Schlagwortarchiv für: Zertifizierung

In der modernen Geschäftswelt steht Sicherheit und Qualität an erster Stelle. Insbesondere für Unternehmen im Bereich Rechenzentren und Cloudbetreuung ist das Wirtschaftsprüfer-Testat entscheidend geworden, das weit mehr ist als nur eine Bescheinigung.

Die Relevanz einer Rechenzentrums-Zertifizierung

Die fortschreitende Digitalisierung und der verstärkte Einsatz von Cloud-Infrastrukturen machen die Sicherheit von Rechenzentren zur Schlüsselkomponente für den Geschäftserfolg. Die Zertifizierung durch einen unabhängigen Wirtschaftsprüfer gewährleistet, dass Ihre IT-Infrastruktur und Dienstleistungen höchsten Sicherheits- und Qualitätsstandards entsprechen.

Warum ein Wirtschaftsprüfer-Testat?

Ein Wirtschaftsprüfer-Testat bietet eine unabhängige, neutrale und objektive Überprüfung Ihrer Prozesse, die über Mindeststandards hinausgeht. Es identifiziert potenzielle Schwachstellen und stärkt die Glaubwürdigkeit Ihrer Organisation, was das Vertrauen Ihrer Kunden und Geschäftspartner fördert.

Die Vorteile im Detail:

  1. Risikobewertung und -management: Wir evaluieren nicht nur vorhandene Sicherheitslücken, sondern bieten auch maßgeschneiderte Empfehlungen zur Risikominderung. Unser Fokus liegt darauf, Ihre Organisation proaktiv vor potenziellen Bedrohungen zu schützen und gleichzeitig die Integrität Ihrer IT-Infrastruktur zu stärken. Durch eine umfassende Analyse identifizieren wir Risiken, präsentieren klare Empfehlungen und begleiten Sie partnerschaftlich auf dem Weg zu einer widerstandsfähigen Sicherheitsstrategie. In einer sich ständig wandelnden digitalen Landschaft sind eine effektive Risikobewertung und proaktives Management entscheidend.
  2. Individuelle Anpassung: Jedes Unternehmen ist einzigartig. Unser Wirtschaftsprüfer-Testat wird präzise an die spezifischen Anforderungen Ihrer Organisation angepasst. Wir erkennen die Einzigartigkeit Ihres Unternehmens an und stellen sicher, dass die Sicherheitsstandards genau auf Ihre Bedürfnisse zugeschnitten sind.
  3. Rechtsverbindlichkeit: Das Wirtschaftsprüfer-Testat bietet erhöhte rechtliche Verbindlichkeit, wodurch Ihrer Organisation eine zusätzliche rechtliche Absicherung gewährt wird.

Vertrauen schaffen durch Transparenz

Ein Wirtschaftsprüfer-Testat bietet nicht nur eine Bestätigung der Einhaltung internationaler Standards, sondern schafft auch Vertrauen bei Kunden und Geschäftspartnern. Die transparente Dokumentation von Prüfergebnissen, Empfehlungen und Maßnahmen zur kontinuierlichen Verbesserung gibt Aufschluss über die Verlässlichkeit der IT-Infrastruktur.

Zeit- und Kostenersparnis durch Standardisierung

Die Zertifizierung nach internationalen Standards wie SOC1, SOC2,  ISAE3402, EN 50600 oder BSI C5 ermöglicht eine Standardisierung der Sicherheitsprozesse. Dies führt nicht nur zu einer effizienteren Implementierung von Sicherheitsmaßnahmen, sondern erspart auch die Notwendigkeit kundenindividueller Audits, wodurch wiederum Zeit und Ressourcen gespart werden können.

Prüfung des dienstleistungsbezogenen internen Kontrollsystems (IKS)

Die Grundlage für die Prüfung sind die Standards IDW PS 951, ISAE 3402 oder SSAE 18, die sich auf (rechnungslegungsrelevante) Dienstleistungen des Unternehmens konzentrieren. Das interne Kontrollsystem des Dienstleistungsunternehmens bildet die Basis für die Überprüfung.

