Anforderungskatalog »Cloud Computing« des BSI

Das Bundesamt für Sicherheit in der Informationstechnik hat einen Anforderungskatalog für Cloud Computing (Englisch: Cloud Computing Compliance Controls Catalogue), kurz C5, veröffentlicht. Hierin finden sich prüfbare Anforderungen, jedoch keine konkreten Maßnahmen, die es zu erreichen gilt. Dies soll der Flexibilität von Cloud-Anbieter Rechnung tragen, da diese ständig neuen IT-Bedrohungen ausgesetzt sind und ihre Verfahren und Werkzeuge laufend anpassen müssen.

Der Anforderungskatalog ist in 17 Themen mit 114 Anforderungen unterteilt. Themen wie Physische Sicherheit, Asset Management, Organisation der Informationssicherheit, Notfallmanagement, Vertraulichkeit, Berechtigungsmanagement etc. werden darin behandelt. In Tabellenform werden die Basisanforderungen beschrieben. Dabei bezieht sich C5 auf anerkannte Normen wie z. B. die ISO/IEC 27001.

C5 bietet zudem vier »Umfeldparameter«. Hierbei werden weitere wichtige Fragen behandelt.
Umfeldparameter 1 gibt eine umfassende Systembeschreibung wieder. Es werden Netzwerkkomponenten und Infrastrukturen beschrieben sowie Prozesse und Zuständigkeiten dargelegt.
Umfeldparameter 2 beschäftigt sich mit Datensicherung, -speicherung und -verarbeitung sowie Gerichtsstandorten.
Im Umfeldparameter 3 geht es um Offenbarungs- und Ermittlungspflichten gegenüber staatlichen Stellen und die Frage, wer in einem solchen Fall Zugriff auf die Daten von Cloud-Kunden erhalten dürfte.
Umfeldparameter 4 behandelt Zertifizierungen.

Die Umfeldparameter sind sehr nützlich für potenzielle Kunden, denn so können sie diese wichtigen Themen einsehen und bewerten. Zudem haben sie ihrer Sorgfaltspflicht genüge getan, wenn sie den C5-Bericht eines Cloud-Service-Anbieters, der alle Anforderungen nachweislich umgesetzt hat, eingesehen haben.

Ein SOC 2-Bericht schließlich belegt, dass Cloud-Anbieter die Anforderungen von C5 einhalten und alle Aussagen zur Transparenz richtig sind. Der SOC 2-Bericht beruht auf dem Testierungsregime der ISAE 3000, das Wirtschaftsprüfer nutzen.

Den Anforderungskatalog sowie weitere Informationen finden Sie hier.