BSI C5 – Ein einheitlicher Sicherheitsstandard in der Cloud-Umgebung
Der strategische Ansatz von Deloitte für einen erfolgreichen C5-Audit
Die Anforderungen an Sicherheitsstandards im Cloud Computing steigen. Aus diesem Grund gewinnen Cloud-Compliance-Standards, wie der BSI C5 (Cloud Computing Compliance Criteria Catalogue), zunehmend an Bedeutung. Wir erläutern Ihnen, wie Deloitte Sie effizient bei einem C5-Audit begleitet oder Sie gerne zu Ihren individuellen Compliance-Anforderungen berät.
Die Hintergründe zum BSI-C5 Kriterienkatalog
Der BSI-C5-Kriterienkatalog schließt die Lücke zwischen allgemeiner Informationssicherheit und Cloud Computing-spezifischen Sicherheitsanforderungen. Dabei werden relevante Anforderungen aus etab-lierten Security-Standards im Bereich der Informationssicherheit zusammengeführt. Die Sicherheitsfunktionen und das damit verbundene interne Kontrollsystem des Cloud-Anbieters sind mittlerweile entscheidende Faktoren bei der Auswahl von Cloud-Diensten. Zugleich haben die Cloud-Nutzer:innen meist nicht die nötigen Ressourcen und das Know-how, um die Sicherheitsaspekte der Cloud-Dienste nachzuvollziehen. Aus diesem Grund gewinnen Cloud-Compliance-Standards zunehmend an Bedeutung.
Darüber hinaus sind unter anderem Bundesbehörden, öffentliche Unternehmen und Betreiber kritischer Infrastrukturen, beispielsweise im Gesundheitswesen, verpflichtet, ein Mindestmaß an Sicherheitsanforderungen bei der Nutzung von Cloud-Umgebungen einzuhalten. Durch die Spezifikation von Mindestanforderungen in 17 Sicherheitsbereichen bietet der C5-Standard Unternehmen die Möglichkeit, das Sicherheitsniveau ihrer Cloud-Produkte durch ein umfassendes und transparentes Reporting nach-zuweisen.
Gründe für eine Prüfung gemäß C5-Kriterienkatalog
Die Prüfung eines Cloud-Dienstes nach dem C5-Kriterienkatalog kann entweder als eine Prüfung der Erklärung oder eine direkte Prüfung erfolgen. Bei einer Prüfung der Erklärung erstellt der Cloud-Anbieter vorab die sogenannte Systembeschreibung, welche das interne, dienstleistungsbezogene Kontrollsystem der zu prüfenden Cloud-Dienste beschreibt. Falls der Kunde keine Systembeschreibung mit einer spezifischen Umsetzung des C5-Katalogs vorweisen kann, wird Deloitte die Systembeschreibung während des C5-Audits im Rahmen des direkten Audits erheben.
Unterstützung durch Deloitte
Deloitte bietet mit dem C5 Readiness Assessment Unternehmen die Möglichkeit, den Reifegrad ihrer implementierten Maßnahmen und Kontrollen vorab einzuschätzen. Im Rahmen dessen ermitteln die Expert:innen von Deloitte den aktuellen Abdeckungsgrad der Kriterien und entwickeln konkrete Maßnahmenempfehlungen zur Erreichung der C5-Bescheinigung. Zudem werden Kriterien identifiziert, die aufgrund der Art oder der konkreten Ausgestaltung des Services nicht anwendbar sind.
Der Umfang der Prüfungsaktivitäten orientiert sich nach den Berichterstattungstypen. Die erste im C5-Katalog definierte Variante ist die Angemessenheitsprüfung (Berichterstattung nach Typ 1). Ziel dieses Prüfungsvorgehens ist es, die angemessene Ausgestaltung und Implementierung der Kontrollen zur Erfüllung der anwendbaren C5-Kriterien zu einem definierten festen Zeitpunkt zu validieren. Hierbei führen Expert:innen von Deloitte Interviews mit den Kontrollverantwortlichen zur Aufnahme der Kontrolldesigns und nehmen Einsicht in beispielhafte Dokumentationen, um Soll- und Ist-Zustand abzugleichen.
Die zweite Variante ist die Wirksamkeitsprüfung (Berichterstattung nach Typ 2). Der wesentliche Unterschied zur Angemessenheitsprüfung besteht in der zusätzlichen Stichprobenprüfung über einen definierten Zeitraum, um eine hinreichend sichere Aussage über die Wirksamkeit der Kontrollen zum Erreichen der C5-Kriterien zu treffen. Für Cloud-Nutzer:innen ist der Nachweis über die Wirksamkeit der implementierten Kontrollen ein wichtiges Qualitätsmerkmal für die Sicherheit des Cloud-Dienstes.
Dabei sind die Expert:innen von Deloitte mit ihrer langjährigen Erfahrung im IT-Audit und in der Readiness Assistance kompetente Partner für Ihr Projekt. Über die gesamte Prüfungsplanung und -durchführung bis zur erfolgreichen Übergabe des Prüfberichts berücksichtigt Deloitte Ihre spezifischen Kundenwünsche und unterstützt Sie in allen Belangen, beispielsweise bei der Identifizierung von nicht anwendbaren Kriterien oder durch eine Beratung zu Ihren individuellen Compliance-Anforderungen. Wenn Fragen zum Thema BSI C5 haben, ein Readiness Assessment benötigen oder Interesse an einem durch Deloitte begleiteten C5-Audit haben, kontaktieren Sie gerne unsere Ansprechpartner:innen für mehr Informationen.
Laden Sie hier unser Whitepaper zum BSI-C5-Kriterienkatalog herunter und erfahren Sie weitere Details.
