SECURITY21. Januar 2020

Cloud: BSI stellt aktualisierten C5-Katalog vor

Seit seiner Veröffentlichung 2016 hat sich der Cloud Computing Compliance Criteria Catalogue (C5) des BSI als Standard der Cloud-Sicherheit etabliert. Auch die BaFin greift darauf zurück. Da Techniken schnellen Innovationen unterworfen sind, hat das BSI den C5 nun einer umfassenden Revision unterzogen. Der überarbeitete und aktualisierte C5 wurde heute im Rahmen einer Veranstaltung in Frankfurt am Main vorgestellt.

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI)
BSI

Mit dem C5-Kriterienkatalog gestalten wir erfolgreich die Informationssicherheit in einem wichtigen Bereich der Digitalisierung. Der C5 wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet. Diese Erfolgsgeschichte des C5 zeigt, dass Cyber-Sicherheit ‘Made in Germany’ weltweit ein integrierter Bestandteil innovativer digitaler Angebote sein kann, die uns allen mehr Komfort, Effizienz und Effektivität ermöglichen.”

Arne Schönbohm, BSI-Präsident

Die Änderungen im C5 Cloud-Katalog
Änderungen an der C5BSI
Die Aktualisierungen des C5-Kriterienkatalogs umfassen sowohl die formalen Regelungen als auch die Kriterien des C5, die an den aktuellen Stand der Technik angepasst wurden. Dabei sind die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern in die Revision eingeflossen. Der C5 enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet.

Die Regelungen des BSI sind insofern relevant, als das die BaFin diese gerne übernimmt oder sich für Regulierungen daran anlehnt.

Über den C5-Kriterienkatalog des BSI

Der “Cloud Computing Compliance Criteria Catalogue” (C5) richtet sich an professionelle Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.

Mehr Informationen stellt das BSI hier bereit. Den Änderungkatalog (als Excel-Sheet) erhalten Sie hier.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert