Cloud Security C5

Sicherheit in den Wolken

Immer mehr Dienste werden angeboten und genutzt, die unmittelbar Geschäftsprozesse unterstützen und über das Internet bezogen werden. Software as a Service (SaaS), Infrastructure as a Service (IaaS), Platform … das alles wird in sehr unterschiedlichen Varianten aus der Cloud bezogen.

„Cloud“, weil es etwas undurchsichtig ist, ein Angebot aus den Wolken, und ständig neue Formen hervorbringt.

Die Verbindung zum Cyberspace wird dadurch intensiver und Cyber Security oder Cloud Security dehnt das Feld der Informationssicherheit auf die Kontakte und Datenströme in diesen outer Cyberspace aus.

Die größte Herausforderung

Zu erkennen, ob ein Cloud Service Provider (CSP) die eigenen Anforderungen an Sicherheit erfüllt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu den Cloud Computing Compliance Controls Catalogue entwickelt, kurz „C5“ genannt. Dienstanbieter können sich die Erfüllung der Anforderungen aus diesem Maßnahmen- und Prüfkatalog bestätigen lassen. Kunden können dieses Testat vom CSP verlangen.

Zwei Merkmale unterscheiden ein Testat nach dem C5-Katalog von einem Zertifikat nach ISO/IEC 27001:

  1. Für die Nutzung von Cloud-Diensten sind die Kontrollen des Auftraggebers von besonderer Bedeutung und gehen über den ISMS-Standard hinaus.
  2. Das Testat nach C5 muss detailliert nachweisen, welche Maßnahmen bzw. Anforderungen erfüllt sind.

Wozu dient der C5-Katalog

Als Nutzer eines Cloud-Dienstes sind ebenfalls einige Anforderungen zu erfüllen, insbesondere in der Providersteuerung und im Leistungsübergang. Der C5-Katalog erleichtert die Erweiterung des ISMS und damit die Aufrechterhaltung des Sicherheitsniveaus bei der Nutzung von Cloud Services.