Die Ergebnisse der Prüfung werden in einem Bericht festgehalten, der den Abschlussprüfern der Kunden des Dienstleistungsunternehmens als Prüfungsergebnisse Dritter dient. Die Prüfung kann zeitpunkt- oder zeitraumbezogen sein und sich auf bestimmte Dienstleistungen konzentrieren. Dabei kann die Tiefe der Prüfung zwei Typen umfassen:

  • Typ 1: Beurteilung der Angemessenheit und des Designs der beschriebenen Kontrollen (Berichterstattung Typ A).
  • Typ 2: Zusätzlich die Beurteilung der Wirksamkeit der Kontrollen im Internen Kontrollsystem (Berichterstattung Typ B).

Die Wahl des Prüfungstyps hängt vom Dienstleistungsangebot und den geschlossenen Verträgen mit den auslagernden Unternehmen ab. Der Prüfungstyp A erfordert weitere Prüfungen durch die Kunden bzw. auslagernden Unternehmen.

Unsere Dienstleistungen im Bereich Rechenzentrums-Zertifizierung

Unsere Expertise erstreckt sich über verschiedene Zertifizierungsstandards, um Ihren individuellen Anforderungen gerecht zu werden. Wir unterstützen Sie nicht nur bei der Zertifizierung Ihres Rechenzentrums, sondern begleiten Sie auch bei der Implementierung von Optimierungsmaßnahmen. Unsere ganzheitliche Herangehensweise ermöglicht es Ihnen, nicht nur die Zertifizierungsanforderungen zu erfüllen, sondern auch Ihre IT-Infrastruktur kontinuierlich zu optimieren und an sich wandelnde Branchenstandards anzupassen.

Schlussgedanken

In einer Zeit, in der Datensicherheit und -integrität entscheidend sind, wird eine Rechenzentrums-Zertifizierung zum Wettbewerbsvorteil. Vertrauen Sie auf unsere Erfahrung und Kompetenz, um die Sicherheit Ihrer IT-Infrastruktur nachhaltig zu gewährleisten.

Unsere umfassende Expertise in den Bereichen Prüfung & Zertifizierung, IT-Sicherheit & Cyber Security, Nachhaltigkeit & ESG und Datenschutz macht uns zum idealen Partner für die Sicherheit Ihrer IT-Infrastruktur und die Durchführung von Prüfungen des dienstleistungsbezogenen internen Kontrollsystems.

Besuchen Sie uns für weitere Informationen über die Zertifizierung für Rechenzentren und Cloudbetreiber und Prüfungen Ihres internen Kontrollsystems (IKS) auf https://audit-professionals.de/lp-rechenzentrums-zertifizierung. Ihr Vertrauen ist unser Maßstab für Qualität.

 

Foto: istockphoto.com/oselote

Die zunehmende Digitalisierung der Geschäftsprozesse in Unternehmen – meist mit Einsatz eines ERP-Systems – hat die Bedeutung der IT-Prüfung im Rahmen der Jahresabschlussprüfung verstärkt, insbesondere nach den Standards der International Standards on Auditing (ISA) 315. In diesem Artikel werfen wir einen genaueren Blick auf die Herausforderungen der IT-Prüfung durch den Wirtschaftsprüfer und beleuchten spezifische Aspekte im Hinblick auf die Prüfungsdurchführung.

  1. Sorgfältige Prüfungsplanung der Jahresabschlußprüfung

    In der intensiven Prüfungssaison zum Ende eines jeden Jahres – vor allem aufgrund des gängigen Bilanzstichtags zum 31.12. – ist eine sorgfältige Prüfungsplanung von entscheidender Bedeutung. Dies umfasst insbesondere eine präzise Planung und Zuweisung der knappen Personalressourcen, um spezifische Risiken im IT-Bereich angemessen zu bewerten. Hierbei spielt die Identifikation kritischer Geschäftsprozesse, die Abhängigkeit von IT-Systemen und die Bewertung der Kontrollumgebung eine entscheidende Rolle.

