BSI-Anforderungskatalog C5 für Cloud-Anbieter

Alles geprüft

Barbara Lange

Wer Angebote aus der Cloud nutzt, will wissen, wie es um deren Sicherheit bestellt ist. Zertifikate können diese Information liefern. Nur gibt es mittlerweile so viele davon, dass der Überblick verloren geht. Mit C5 wagt das BSI einen neuen, umfassenden Vorstoß. Erste Anbieter haben sich prüfen lassen.

Unternehmen müssen abwägen, ob die Vorteile der Cloud den drohenden Kontrollverlust über die eigenen Daten aufwiegen. Einige Risiken sind schwer einzuschätzen: Wo steht das Rechenzentrum, wer hat Einblick, können Unbefugte Informationen verändern? Liegen die Daten im Klartext vor oder verschlüsselt? Verhindert das Verwenden von Cloud-Diensten die Compliance? Und sollte man den Angaben der Dienstleister überhaupt glauben?

All das weiß man nie so genau, es sei denn, der Anbieter präsentiert ein unabhängiges Zertifikat, das die Informationssicherheit belegen soll. Davon gibt es allerdings viele mit diversen inhaltlichen Schwerpunkten, ausgerichtet auf unterschiedliche Zielgruppen [1]. Wer diesen Dschungel lichten will, braucht umfassendes Wissen und Zeit.

Laut Cloud-Monitor 2017 sind unabhängige Zertifikate ein wichtiges Kriterium für die Auswahl eines Cloud-Providers (Abb. 1). *Quelle: Bitkom Research, KPMG*

Trotz aller Unsicherheiten wächst der Cloud-Einsatz hierzulande: Mittlerweile nutzen 65 Prozent der Unternehmen die Wolke. Gestiegen ist der Anteil sowohl bei der Public als auch bei der Private Cloud, allerdings gestaffelt nach Unternehmensgröße. Während die Hälfte der Firmen über 2000 Mitarbeiter Public-Cloud-Dienste nutzt, sind es bei den kleinen und mittleren nur 29 Prozent. Diese Angaben stammen aus dem diesjährigen Cloud-Monitor (siehe „Alle Links“ am Ende des Artikels), den Bitkom Research im Auftrag der KPMG erstellt hat. An der Liste der Anforderungen an Cloud-Anbieter lässt sich erkennen, wie wichtig unabhängige Zertifikate sind. Sie liegen mit einem Anteil von 64 Prozent auf Platz sechs, wie Abbildung 1 zeigt.

C5 will Klarheit schaffen

Dr. Patrick Grete, Verantwortlicher beim BSI für den C5-Anforderungskatalog (Abb. 2) *Quelle: BSI*

Mehr Transparenz in der Zertifikats-Landschaft soll der „Cloud Computing Compliance Controls Catalogue“ (C5) schaffen. Mit diesem Anforderungskatalog für Cloud-Dienste hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr einen neuen Vorstoß gewagt. C5 enthält 114 Anforderungen, die Anbieter erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste zu gewährleisten, so der Anspruch des BSI. Es gibt zwar viele Zertifikate, betont Patrick Grete vom BSI in einem Gespräch mit iX, aber ein so umfassender, allgemein anerkannter Anforderungskatalog sei neu.