BSI C5 – Der Anforderungskatalog des BSI für mehr Transparenz in der Cloud

Beim Einsatz von Cloud-Diensten kommt es auch auf die Compliance an. Für Nutzer ist es jedoch oftmals eine Herausforderung, enstprechende Bestätigungen einzuschätzen. Anbieter hingegen sind gefordert, die für ihre Kunden relevanten Anforderungen zu identifizieren sowie entsprechende Bestätigungen einzuholen. Daher hat PwC im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) den Anforderungskatalog Cloud Computing (C5) entwickelt.

Cloud Computing ist ein fester Bestandteil moderner IT-Infrastrukturen

Unterschiedlichkeit der Prüfschemen

Cloud Computing ist fester Bestandteil moderner IT-Infrastrukturen. So unterschiedlich das Angebot an Cloud-Diensten heute jedoch ist, so vielfältig sind auch die entsprechenden Zertifizierungen und Gütesiegel, über die Cloud-Anbieter verfügen. Das liegt zum einen daran, dass diese das Thema Informationssicherheit aus verschiedenen Blickwinkeln betrachten und folglich unterschiedliche Schwerpunkte haben. Zum anderen sind Cloud-spezifische Prüfschemen – anders als solche, die auf konventionelle IT ausgerichtet sind – trotz des offensichtlichen Bedarfes, noch immer weit weniger etabliert.

Herausforderung mehrfacher Audits

Das macht es nicht nur für Nutzer zu einer Herausforderung, den Überblick zu behalten. Auch für Anbieter ist es oft schwierig, die für ihre Kunden relevanten Anforderungen zu verstehen und die entsprechend erforderlichen Compliance-Bestätigungen zu identifizieren. Zudem müssen diese simultan aufrechterhalten und dementsprechend regelmäßig aktualisiert werden. Dies führt oft dazu, dass wichtige Themenbereiche in verschiedenen Audits unnötigerweise mehrfach geprüft werden, da Prüfschemen inhaltliche Überschneidungen aufweisen.

BSI hat die Situation erkannt und PwC beauftragt

Das BSI als nationale Cyber-Sicherheitsbehörde kennt diese Situation bereits seit längerer Zeit. Für Cloud-nutzende Behörden und Unternehmen wollte das BSI daher ein Mindestniveau für Informationssicherheit definieren, das sich Cloud-Anbieter von einem unabhängigen Dritten bestätigen lassen können. Daher hat das BSI im Jahr 2015 PwC damit beauftragt, einen Cloud-spezifischen Anforderungskatalog zu entwickeln. Dieser sollte die zu Recht anspruchsvollen Erwartungen der Cloud-Nutzer sowie des BSI hinsichtlich Informationssicherheit und Transparenz widerspiegeln, während er für die Cloud-Anbieter mit angemessenem Aufwand umsetzbar ist.

Wichtig war dem BSI, dass kein neues Prüfschema entsteht – vielmehr sollten nur dort, wo unbedingt erforderlich, vorhandene Anforderungen konkretisiert oder eigene Anforderungen ergänzt werden. Der BSI C5 berücksichtigt dabei die Belange von Nutzern sowie Anbietern und bringt deren bestehenden, informellen Konsens bezüglich Informationssicherheit in der Cloud auf den Punkt, um so langfristig die Transparenz und Klarheit zu verbessern.

„Sowohl bei Anbietern als auch bei Nutzern sehen wir ein sehr ähnliches Verständnis dessen, was Informationssicherheit in der Cloud ausmacht. Der BSI C5 bildet genau diese Schnittmenge ab und ermöglicht es Cloud-Anbietern, ihren Kunden die erforderliche Transparenz zu demonstrieren.“

Markus Vehlow,PwC-Partner und verantwortlich für Cloud Computing

Designprinzipien des BSI C5

Der BSI C5 basiert auf etablierten Prüfschemen, Richtlinien und Best Practices. Dies ist vor allem für Cloud-Anbieter vorteilhaft, die sich bereits nach einem oder mehreren dieser Prüfschemen prüfen lassen oder dies planen. Sie können Audits zusammenfassen und den erforderlichen Gesamtaufwand reduzieren. Zudem zeichnet den BSI C5 aus, dass die entsprechende Prüfung durch Wirtschaftsprüfer durchgeführt wird. Daher gelten für eine BSI C5-Prüfung die gleichen hohen Anforderungen wie für eine Jahresabschlussprüfung, sodass Prüfaussagen, die im BSI C5 getroffen werden, in höchstem Maß verlässlich sind.

