24.10.2019 •

Sichere Clouds: Community Draft für neuen C5-Anforderungskatalog

PantherMedia / Kheng Ho Toh

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Anforderungskatalog Sicherheit für Cloud Computing (C5) grundlegend überarbeitet und stellt ihn als Community Draft zur Kommentierung ins Netz.

Dazu Arne Schönbohm, Präsident des BSI:

"Das Nutzen einer Cloud zum Speichern von Dokumenten und Dateien aber auch das Cloud Computing, um Effizienzvorteile bei der Software-Anwendung ausnutzen zu können, gehört in vielen Unternehmen zum digitalen Alltag. Dabei besteht immer ein Restrisiko, u.a. von Datendiebstahl oder dem Verlust der Kontrolle über seine Daten. Das BSI hat schon 2016 einen Sicherheitskatalog für diese Technologie erarbeitet – den C5. Seitdem haben sich die Anwendungsszenarien und -konzepte enorm weiterentwickelt. Um nun vom Schwarmwissen der IT-Sicherheitsgemeinschaft profitieren zu können, gibt das BSI den neuen C5 zur Kommentierung durch die Fachwelt frei. Dieser Austausch und die kritische Kommentierung werden diesen guten Entwurf weiter verbessern und machen unsere Empfehlungen und Produkte zu akzeptierten und wirkungsvollen Instrumenten. Europaweit setzt das BSI mit diesem neuen Anforderungskatalog Standards."

In den Community Draft des BSI werden folgende Punkte neu aufgenommen bzw. wurden überarbeitet:

  • Das BSI nimmt als erste Behörde EU-weit die neuen Bestimmungen des EU Cyber Security Act an die Produktsicherheit von Cyber-Produkten in den Prüfkatalog auf.
  • Cloud-Anbieter müssen nachvollziehbar darlegen, wie sie mit Beschlüssen staatlicher Stellen zur Herausgabe von Daten umgehen.
  • Das Thema "Schwachstellen-Management" wurde ebenso erheblich überarbeitet wie die Anforderungen u.a. an Netzsicherheit, Kryptografie und Physische Sicherheit.
  • Durch die korrespondierende Kontrolle von Sicherheitsmaßnahmen aufseiten des Kunden wird die geteilte Verantwortung für Sicherheit im Cloud Computing adressiert und so ein Maximum an Sicherheit ermöglicht.
  • Kleineren Cloud-Anbietern wird es durch eine direkte Prüfung erleichtert, bei gleichem Sicherheitsniveau mit weniger Aufwand ein C5-Testat zu erlangen.

Der Draft steht auch als Feedbackdokument bis zum 22. November 2019 zur Kommentierung durch die Fach-Community online.

Der Anforderungskatalog (englischer Titel: Cloud Computing Compliance Controls Catalogue, kurz "C5") richtet sich in erster Linie an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Er legt fest, welche Anforderungen die Cloud-Anbieter erfüllen müssen beziehungsweise auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte.

Das BSI informiert auf seiner Seite auch Privatanwenderinnen und –anwender über Cloud Computing und empfiehlt Sicherheitsmaßnahmen wie zum Beispiel die Verschlüsselung sensibler Daten vor dem Hochladen in die Cloud.


Weiterführende Informationen

Mehr zu den Themen:

Verwandte Artikel

Digitale Identitäten schützen: BSI entwickelt Sicherheitskatalog für eIDs

Digitale Identitäten schützen: BSI entwickelt Sicherheitskatalog für eIDs

Anlässlich des Digitalgipfels der Bundesregierung in Dortmund hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Security Framework für digitale Identitäten vorgestellt. Damit kann Deutschland zum Vorreiter bei der Entwicklung...

Kritische Infrastrukturen: Sicherheitsanalyse nach BSI-Grundschutz

Kritische Infrastrukturen: Sicherheitsanalyse nach BSI-Grundschutz

Mittlerweile existiert eine nahezu unüberschaubare Flut an Informationen, die sich um das Thema kritische Infrastrukturen (KRITIS) ranken. Das übergeordnete Ziel dieses Paragraphen- und Gesetzesdschungels besteht darin, die gemeinsame...

BSI erkennt Cyber-Sicherheitsstandard für Krankenhäuser an

BSI erkennt Cyber-Sicherheitsstandard für Krankenhäuser an

Neben Einrichtungen anderer Sektoren waren Krankenhäuser und andere medizinische Einrichtungen zuletzt wiederholt Betroffene gravierender IT-Sicherheitsvorfälle. Neben der Bedrohung durch Ransomware-Angriffe standen dabei auch sensible...

: