Matrix Technology AG
Finsurance Blog > Cloud: BSI veröffentlicht aktualisierte Ausgabe des C5 Katalogs

Cloud: BSI veröffentlicht aktualisierte Ausgabe des C5-Katalogs

Finsurance Redaktionsteam

Das Redaktionsteam der Finsurance IT-Services setzt sich aus Experten aller Hierarchieebenen, die sich tagtäglich mit den Herausforderungen der Finanz- und Versicherungsbranche auseinandersetzen, zusammen.

Alle Beiträge des Autors

Am 21.01.2020 präsentierte das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) eine aktualisierte Version des Cloud Computing Compliance Criteria Catalouge (C5). Im Rahmen einer Veranstaltung in Frankfurt wurde der aktualisierte und überarbeitete Katalog vorgestellt.

Die erste Version des C5 veröffentlichte das BSI 2016 als Leitfaden zur Bewertung der Sicherheit von Cloud-Anbietern. Initial wurde der Katalog unter anderem auf Basis diverser IT-Sicherheitsstandards, wie ISO/IEC 27001, erstellt. Der Kriterienkatalog hat sich in den vergangenen Jahren als Standarddokument für Cloud-Sicherheit etabliert. Auch die Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) orientiert sich an dem Kriterienkatalog bei der Erstellung und Überarbeitung von Richtlinien wie sie beispielsweise in den BAITs bzw. VAITS festgeschrieben sind. In die Revision des Katalogs wurden im Rahmen eines öffentlichen Community-Drafts im Jahr 2019 auch die Erfahrungen von Cloud-Anbietern, Prüfern sowie Cloud-Nutzern miteinbezogen.

Im Kern enthält der neue C5-Katalog folgende Neuerungen:

Neue Sicherheitskriterien-Bereiche

Im Rahmen der Revision wurden dem Katalog zwei neue Sicherheitsbereiche hinzugefügt. Der Bereich Produktsicherheit setzt die Sicherheit des Cloud-Dienstes selbst in den Mittelpunkt. So wird beispielsweise ein Leitfaden vom Cloud-Anbieter gefordert, der die sichere Konfiguration des Dienstes sicherstellt. Weiterhin wurden Kriterien an das Session-Management festgeschrieben. Die neu definierten Anforderungen wurden unter anderem aus dem EU Cybersecurity Act, welcher im Juni 2019 in Kraft trat, abgeleitet.

Zudem wurde der Bereich Umgang mit Ermittlungsverfahren staatlicher Stellen zur Sicherstellung einer angemessenen Bearbeitung von Ermittlungsanfragen in Hinsicht auf juristische Prüfungen hinzugefügt.

Anpassung von Sicherheitskriterien

Die in der Vorgängerversion des C5-Katalogs definierten Sicherheitskriterien wurden teils wesentlich überarbeitet. Ziel war es, sowohl die Qualität dieser zu erhöhen als auch Entwicklungen der vergangenen Jahre, wie zum Beispiel das Thema DevOps, zu integrieren. Zudem wurde jedes Sicherheitskriterium um Hinweise zur Prüfung im Rahmen von kontinuierlichen Auditierungen ergänzt.  Des Weiteren erfolgte die Definition von korrespondierenden Kriterien. Diese dienen dazu, dem Cloud-Kunden seine Rolle bei der sicheren Nutzung eines Cloud-Dienstes zu verdeutlichen.

Durchführung von direkten Prüfungen nun möglich

Bisher war im C5 Katalog festgeschrieben, dass Cloud-Anbieter vor einer Prüfung eine Systembeschreibung eigenständig erstellen und vorlegen müssen. Dieses Vorgehen wurde nun um die Möglichkeit einer direkten Prüfung ergänzt und soll insbesondere dann angewandt werden, wenn die Beschreibung des dienstleistungsbezogenen internen Kontrollsystems (kurz: IKS) noch nicht vollständig bzw. in einem nicht ausreichenden Detailgrad vorliegt.

Das BSI empfiehlt für alle Prüfungen, die am oder nach dem 15. Februar 2021 enden, die Anwendung der neuen Version. Dadurch soll sichergestellt werden, das aktuelle Entwicklungen hinreichend berücksichtigt werden.

Was bedeutet der aktualisierte C5-Katalog für regulierte Kunden? 

Auf den ersten Blick sticht dem Nutzer des neuen C5-Kriterienkataloges der um über 60 % gestiegene Umfang ins Auge. Das klingt nach deutlich mehr Arbeit bei der Umsetzung - und ist es letztlich auch. Wenn man es genau nimmt, ist dieser Mehraufwand allerdings überschaubar, da de facto nur zwei neue Handlungsstränge hinzugekommen sind. Die Bewertung der Sicherheit des Cloud-Dienstes ist ohne Frage eine notwendige Ergänzung und der Umgang mit Ermittlungsverfahren staatlicher Stellen transportiert und konkretisiert gesetzliche Anforderungen in den C5-Standards. Die Ergänzung der Anforderungen an die Kundenseite bei einer Cloud-Auslagerung war überfällig, gab es doch oft das Missverständnis, dass mit einem erfolgreichen C5-Audit auf Providerseite der Clouddienst von einem regulierten Kunden einfach genutzt werden könne, ohne die Readiness auf Kundenseite zu vervollständigen. Ein Trugschluss, denn C5-Readiness war schon immer auf beiden Seiten notwendig. Und auch die Konkretisierung der möglichen Kontrollen ist primär eine Hilfe für den Nutzer. Damit ist die neue Version des C5-Kataloges zwar umfangreicher, aber auch besser und konkreter in der Anwendung, was allen Unternehmen, die den Weg in die Cloud antreten, mehr Sicherheit auf diesem geben wird.

Zum aktualisierten C5-Katalog