Der Cloud Computing Com­pli­ance Criteria Catalogue (C5) ist ein Kri­te­ri­en­ka­ta­log, der speziell für die Si­cher­heits­an­for­de­run­gen von Cloud-Computing-Diensten ent­wi­ckelt wurde. Der vom Bundesamt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) kon­zi­pier­te Leitfaden dient als Rah­men­werk für die Bewertung und Prüfung der Si­cher­heits­maß­nah­men von Cloud-Anbietern.

Was ist der Kri­te­ri­en­ka­ta­log C5?

Beim C5-Katalog handelt es sich um einen vom Bundesamt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik im Jahre 2016 her­aus­ge­ge­be­nen Kri­te­ri­en­ka­ta­log. Er spe­zi­fi­ziert Min­dest­an­for­de­run­gen für sicheres Cloud-Computing und fasst vor diesem Hin­ter­grund An­for­de­run­gen zusammen, die Cloud-Dienst­leis­ter erfüllen müssen, um als ver­trau­ens­wür­di­ge Partner für die Spei­che­rung und Ver­ar­bei­tung sensibler Daten zu gelten.

Mitt­ler­wei­le umfasst der Kri­te­ri­en­ka­ta­log 17 The­men­ge­bie­te und deckt über 120 Kriterien ab. Die aktuelle Version des C5-Katalogs wurde 2020 ver­öf­fent­licht und be­schreibt An­for­de­run­gen bei­spiels­wei­se in folgenden Bereichen:

  • Or­ga­ni­sa­ti­on der In­for­ma­ti­ons­si­cher­heit
  • Si­cher­heits­richt­li­ni­en sowie Ar­beits­an­wei­sun­gen
  • Physische Si­cher­heit
  • Re­gel­be­trieb
  • Iden­ti­täts- und Be­rech­ti­gungs­ma­nage­ment
  • Kryp­to­gra­fie und Schlüs­sel­ma­nage­ment
  • Kom­mu­ni­ka­ti­ons­si­cher­heit
  • Umgang mit Si­cher­heits­vor­fäl­len

Für wen sind die C5-Kriterien relevant?

Die im Katalog be­schrie­be­nen Kriterien richten sich vor allem an Or­ga­ni­sa­tio­nen und Un­ter­neh­men, die Cloud-Dienste be­reit­stel­len. Ins­be­son­de­re für deutsche Cloud-Dienst­leis­ter und Cloud-Storage-Provider, die sensible Daten verwalten oder speichern, ist der C5-Katalog von großer Bedeutung. Durch seine ein­heit­li­chen Standards bietet er ein Rah­men­werk, an dem sich Provider ori­en­tie­ren können, um eine sichere Ver­wah­rung von per­so­nen­be­zo­ge­nen Daten zu ge­währ­leis­ten und Si­cher­heits­ri­si­ken zu mi­ni­mie­ren.

Doch nicht nur Provider, sondern auch Kundinnen und Kunden von Cloud-Dienst­leis­tun­gen können den Kri­te­ri­en­ka­ta­log nutzen, um sich einen Überblick über die wich­tigs­ten Aspekte der In­for­ma­ti­ons­si­cher­heit im Bereich des Cloud-Com­pu­tings zu ver­schaf­fen und eine in­for­mier­te Ent­schei­dung darüber zu treffen, wo sie ihre per­so­nen­be­zo­ge­nen Daten speichern und hin­ter­le­gen möchten.

IONOS Cloud Object Storage
Daten sicher und günstig speichern

Ersetzen Sie eigene, kos­ten­in­ten­si­ve Spei­cher­lö­sun­gen mit IONOS Cloud Object Storage. Es ist hoch­gra­dig ska­lier­bar, äußerst kos­ten­ef­fi­zi­ent und in­te­griert sich in Ihre An­wen­dungs­sze­na­ri­en. Die extrem hohe Aus­fall­si­cher­heit unserer Server sowie eine in­di­vi­du­el­le Zu­griffs­steue­rung schützen Ihre Daten zu­ver­läs­sig.

