Cloud-Sicherheit: Update des BSI C5-Katalogs mit neuen Sicherheitskriterien.
Was bringen die Neuerungen zu Produktsicherheit und Umgang mit Ermittlungsanfragen staatlicher Stellen für unsere Kunden?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2016 den Cloud Computing Compliance Criteria Catalogue (C5) veröffentlicht, um Cloud-Providern die Möglichkeit zu bieten die Sicherheit ihrer Cloud-Umgebung in einem höheren Detailgrad und mit speziell für die Cloud entwickelten Prüfkriterien nachzuweisen. Diese Kriterien gehen über die allgemeinen Standards zur Informationssicherheit, wie z. B. dem ISO/IEC 27001 deutlich hinaus. Inzwischen ist der C5 ein national und international anerkannter Standard, der gerade für deutsche und europäischen Kunden der drei großen Public-Cloud-Provider eine bessere Bewertungsgrundlage bietet, wenn sich Compliance- und Datenschutzfragestellungen vor oder beim Einsatz ergeben.
Amazon Web Services, Microsoft Azure und auch die Google Cloud sind alle nach der alten C5:2016 Version vom BSI zertifiziert. Es ist sehr wahrscheinlich, dass diese drei ebenso eine Re-Zertifizierung nach dem Update des Kataloges anstreben werden.
Was bringt der neue C5:2020 aber nun unseren Kunden, die einen Public-Cloud-Provider nutzen oder den Einsatz planen?
Bereitstellen aktueller Informationen zur sicheren Konfiguration und über bekannte Schwachstellen des Cloud-Dienstes für Cloud-Kunden, geeigneter Mechanismen zur Fehlerbehandlung und Protokollierung sowie zur Authentisierung und Autorisierung von Benutzern der Cloud-Kunden.
Gewährleisten eines angemessenen Umgangs mit Ermittlungsanfragen staatlicher Stellen hinsichtlich juristischer Überprüfung, Information der Cloud-Kunden und Begrenzung des Zugriffs auf oder der Offenlegung von Daten.
Der neue C5:2020 fördert die Debatte über die Offenlegung von Cloud-Daten und versachlicht diese gleichzeitig. Das ist gut und dringend nötig!
