Alibaba Cloud erhält C5-Testierung für seine Cloud-Dienste

10 Januar, 2018

PwC hat die Cloud-Dienste von Alibaba Cloud nach dem Anforderungskatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) geprüft. Markus Vehlow, Partner bei PwC Deutschland und verantwortlich für Cloud Computing, überreichte Alibaba Cloud den C5-Prüfbericht am 13. Dezember 2017 in Hongkong. Alibaba Cloud ist der erste asiatische Cloud-Anbieter, der sich nach dem C5 hat prüfen lassen.

Alibaba Cloud, die Cloud Computing-Einheit der chinesischen Handelsplattform Alibaba, hat sieben seiner Cloud-Services von PwC nach dem Anforderungskatalog für Cloud Computing (C5) auditieren lassen. PwC hat den zugrundliegenden, Cloud-spezifischen Anforderungskatalog im Jahr 2015 im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelt. Der C5 hat sich in der Privatwirtschaft als de-facto Standard für Cloud-Attestierungen etabliert - national und international. Alibaba Cloud ist der erste asiatische Cloud-Anbieter, der eine Testierung nach C5 erhält.

Alibaba Cloud Team

Vlnr: Immo Regener (PwC Deutschland, Projektleiter C5), Chun Yin Cheung (PwC China, Partner, Engagement Partner SOC Audit), Jim Woods (PwC Hongkong, Partner, Global Leader Risk Assurance), Markus Vehlow (PwC Deutschland, Engagement Partner C5), Arne Schönbohm (BSI, BSI-Präsident), Ye Ming Wang (Alibaba Cloud International, General Manager), Larry Liu (Alibaba Cloud International, Head of Compliance), William Lam (PwC China, Global Relationship Partner für Alibaba Cloud)

„Informationssicherheit ist ein wesentlicher Erfolgsfaktor der Digitalisierung. Für Unternehmen, die im Zuge der Digitalisierung ihre Daten und Geschäftsprozesse in eine Cloud auslagern wollen, hat sich der IT-Sicherheitsstandard C5 des BSI als wertvolle Entscheidungshilfe am Markt etabliert.“

Arne Schönbohm, BSI-Präsident

Welchen Mehrwert bringt die C5-Testierung für Alibaba Cloud?

  • Der C5 ist ein Cloud-spezifischer Anforderungskatalog. 
  • Er fasst die Anforderungen zusammen, die Cloud-Anbieter erfüllen müssen, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste zu gewährleisten.
  • Der Katalog ist in 17 thematische Bereiche aufgeteilt, bspw. Organisation der Informationssicherheit, Identitäts- und Berechtigungsmanagement oder Physische Sicherheit. 
  • Ein Novum im Vergleich zu anderen Sicherheitsstandards sind die sogenannten Umfeldparameter.
  • Sie erfordern unter anderem, dass der Prüfbericht Informationen über die Art des Dienstes und die Datenlokation, den Gerichtsstandort, vorhandene Zertifizierungen und Offenbarungspflichten gegenüber staatlichen Stellen sowie eine Systembeschreibung enthält. 
  • Der C5 stellt somit weitreichende Transparenz über die Informationssicherheit her.

Im Gespräch mit PwC-Partner Markus Vehlow

Sie haben den C5 im Auftrag des BSI entwickelt. Wie wichtig ist der C5 mittlerweile im Markt?

Markus Vehlow: Die weltweit führenden Cloud Service-Provider werden den C5 als etablierten Compliance-Nachweis einsetzen. Er wird zudem immer häufiger von Cloud-Anwendern in Ausschreibungen gefordert. Dass der C5 nun auch in China wahrgenommen wird sehe ich als klaren Beweis dafür und ich freue mich darüber, dass sich Alibaba Cloud als erster asiatischer Anbieter hat prüfen lassen.

Wieso hat sich Alibaba Cloud für eine Prüfung nach C5 entschieden?

Vehlow: Alibaba Cloud strebt ein hohes Maß an Informationssicherheit an. Das möchte das Unternehmen seinen Kunden in Europa und insbesondere in Deutschland mit einem anerkannten Prüfbericht belegen. Für eine Prüfung nach C5 spricht in erster Linie, dass dieser Katalog die hohen Anforderungen deutscher Behörden an die Informationssicherheit widerspiegelt. 

Was war der entscheidende Faktor, PwC mit der Prüfung zu beauftragen?

Vehlow: Alibaba Cloud vertraut bei diesem Projekt auf das Know-how und die Expertise von PwC, weil wir den C5 im Auftrag des BSI entwickelt haben. Wir verfügen über entsprechend tiefe Einblicke in die Materie. Außerdem arbeiten wir schon seit einiger Zeit mit Alibaba Cloud zusammen: Parallel zum C5-Audit, den ich mit meinem deutschen Auditoren-Team vor Ort im chinesischen Hangzhou durchgeführt habe, nahm PwC China SOC 1, 2 und 3-Prüfungen für Alibaba vor.

Welchen Mehrwert bringt das C5-Testat für Alibaba Cloud?

Vehlow: Für die europäischen Kunden von Alibaba Cloud hat der Bericht einer deutschen Prüfungsgesellschaft hohes Gewicht. Die C5-Testierung schafft für Alibaba Cloud deshalb eine wichtige Voraussetzung, um den deutschen und mitteleuropäischen Markt zu erschließen.

Contact us

Markus Vehlow

Partner, Risk Assurance Solutions, PwC Germany

Tel.: +49 69 9585-2293

Follow us