Anerkannte Standards als Basis

Bei der Entwicklung des BSI C5 haben das BSI und PwC, wann immer möglich, auf Anforderungen aus existierenden Katalogen und Best Practices zurückgegriffen. Dies ermöglicht es Cloud-Anbietern, mehrere Compliance-Audits zusammenzufassen und den erforderlichen Gesamtaufwand reduzieren: Beispielsweise lassen sich Audits nach SOC 2 und BSI C5 so planen, dass Prüfungsergebnisse für beide Prüfschemen verwendet werden können.

Der BSI C5 basiert im Wesentlichen auf den folgenden Prüfschemen, Richtlinien und Best Practices:

AICPA Trust Services Principles Criteria 2014 (SOC 2)
ANSSI Référentiel Secure Cloud v2.0
ISO/IEC 27001:2013
CSA - Cloud Controls Matrix 3.01 (CSA CCM)
IDW ERS FAIT 5
BSI IT-Grundschutz 14. EL 2014
BSI SaaS Sicherheitsprofile 2014

Weitere Transparenz stellt der BSI C5 mit den Umfeldparametern her. Diese gibt es in dieser Form nur im BSI C5 und sie erfordern, dass ein entsprechender Prüfbericht – neben einer umfassenden Systembeschreibung – weitere Informationen zu unter anderem folgenden Aspekten enthält:

Angabe zu Gerichtsbarkeit und Ort der Datenspeicherung und -verarbeitung
Offenbarungspflichten gegenüber und Ermittlungsbefugnisse von Ermittlungsbehörden
die für den Cloud-Dienst bereits erteilten Zertifikate und Testate

Diese Transparenz hilft dem Cloud-Nutzer, zu entscheiden, ob seine Anforderungen hinsichtlich dieser Aspekte durch den Cloud-Anbieter erfüllt werden.

BSI C5-Anforderungsbereiche

Der BSI C5 gliedert sich in 17 Anforderungsbereiche, die insgesamt 114 Basis-Anforderungen enthalten. Zusätzlich sind zu 52 der Basis-Anforderungen optionale Anforderungen definiert, die ein höherwertiges Sicherheitsniveau definieren. Cloud-Anbieter sind gefordert, diese Anforderungen durch angemessene technische und organisatorische Maßnahmen, sogenannte Kontrollen, abzudecken. Prüfungen nach BSI C5 richten sich daher primär auf das eingerichtete Kontrollsystem sowie die entsprechenden Prozesse.

BSI C5-Anforderungsbereiche

Organisation der Informationssicherheit
Sicherheitsrichtlinien und Arbeitsanweisungen
Anforderungen an das Personal
Asset Management
Physische Sicherheit
Maßnahmen für den Regelbetrieb
Identitäts- und Berechtigungsmanagement
Kryptographie und Schlüsselmanagement
Kommunikationssicherheit

Portabilität und Interoperabilität
Beschaffung, Entwicklung und Änderung von Informationssystemen
Steuerung und Überwachung von Dienstleistern und Lieferanten
Security Incident Management
Sicherstellung des Geschäftsbetriebes und Notfallmanagement
Sicherheitsprüfung und -nachweis
Compliance und Datenschutz
Mobile Device Management

Grundsätzlicher Ablauf einer Prüfung nach BSI C5

Unsere Expertise

Wir haben umfangreiche Erfahrung mit Compliance-Prüfungen im Cloud-Umfeld und haben uns auf Prüfungen nach BSI C5 sowie SOC 1 und SOC 2 spezialisiert. Entsprechende Projekte führen wir sowohl für große, international aufgestellte als auch kleinere und mittelgroße Cloud-Anbieter durch. Während bei größeren Providern meist die mehrdimensional integrierten Compliance-Programme im Vordergrund stehen, unterstützen wir kleinere und mittelgroße Anbieter dabei, den Reifegrad (Readiness) ihres Kontrollsystems beispielsweise hinsichtlich BSI C5 zu bestimmen und das entsprechende Prüfungsprojekt aufzusetzen.