Wodurch zeichnen sich C5-zer­ti­fi­zier­te Anbieter aus?

Im All­ge­mei­nen zeichnen sich Anbieter, die das C5-Testat erlangen, dadurch aus, dass sie die strengen Si­cher­heits­stan­dards erfüllen, die im Kri­te­ri­en­ka­ta­log des BSI fest­ge­legt sind. Da der Kri­te­ri­en­ka­ta­log sämtliche Bereiche der In­for­ma­ti­ons­si­cher­heit abdeckt, können C5-zer­ti­fi­zier­te Cloud-Provider im All­ge­mei­nen als sichere Anbieter be­trach­tet werden. Das heißt natürlich nicht, dass Si­cher­heits­vor­fäl­le aus­ge­schlos­sen sind; gleich­wohl können sich Kundinnen und Kunden aber auf den Schutz gegen sowie auf den pro­fes­sio­nel­len Umgang mit der­ar­ti­gen Vorfällen verlassen.

Welche Kriterien genau erfüllt werden, hängt vom in­di­vi­du­el­len Dienst­leis­ter ab, da im Kri­te­ri­en­ka­ta­log zwischen Basis- und Zu­satz­kri­te­ri­en un­ter­schie­den wird: Ba­sis­kri­te­ri­en müssen für eine Zer­ti­fi­zie­rung erfüllt sein. Zu­satz­kri­te­ri­en hingegen können optional erfüllt werden, um ein noch höheres Schutz­ni­veau zu erreichen.

Andere Si­cher­heits­zer­ti­fi­zie­run­gen

Das C5-Testat ist nicht die einzige Zer­ti­fi­zie­rung, die für Cloud-Provider relevant sein kann. Die Kriterien aus dem C5-Katalog werden aus ver­schie­de­nen na­tio­na­len und in­ter­na­tio­na­len Standards ab­ge­lei­tet, die auch einzeln be­trach­tet von Relevanz sind:

  • ISO/IEC 27001-Zer­ti­fi­zie­rung: An­for­de­run­gen für die Ein­füh­rung, Umsetzung, Über­wa­chung und Ver­bes­se­rung eines do­ku­men­tier­ten In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems
  • BSI IT-Grund­schutz­kom­pen­di­um: Best Practices zur Im­ple­men­tie­rung von Si­cher­heits­maß­nah­men
  • ISO/IEC 27002-Norm: Hinweise zur Im­ple­men­tie­rung von Si­cher­heits­me­cha­nis­men in In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­men sowie zu Aspekten der In­for­ma­ti­ons­si­cher­heit

Von be­son­de­rer Bedeutung für IT-Dienst­leis­ter wie Cloud-Provider ist der ISO-27001-Standard: Er ist we­sent­lich breiter gefasst als der C5-Kri­te­ri­en­ka­ta­log und deckt nicht nur Cloud-Dienste, sondern ver­schie­de­ne Aspekte des In­for­ma­ti­ons­si­cher­heits­ma­nage­ments ab. Auf diese Weise schafft er einen all­ge­mei­ne­ren Rahmen für In­for­ma­ti­ons­si­cher­heit. Auch wenn die Hand­lungs­emp­feh­lun­gen der ISO/IEC 27002-Norm nicht ver­bind­lich sind, bieten sie eine pra­xis­na­he Ori­en­tie­rungs­hil­fe für die Umsetzung der An­for­de­run­gen, die sich aus ISO/IEC 27001 ergeben.

Hinweis

Sie legen Wert auf einen besonders sicheren Cloud-Provider? IONOS hat als Vorreiter bei der Cloud-Si­cher­heit bereits 2023 das C5-Zer­ti­fi­kat erhalten und ist zudem ISO-27001-zer­ti­fi­ziert!

Zum Hauptmenü