  2. Vorab-Anfrage von Nachweisdokumentation beim Mandanten

    Um die Effizienz der Prüfung zu maximieren, setzen Wirtschaftsprüfer auf die Vorab-Anfrage von Nachweisdokumentation beim Mandanten. Diese Strategie ermöglicht eine frühzeitige Anforderung relevanter Unterlagen, um besser vorbereitet in den Prüfungstermin zu gehen. Durch diesen Vorab-Prozess stellen Prüfer sicher, dass alle notwendigen Informationen verfügbar sind, was den Ablauf der Prüfung erheblich erleichtert.

  3. Prüfungstermin

    Die begrenzte Zeit während des Prüfungstermins ist eine zentrale Herausforderung. In nur wenigen Stunden müssen die Prüfer eine umfassende Prüfung der IT-Kontrollen durchführen. Dies erfordert eine klare Strukturierung des Prüfungsablaufs und eine zielgerichtete Analyse der zuvor identifizierten Risikobereiche. Eine effiziente Nutzung dieser begrenzten Zeit ist entscheidend, um eine gründliche Prüfung durchzuführen.

  4. Nachbereitung des Prüfungstermins

    Der Prüfungstermin muss anschließend sorgfältig nachbereitet werden, da dies einen entscheidenden Einfluss auf die Qualität und Aussagekraft der Prüfungsergebnisse hat. Die sorgfältige Nachbereitung umfasst die Dokumentation aller während des Prüfungstermins durchgeführten Prüfungshandlungen. Eine klare und detaillierte Dokumentation ist wichtig, um den Prüfungsprozess nachvollziehbar und transparent zu gestalten. Dies ist nicht nur für die Prüfer selbst wichtig, sondern dient auch als Basis für etwaige spätere externe Überprüfungen und die Kommunikation mit anderen Prüfungsstellen.

  5. Anforderung zusätzlicher Dokumentation

    Während des Prüfungstermins werden in der Regel aus dem Gesprächsverlauf heraus auch zusätzliche Dokumentationsanforderungen identifiziert, die über die ursprüngliche Vorab-Anfrage hinausgehen. Die Fähigkeit der Prüfer, flexibel auf solche Entwicklungen zu reagieren und die erforderliche Dokumentation zu erlangen, ist entscheidend, um eine ganzheitliche Prüfung sicherzustellen.

  6. Qualitätssicherung der Prüfungsergebnisse

    Die Qualitätssicherung der Prüfungsergebnisse bildet einen kritischen Schritt, um sicherzustellen, dass die erlangten Erkenntnisse korrekt und aussagekräftig sind. Dieser Prozess beinhaltet die eingehende Überprüfung der Prüfungsdokumentation, die Gewährleistung der Konsistenz der durchgeführten Prüfungshandlungen und die sorgfältige Abstimmung mit den ermittelten Risiken und Kontrollen.

  7. Dokumentation und Abschluss

    Die abschließende Dokumentation und Integration der Ergebnisse in einen Prüfungsbericht sind von entscheidender Bedeutung. Neben der detaillierten Auflistung festgestellter Risiken und Schwachstellen sollten auch klare Handlungsempfehlungen für die Geschäftsführung bereitgestellt werden. Die Dokumentation erfolgt idealerweise unter Verwendung geeigneter Anwendungen oder Tools, um eine systematische Erfassung, GoBD-konforme Archivierung und Verlinkung der vom Mandanten bereitgestellten Nachweise zu gewährleisten.
    Die Abschlussphase dient jedoch nicht nur der formalen Vollendung der Prüfung. Sie bietet auch die Gelegenheit, in einen aktiven Dialog mit der Geschäftsführung zu treten. Der Austausch über die ermittelten Schwachstellen, mögliche Handlungsschritte und präventive Maßnahmen fördert nicht nur das Vertrauen, sondern stärkt auch die Rolle des Wirtschaftsprüfers als strategischer Berater.