1. Globale Projekte für Compliance-Programme großer Cloud- Anbieter

Insbesondere bei umfangreichen Compliance-Programmen legen wir größten Wert darauf, die Kontrollsysteme tiefgehend zu analysieren, um alle relevanten Zusammenhänge zu verstehen. Das ermöglicht uns beispielsweise, Überlagerungen zwischen Control Sets einzelner Cloud-Lösungen transparent zu machen und diese effizienzsteigernd in unsere Prüfprojekte einzubeziehen. Dies ist insbesondere vorteilhaft, wenn wir Synergien realisieren können, die sich aus dem Kombinieren der jeweils lokal durchgeführten Prüfungen für unterschiedliche Prüfschemen, beispielsweise BSI C5 und SOC 2, ergeben.

In internationalen Projekten arbeiten wir eng mit unseren Kolleginnen und Kollegen aus anderen PwC Netzwerkfirmen zusammen. Dies ist insbesondere vorteilhaft, wenn wir Synergien realisieren können, die sich aus dem Kombinieren der jeweils lokal durchgeführten Prüfungen für unterschiedliche Prüfschemen, beispielsweise BSI C5 und SOC 2, ergeben. So können wir global aufgesetzte Prüfungsprojekte effizient realisieren und liefern diese mit festen Ansprechpartnern bei PwC Deutschland aus einer Hand.

2. Maßgeschneiderte Lösungen für kleinere und mittelgroße Cloud-Anbieter

Kleinere und mittelgroße Cloud-Anbieter unterstützen wir dabei, Kontrollsysteme und Compliance-Programme aufzubauen oder zu erweitern. Dazu gehört für uns etwa, dass wir beim Auswählen desjenigen Prüfschemas beraten, das die Anforderungen der Kunden des Cloud-Anbieters abdeckt.

Den maßgeschneiderten Prüfungsprojekten stellen wir meist ein kleines, wenige Tage umfassendes Vorprojekt (Quick Check) voran. In diesem sehen unsere Kunden, wie wir das entsprechende Prüfschema anwenden und lernen unser Projektvorgehen sowie die Prüfmethodik kennen. Zudem können wir, basierend auf den Ergebnissen des Quick Checks, gezielt Handlungsempfehlungen aussprechen und unser Angebot für das Prüfungsprojekt optimal auf die individuell vorliegenden Rahmenbedingungen abstimmen.

Beispiel Vorprojekt: BSI C5 Readiness Check

Wir analysieren für Sie, inwiefern die bereits implementierten Kontrollen die Anforderungen des BSI C5 abdecken. Ausgehend von den BSI C5 Anforderungen ordnen wir diesen die geeigneten Kontrollen zu und ermitteln, inwieweit diese die Anforderungen abdecken. Dabei machen wir für jede Anforderung transparent, welche Anforderungsaspekte ggf. noch abzudecken sind, bevor eine Prüfung angestrebt werden sollte.

Vorteile für Anbieter und Nutzer

Weitere Top-Themen zu Cloud Computing

Die fünf wichtigsten Cloud-Security-Aspekte

Mit der kontinuierlich steigenden Nutzeranzahl von Cloud erhöhen sich auch die Gefahren und die Risiken in der Cloud Anwendung.

Projekt „AUDITOR“ entwickelt europaweite Zertifizierung von Cloud-Diensten

PwC ist Teil eines interdisziplinären Teams, das eine Datenschutzzertifizierung von Cloud-Diensten auf Basis der neuen DSGVO erarbeitet.

Sie haben Fragen?

Kontaktieren Sie unseren Experten

Kontakt aufnehmen

BSI C5 – Anforderungskatalog des BSI für mehr Transparenz in der Cloud