrollen und daher sind die Prüfzeiträume daher auch kürzer, bis zu sechs Monaten. Das Audit selbst wird nach dem Prüfungsstandard ISAE 3000 / 3402 durchgeführt und liefert den Nachweis der Verhältnismäßigkeit und Effektivität der Maßnahmen in dem Prüfzeitraum. In dem Sinne ist eine Zertifizierung nur eine Momentaufnahme. Ein Grund warum wir unsere SOC Reporting bevorzugen.

Ganz besonders in Deutschland orientieren sich Kunden oft an Services die entsprechend des BSI IT-Grundschutzes zertifiziert sind. Der IT-Grundschutz ist hervorragend auf eigene Infrastrukturen, also eigene Rechenzentren oder traditionelles Outsourcing anwendbar, aber er ist nicht für Cloud Computing optimiert. Mit C5 erhalten Sie einen Nachweis der einen IT-Sicherheitslevel nachweist, der technisch vergleichbar mit dem des IT-Grundschutzes ist und alle Cloud spezifischen Aspekte der IT-Sicherheit abdeckt. Für Behörden ist ein C5-Nachweis eine Basisanforderung im Beschaffungsprozess.

AWS hat als erster Cloud-Anbieter in Deutschland November 2016 ein Testat nach dem Anforderungskatalog C5 auf der Infrastruktur- Ebene erhalten. Mit unserem C5 Testat haben wir für Sie die Grundlage gelegt, die C5-Testierung auch für Ihre Cloud Applikationen von Ihrem Auditor zu erhalten. AWS Kunden profitieren von dem C5 Testat für den Infrastrukturbetrieb durch AWS und können sich somit auf die Testierung ihrer Applikation der SaaS-/PaaS-Ebene konzentrieren.

AWS-Kunden können C5 auch für ihre eigenen Cloud Applikationen erreichen. C5 ist nicht nur ein Testat für Infrastrukturservice-Anbieter. Das BSI hat diesen Standard auch für den Nachweis der Informationssicherheit für SaaS- und PaaS-Applikationen entwickelt.

Der Anforderungskatalog sieht vor, dass ein Wirtschaftsprüfer nach einem international anerkannten Verfahren ein Testat für die betrachteten Cloud-Dienste erteilt. Grundlage für das Testat ist ein Prüfbericht indem der Prüfer darstellt, ob die Anforderungen erfüllt und wirksam umgesetzt waren. Da Wirtschaftsprüfer ohnehin jedes Jahr den Jahresabschluss prüfen, kann ein Audit nach diesem Anforderungskatalog leicht mit der Jahresabschlussprüfung kombiniert werden. Hier gibt es bereits eine Überlappung der Anforderungen, so dass eine Prüfung für zwei unterschiedliche Berichte genutzt werden kann.

Eine Jahresabschlussprüfung wird in der Regel nicht von einem Wirtschaftsprüfer in Person durchgeführt, sondern von einem Team. Darin gibt es auch IT-Experten. Um den Anforderungskatalog zu testieren, müssen Team-Mitglieder ihre Qualifikation nachweisen. Mögliche Personenzertifizierungen sind z. B. von der ISACA (CISA, CISM, CRISC), der CSA (CCSK) oder ISO 27001- und IT-Grundschutz-Auditoren. Diese Qualifikationen müssen im Testat aufgeführt und nachgewiesen werden.

Die Dauer des Auditprozesses richtet sich nach den in Ihrem Unternehmen bereits vorhandenen Zertifizierungen. Eine Zertifizierung wie z.B. ISO 27001 verkürzt den Auditprozess. Es empfiehlt sich beispielsweise eine Testierung mit einer Zertifizierung zusammen durchzuführen, da alle Anforderungen der ISO/IEC 27001 auch im Anforderungskatalog aufgeführt sind.

Das BSI hat sich bei der Entwicklung von C5 an das französische Pendant des ANSSI, den Secure Cloud Standard orientiert und umgekehrt. Von beiden Seiten wird die gegenseitige Anerkennung der jeweiligen nationalen Standards unter dem Label des ESCloud angestrebt.

 

Kontakt