C5-Cloud-Compliance des BSI Wenn das BSI fünfmal klingelt

Ein Gastbeitrag von Branimir Brodnik*

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Kriterienkatalog „C5“ definiert, was einen sicheren Cloud Service ausmacht. Jetzt gibt es auch Systeme, die die C5 Compliance strukturiert prüfen und gewährleisten.

Anbieter zum Thema

Ein Register wie „Cloud Gate“ soll für den revisionssicheren Betrieb sowie für Transparenz diverser Use-Cases sorgen und so das Onboarding von Cloud-Diensten einfacher gestalten.
Ein Register wie „Cloud Gate“ soll für den revisionssicheren Betrieb sowie für Transparenz diverser Use-Cases sorgen und so das Onboarding von Cloud-Diensten einfacher gestalten.
(Bild: gemeinfrei: Kanenori / Pixabay )

Informationssicherheit und Cloud Services: ein potenzielles Minenfeld? Viele Unternehmen, insbesondere auch in sicherheitskritischen und regulierten Branchen, brauchen Gewissheit, bevor sie sich auf ein konkretes Cloud-Angebot verlassen. Um hier eine Leitlinie und Konsens zu schaffen, hat das BSI schon 2016 den Kriterienkatalog C5 veröffentlicht, der heute in einer weitgehend überarbeiteten Version von 2020 vorliegt.

Er spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Dieser Katalog setzt sich am Markt zunehmend durch – sowohl auf der Anbieterseite als Qualitätsmerkmal als auch als Auswahlkriterium für Anwenderunternehmen:

C5 definiert nämlich Anforderungen für beide Seiten, also Anbieter und Anwender. Genauso wichtig aber, speziell für regulierte Branchen: C5 bildet die Grundlage, um ein kundeneigenes Risiko-Management durchführen zu können.

Die Verpflichtung

Tatsächlich sind zum Beispiel Banken und Versicherungen verpflichtet, für jeden Anwendungsfall umfangreiche Risiko-Analysen bezüglich Informationssicherheit, Datenschutz und Compliance vorzunehmen. Das ist zeitraubend und teuer und einer der wesentlichen Hinderungsgründe beim Einsatz von Cloud-Diensten.

Gleichzeitig ist das schnelle „Onboarding“ von Cloud-Diensten aber eines der zentralen Argumente für den Weg in die Cloud. Der Weg aus diesem Dilemma liegt – überraschenderweise – in der Cloud: In einem zentralen Cloud-Use-Case-Register, das eine einheitliche Erfassung und Bewertung sämtlicher neuer Cloud Use Cases (Anwendungsfälle, Lösungen, Dienste).

Ein solches Tool, wie es zum Beispiel unter der Bezeichnung „Cloud Gate“ angeboten wird, unterstützt die Durchführung (regulatorisch) erforderlicher Risiko-Analysen mit digitalen Checklisten, die als Vorlagen inklusive Antwortoptionen bereits hinterlegt sind und die von allen Entscheidern parallel bearbeitet werden können. Es strukturiert zudem die Freigabe-Workflows, stellt volle Transparenz beim Fortschritt von Prüfung und Freigabe dar und gewährleistet durch kontinuierliche Protokollierung der einzelnen Prüf- und Freigabeaktivitäten Revisionssicherheit.

Ziel: Möglichst große Transparenz

Fehlende Transparenz ist bisher der größte Bremsklotz bei Anwendung der C5-Kriterien im Rahmen von Cloud-Einführungen – und gleichzeitig selbst ein Risiko. Zu leicht ist es, die Übersicht über alle Cloud-Anwendungen und ihren Status zu verlieren oder zu groß der Aufwand, diesen Überblick zu behalten, insbesondere wenn Fachabteilungen eigene Cloud-Projekte ohne den Weg über die IT anstoßen. Die Steuerung über eine zentrale, herstellerunabhängige Plattform stellt diese Übersicht her und beschleunigt allein schon dadurch das Onboarding die Nutzung neuer Cloud-Dienste erheblich.

Aber auch nach der Einführung ist ein Register wie Cloud Gate für den revisionssicheren Betrieb und zum Beispiel das Risiko-Reporting eine wertvolle Entlastung. Denn Risiko-Analysen und Reportings werden Workflow-basiert unterstützt, bekannte Risiken werden dokumentiert und können aktiv kontrolliert und minimiert werden.

Hier lauert eine Lücke, die oft übersehen wird und deren Beseitigung dem Ressourcenmangel zum Opfer fällt: Wenn Risiken identifiziert werden, muss die Umsetzung von Mitigationsmaßnahmen lückenlos begleitet und durch Erinnerungsfunktionen in der Wahrnehmung gehalten werden.

Wichtig für Provider und Kunden

Es gibt also gute Gründe für Anwender, die Einhaltung von Standards aus dem C5-Katalog ernst zu nehmen und mithilfe eines geeigneten Tools strukturiert zu steuern. Erheblich erleichtert wird das, wenn sich bereits Provider an diesen Kriterien orientieren. Deshalb ist C5-Compliance auf Anbieterseite ein überzeugendes Verkaufsargument. Doch auch Provider tun ebenfalls gut daran, ihre Konformität Tool-gestützt sicherzustellen und nachzuhalten.

Tatsächlich hat sich schon eine ganze Reihe globaler und regionaler Anbieter wie die Deutsche Telekom ihre C5-Compliance bescheinigen lassen. Die Inhalte und Ergebnisse solcher Testate werden in Kürze für Cloud-Gate-Kunden zugeordnet zu den einzelnen C5-Kriterien über das Werkzeug abrufbar sein. Das erleichtert Kunden dann insbesondere die Bewertung der eigenen C5-Kritierien im Zusammenhang mit einem dedizierten Cloud-Dienst.

Gerade für Banken und Versicherungen sind solche Anforderungen aus der Regulatorik bekannt. Ein Register lässt sich deshalb nicht nur für einen Prüfkatalog wie C5 einsetzen. Auch Prüflisten nach EIOPA, VAIT, KWG, BAIT und MaRisk sind verfügbar, um nur einige Beispiele zu nennen.

Branimir Brodnik: „Cloud Gate“ ist ein zentrales Cloud-Use-Case-Register, das dazu geeignet ist, Anwendungsfälle einheitlich zu erfassen und zu bewerten.
Branimir Brodnik: „Cloud Gate“ ist ein zentrales Cloud-Use-Case-Register, das dazu geeignet ist, Anwendungsfälle einheitlich zu erfassen und zu bewerten.
(Bild: Microfin)

Ihnen allen gemeinsam ist: Cloud-Services sollen weder Treibsand noch Minenfeld sein, also keine unkontrollierbaren Risiken produzieren, auch wenn diese sich über die Zeit verändern. Gleichzeitig muss die Risikosteuerung durch Automatisierung so effizient sein, dass sie nicht den Tempovorteil der Cloud untergräbt. Ein digitales „Zentrales Cloud Register“ erleichtert diesen Spagat erheblich.

* Branimir Brodnik arbeitet bei der Microfin Unternehmensberatung.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48044852)