  8. Kontinuierliche Verbesserung des Prüfvorgehens

    Eine ganzheitliche Betrachtung der Prüfungssaison zum Jahresende erfordert auch eine Analyse der durchgeführten Prüfungen, um Verbesserungsmöglichkeiten zu identifizieren. Kontinuierliche Schulungen der Prüfer und die Anpassung von Prüfungsansätzen sind entscheidend, um den ständig wechselnden Anforderungen der digitalen Wirtschaft gerecht zu werden.

Fazit

Eine ganzheitliche Betrachtung der Prüfungssaison zum Jahresende erfordert eine kontinuierliche Analyse und Anpassung der durchgeführten Prüfungen. Die Identifizierung von Verbesserungsmöglichkeiten ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess.

Kontinuierliche Schulungen der Prüfer sind dabei ebenso wichtig wie die Anpassung von Prüfungsansätzen an aktuelle Entwicklungen. Die Digitalisierung eröffnet ständig neue Herausforderungen, denen Wirtschaftsprüfer durch eine offene Lernkultur und eine flexible Anpassung ihrer Methoden begegnen sollten.

Die kontinuierliche Verbesserung ermöglicht es Prüfern, sich den sich wandelnden Gegebenheiten anzupassen und das Vertrauen in die Jahresabschlussprüfung zu stärken.

Foto: istockphoto.com/Evkaz

Viele Dienstleister – vor allem Rechenzentrumbetreiber, Cloud Provider und IT-Service Provider aller Art möchten sicherstellen und auch ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen installiert haben.   

Auf der anderen Seite suchen die Kunden von Dienstleistungsunternehmen den richtigen Partner für die Auslagerung von Geschäftsprozessen. Dabei spielt es eine immer wichtigere Rolle, wie effektiv und verlässlich die internen Kontrollen zur Gewährleistung einer hochverfügbaren und sicheren Datenverarbeitung der Dienstleister sind.   

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z.B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert. 

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach so genannten SOC-Reports bzw. -Zertifizierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Zertifizierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 und daraus resultierend, welcher SOC-Report ist für wen sinnvoll? 

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch eine Wirtschaftsprüfer-Testat nachweisen wollen. 

SOC 1® — Interne Kontrolle der Finanzberichterstattung (ICFR)

Der SOC 1 Standard wurde speziell für die Überprüfung derjenigen Kontrollen bei den Dienstleistern konzipiert, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Die Auditoren bzw. Wirtschaftsprüfer des Dienstleistungsnehmers nehmen im Rahmen der Prüfung für einen SOC 1-Bericht i.d.R. eine Risikobewertung vor und erstellen mit dem SOC 1-Bericht einen Prüfungsnachweis über die Kontrollen des Dienstleisters.  

Für den SOC 1 Bericht gibt es zwei Berichts-Typen: 

Typ 1

Bericht über die Eignung des Aufbaus und der Angemessenheit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele zu einem bestimmten Zeitpunkt 

Typ 2

Bericht über die Wirksamkeit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele während eines bestimmten Zeitraums (üblicherweise 6 Monate oder 1 Jahr). 

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht wurde konzipiert für die Überprüfung der Kontrollen bzgl. Sicherheit (security), Verfügbarkeit (availability), Integrität (processing integrity) der Systeme, die der Dienstleister für die Verarbeitung der Daten der Dienstleistungsnehmer verwendet, sowie der Kontrollen zu Datenschutz und Vertraulichkeit (privacy of the information) der verarbeiteten Daten. 

