Cloud-Dienste haben oft eine hohe Komplexität, viele Abhängigkeiten zu anderen (Cloud-)Diensten und unterliegen ständiger Veränderung und Weiterentwicklung. Daher sind der Datenschutz und die Informationssicherheit von Cloud-Diensten eine große Herausforderung. Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte „Cloud Computing Compliance Criteria Catalogue“ (C5) hat sich seit seiner Veröffentlichung 2016 zum etablierten und vielfach national und international umgesetzten Standard der Cloud-Sicherheit entwickelt. Der C5-Kriterienkatalog wurde aktiv vom BSI in die Entwicklung eines EU-Zertifizierungsschemas für Cloud-Dienste eingebracht und bildet hierfür eine wesentliche Grundlage. Neben Aspekten der Informationssicherheit deckt der C5 auch eine Vielzahl von Anforderungen ab, die im Kontext des Datenschutzes zu erbringen sind.
BSI-Präsident Arne Schönbohm: „In Zeiten der Digitalisierung ist
Datensicherheit eine wesentliche Voraussetzung für erfolgreichen
Datenschutz. Insbesondere beim Cloud Computing ist die Einhaltung des
Datenschutzes immer noch eine Herausforderung. Der C5
deckt viele technische und organisatorische Maßnahmen ab, die auch für
den Datenschutz eine notwendige Voraussetzung sind. Ich freue mich, dass
viele Inhalte unseres international sehr erfolgreichen C5-Kriterienkatalogs auch in den Entwurf des EU-Zertifizierungsschemas
übernommen wurden. Als Gestalter einer sicheren Digitalisierung bringen
wir unser Know-how auf internationaler Ebene ein und tragen dazu bei,
dass Cyber-Sicherheit ‚Made in Germany‘ auch international ein
integrierter Bestandteil innovativer digitaler Angebote ist.“
Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber: „Die Nutzung von Cloud-Diensten ist im Alltag praktisch, aber es muss eben auch sicher sein. Ein EU-Zertifizierungsschema
kann den Bürgerinnen und Bürgern dabei helfen, die Sicherheit von
Cloud-Diensten besser zu bewerten. Es würde mich freuen, wenn sich darin
wesentliche Teile des C5-Kriterienkatalogs wiederfinden. Wichtige Teilaspekte des Datenschutzes würden so direkt mit berücksichtigt.“
Ziel des EU-Zertifizierungsschemas ist es, bessere Bedingungen zur Nutzung von Cloud-Diensten im EU-Binnenmarkt
zu schaffen sowie eine Harmonisierung und Straffung der für eine
Zertifizierung notwendigen Nachweise herbeizuführen. Um das EU-Zertifizierungsschema noch besser an die Bedürfnisse der verschiedenen Stakeholder anzupassen, hat die europäische Cyber-Sicherheitsagentur ENISA am 22. Dezember 2020 die öffentliche Kommentierung des Entwurfs für das Zertifizierungsschema zur Cloud-Sicherheit unter dem Cyber Security Act gestartet. Noch bis 7. Februar 2021 besteht die Möglichkeit, den auf der ENISA-Webseite veröffentlichten Entwurf zu kommentieren.
Über den C5-Kriterienkatalog des BSI
Der „Cloud Computing Compliance Criteria Catalogue“ (bsi.bund.de/C5) richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.
Foto: Eingang Dienstgebäude des BSI, Godesberger Allee 185-189, 53175 Bonn
Quelle: Bundesamt für Sicherheit in der Informationstechnik