BSI C5 – Anforderungskatalog des BSI für mehr Transparenz in der Cloud
PwC hat den Anforderungskatalog Cloud Computing im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelt.

Mit der kontinuierlich steigenden Nutzeranzahl von Cloud erhöhen sich auch die Gefahren und die Risiken in der Cloud Anwendung.
Cloud Services bestehen aus zahlreichen Systemkomponenten. Diese müssen perfekt aufeinander abgestimmt sein, um den Nutzern die versprochenen Funktionen zu bieten.
Dabei stehen Cloud-Anbieter vor der großen Herausforderung, ihren Kunden einen hohen technischen Entwicklungsstand und einfache Bedienbarkeit zu bieten, während sie ein hohes Niveau an Informationssicherheit gewährleisten.
Hier sind jedoch auch die Cloud-Nutzer gefordert, da es oft in ihrer Verantwortung liegt, die Cloud Services in ihre existierende IT-Landschaft technisch zu integrieren, Zugriffsrechte zu vergeben und zu entziehen oder regelmäßig Backups anzufertigen.
Technologien entwickeln sich rasch weiter und bieten viele Vorteile, sind aber auch mit Risiken behaftet. Diese liegen in den verwendeten Systemkomponenten selbst, entstehen jedoch auch durch deren Zusammenspiel. Hier kommen verschiedene Faktoren zum Tragen – beispielsweise fehlerhafte Konfiguration, Programmier-Schwachstellen, Cyber-Attacken oder technisch bedingte Betriebsausfälle. Experten sehen die Cloud Security daher als ein zunehmend wichtiges Handlungsfeld im Cloud Computing – insbesondere vor dem Hintergrund zunehmender Nutzung von Cloud Services in wertschöpfenden Geschäftsprozessen.
Ein hohes Cloud-Security-Niveau basiert auf dem optimalen Zusammenwirken von Verhaltensregeln, Prozessen und technischen Vorgaben. Diese müssen jedoch nicht nur technische Sicherheitsaspekte berücksichtigen, sondern auch sicherstellen, dass gesetzliche und branchenspezifische, regulatorische Vorschriften umgesetzt werden. Daher stellt nur das optimale Zusammenwirken aller an der Cloud Security beteiligten Systemkomponenten sicher, dass der Cloud Service das den Cloud-Kunden zugesagte Sicherheitsniveau erreicht.
„Cloud-Anbieter sind gefordert, ein hohes Niveau an Cloud Security zu gewährleisten. Aus diesem Grund müssen sie dem Konzipieren entsprechender Cloud-Security-Maßnahmen besondere Aufmerksamkeit widmen.“
PwC hat den Anforderungskatalog Cloud Computing im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelt.
PwC ist Teil eines interdisziplinären Teams, das eine Datenschutzzertifizierung von Cloud-Diensten auf Basis der neuen DSGVO erarbeitet.
Aleksei Resetko
CISA, CISSP, Partner Cyber Security & Privacy, PwC Germany
Tel.: +49 1511 1653831