Die Dienstleister für die ausgelagerten Dienstleistungen agieren dabei praktisch als „Lieferanten“ für ihre Kunden. Die SOC 2-Berichte dienen dazu, zum Risikomanagement des Dienstleistungsnehmers eine adäquate und mit einem angemessenen Detaillierungsgrad versehene Bewertung unter Berücksichtigung des SOC 2 Standards abzugeben. Die Berichte setzen ein angemessenes Maß an Fachkenntnissen und Wissen über die Abläufe, sowie die Art und Weise voraus, wie die Dienstleistungen hergestellt und angeboten werden. Daher ist Anwenderkreis für den SOC 2-Bericht eingeschränkt auf das Management des Dienstleistungsunternehmens, den Dienstleistungsnehmer und seine Wirtschaftsprüfer, aktuelle und potenzielle Geschäftspartner und Revisoren. 

Die zu überprüfenden Kontrollen bei SOC 2- und SOC 3-Berichten werden gegen die so genannten Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy geprüft. 

SOC 2- Berichte können ebenfalls als Typ 1 (Angemessenheit der Kontrollen) oder Typ 2 (Wirksamkeit der Kontrollen über einen bestimmten Zeitraum) erstellt werden. 

SOC 3® – Trust Services Criteria zur allgemeinen Verwendung

Genauso wie bei einem SOC 2-Bericht bezieht sich auch ein SOC 3-Bericht auf die Kontrollen bzgl. Sicherheit, Verfügbarkeit, Integrität sowie Datenschutz/Vertraulichkeit. Die SOC 3-Berichte unterliegen den gleichen Prüfkriterien wie SOC 2-Berichte. Es gibt allerdings einige Unterschiede zwischen SOC 2 und SOC 3: Zum einen sind die SOC 2-Berichte vertraulich und werden nur bestimmten Kunden zur Verfügung gestellt. Die SOC 3-Berichte sind hingegen für die Öffentlichkeit gedacht und stehen in der Regel als Marketing-Instrument auf der Webseite der Unternehmen (der Dienstleister).  

SOC 3-Berichte beinhalten im Gegensatz zu SOC 2-Berichten keine detaillierten Informationen über die internen Prozesse oder Kontrollen des Unternehmens sowie die exakte Art und Weise, wie die Kontrollen getestet wurden oder was das Ergebnis der jeweiligen Tests und Prüfungen im Detail war. Der Bericht ist wesentlich kürzer gefasst und wird i.d.R. in Form eines Whitepapers bereitgestellt. Ein weiterer Unterschied ist, dass ein SOC 3-Bericht nur für einen Berichtszeitraum, also als Typ 2-Bericht erstellt wird. 

Fazit

Wenn rechnungslegungsrelevante bzw. finanzkritische Daten und Verarbeitungsprozesse ausgelagert werden, sollten Unternehmen bei ihren künftigen Dienstleistern nach einem SOC 1-Bericht fragen, z.B. wenn Unternehmen ihre E-Commerce-Aktivitäten auslagern möchten. 

Wenn ein Unternehmen, z.B. die Verarbeitung seiner sensiblen Kundendaten an einen externen Dienstleister auslagern möchte (Cloud/RZ), kommt für den betreffenden IT-Dienstleister der SOC 2-Bericht in Frage. Der Dienstleistungsnehmer möchte mit seiner Anfrage nach einem solchen Bericht sicherstellen, dass der Dienstleister wirksame Mechanismen (Kontrollen) installiert hat, die die Daten seiner Kunden vor fremdem Zugriff schützen und die Hochverfügbarkeit der IT-Umgebung des Dienstleisters sicherstellen. 

Nach einem SOC 3-Bericht fragen die Kunden der Dienstleister i.d.R. nicht. Die Dienstleister stellen den SOC 3-Bericht der Öffentlichkeit selbst zur Verfügung und transportieren damit eine zertifizierte Sicherheit ihrer Dienstleistungen, ohne zu viele Details kommunizieren zu müssen. 

