Der Kriterienkatalog C5 im Überblick

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein Kriterienkatalog, der speziell für die Sicherheitsanforderungen von Cloud-Computing-Diensten entwickelt wurde. Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) konzipierte Leitfaden dient als Rahmenwerk für die Bewertung und Prüfung der Sicherheitsmaßnahmen von Cloud-Anbietern.

Was ist der Kriterienkatalog C5?

Beim C5-Katalog handelt es sich um einen vom Bundesamt für Sicherheit in der Informationstechnik im Jahre 2016 herausgegeben Kriterienkatalog. Er spezifiziert Mindestanforderungen für sicheres Cloud-Computing und fasst vor diesem Hintergrund Anforderungen zusammen, die Cloud-Dienstleister erfüllen müssen, um als vertrauenswürdige Partner für die Speicherung und Verarbeitung sensibler Daten zu gelten.

Mittlerweile umfasst der Kriterienkatalog 17 Themengebiete und deckt über 120 Kriterien ab. Die aktuelle Version des Kataloges wurde 2020 veröffentlicht und beschreibt Anforderungen beispielsweise in folgenden Bereichen:

• Organisation der Informationssicherheit
• Sicherheitsrichtlinien sowie Arbeitsanweisungen
• Physische Sicherheit
• Regelbetrieb
• Identitäts- und Berechtigungsmanagement
• Kryptografie und Schlüsselmanagement
• Kommunikationssicherheit
• Umgang mit Sicherheitsvorfällen

Für wen ist sind die C5 Compliance Criteria relevant?

Die im Katalog beschriebenen Kriterien richten sich vor allem an Organisationen und Unternehmen, die Cloud-Dienste bereitstellen. Insbesondere für deutsche Cloud-Dienstleister und Cloud-Storage-Provider, die sensible Daten verwalten oder speichern, ist der C5-Katalog von großer Bedeutung. Durch seine einheitlichen Standards bietet er ein Rahmenwerk, an dem sich Provider orientieren können, um eine sichere Verwahrung von personenbezogenen Daten zu gewährleisten und Sicherheitsrisiken zu minimieren.

Doch nicht nur Provider, sondern auch Kundinnen und Kunden von Cloud-Dienstleistungen können den Kriterienkatalog nutzen, um sich einen Überblick über die wichtigsten Aspekte der Informationssicherheit im Bereich des Cloud-Computings zu verschaffen und eine informierte Entscheidung darüber zu treffen, wo sie ihre personenbezogenen Daten speichern und hinterlegen möchten.

Wodurch zeichnen sich C5-zertfizierte Anbieter aus?

Im Allgemeinen zeichnen sich Anbieter, die das C5-Testat erlangen, dadurch aus, dass sie die strengen Sicherheitsstandards erfüllen, die im Kriterienkatalog des BSI festgelegt sind. Da der Kriterienkatalog sämtliche Bereiche der Informationssicherheit abdeckt, können C5-zertifizierte Cloud-Provider im Allgemeinen als sichere Anbieter betrachtet werden. Das heißt natürlich nicht, dass Sicherheitsvorfälle ausgeschlossen sind; gleichwohl können sich Kundinnen und Kunden aber auf den Schutz gegen sowie auf professionellen Umgang mit derartigen Vorfällen verlassen.

Welche Kriterien genau erfüllt werden, hängt vom individuellen Dienstleister ab, da im Kriterienkatalog zwischen Basis- und Zusatzkriterien unterschieden wird: Basiskriterien müssen für eine Zertifizierung erfüllt sein. Zusatzkriterien hingegen können optional erfüllt werden, um ein noch höheres Schutzniveau zu erreichen.

Andere Sicherheitszertifizierungen

Das C5-Testat ist nicht die einzige Zertifizierung, die für Cloud-Provider relevant sein kann. Die Kriterien aus dem C5-Katalog werden aus verschiedenen nationalen und internationalen Standards abgeleitet, die auch einzeln betrachtet von Relevanz sind:

• ISO/IEC 27001-Zertifizierung: Anforderungen für die Einführung, Umsetzung, Überwachung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems
• BSI IT-Grundschutzkompendium: Best Practices zur Implementierung von Sicherheitsmaßnahmen
• ISO/IEC 27002-Zertifizierung: Hinweise zur Implementierung von Sicherheitsmechanismen in Informationssicherheitsmanagementsystemen sowie zu Aspekten der Informationssicherheit.

Von besonderer Bedeutung für IT-Dienstleister wie Cloud-Provider ist der ISO-27001-Standard: Er ist wesentlich breiter gefasst als der C5-Kriterienkatalog und deckt nicht nur Cloud-Dienste, sondern verschiedene Aspekte des Informationssicherheitsmanagements ab. Auf diese Weise schafft er einen allgemeineren Rahmen für Informationssicherheit.