Die zunehmende Größe und Komplexität des Marktes für Cloud-Lösungen stellt Kunden vor die Frage, welcher Anbieter bzw. welche Cloudlösung die eigenen Anforderungen zur Informationssicherheit am besten abdeckt. Mit der Einführung des BSI C5-Standards hat das BSI einen anspruchsvollen Sicherheitsstandard für Cloud-Dienstleistungen geschaffen, der dieses Problem adressiert. Mit einem auf dem BSI C5-Standard basierenden BSI C5-Testat und dem zugrundeliegenden Prüfbericht können Cloudanbieter ihren Kunden die Sicherheit ihrer Clouddienste transparent darstellen und nachweisen.

Was ist BSI C5?

Die Abkürzung C5 steht für die 5 Anfangsbuchstaben des Cloud Computing Compliance Criteria Catalogue des BSI (kurz: BSI C5). Der  ist ein Katalog, der Mindestanforderungen (Kriterien) zur Informationssicherheit eines Cloud-Dienstes beschreibt und ist in Europa der führende Standard für Informationssicherheit im Cloud Computing.

Die darin definierten Mindestanforderungen können von Clouddienst-Anbietern als Orientierung genutzt werden, um die richtigen Maßnahmen zur Gewährleistung der Informationssicherheit der angebotenen Cloudlösungen zu implementieren. Darüber dient der C5-Kriterienkatalog auch als Grundlage für eine standardisierte Prüfung durch externe Auditoren. Mit einem C5 Testat und dem Ergebnisbericht können Clouddienst-Anbieter ihren Kunden die Einhaltung der im C5-Katalog enthaltenen Kriterien zur Informationssicherheit belegen.

Wer hat BSI C5 entwickelt?

Der C5-Katalog wurde von der staatlichen Behörde Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 entwickelt. Das BSI ist eine deutsche Bundesoberbehörde, die zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn gehört, und für alle Themen rund um Informationssicherheit und Cybersecurity zuständig ist. Seit der Erstveröffentlichung wurde der BSI C5-Katalog weiterentwickelt und die überarbeitete zweite Fassung im Jahr 2020 veröffentlicht (C5: 2020).

Was ist der konkrete Nutzen von BSI C5?

Der Nutzen des C5-Katalogs resultiert maßgeblich aus dessen Testierfähigkeit. Mit einem C5-Testat können Anbieter von Clouddienstleistungen ihren Kunden transparent nachweisen, dass die im C5 definierten Kriterien zur Informationssicherheit eingehalten werden.

Der Nutzen einer C5-Testierung liegt in zwei grundlegenden Bereichen:

  1. Differenzierung und Wettbewerbsvorteil im Markt für Clouddienstleistungen
    Ob SaaS, PaaS oder IaaS – im stetig wachsenden Markt für Clouddienstleistungen aller Art mit einer weiter zunehmenden Zahl an international agierenden Anbietern ist es schwer, sich von der Konkurrenz abzuheben und den eigenen Mehrwert herauszustellen. Mit einem C5-Testat können sich Clouddienst-Anbieter jedoch wirkungsvoll im Wettbewerb profilieren, denn der Standard ist international bekannt, die zugrundliegende Thematik der Informationssicherheit maßgeblich entscheidungsrelevant für Kunden, und die Einhaltung der C5-Kriterien durchaus anspruchsvoll.
    Darüber hinaus kann ein Clouddienst-Anbieter mit einer einmaligen Prüfung und Testierung einer Vielzahl von Kunden und Interessenten die Einhaltung der C5-Kriterien nachweisen. Damit wird vermieden, dass jeder Kunde oder Interessent individuell Auskünfte beim Anbieter einholen, oder eigene Auditoren mit der Prüfung der Sicherheit seiner Daten beim Clouddienstleister beauftragen muss.
    Ein weitere wichtiger Punkt ist die Tatsache, dass im öffentlichen Sektor bzw. von Bundesbehörden Aufträge, bei denen Clouddienstleistungen erforderlich sind, nur unter der Voraussetzung vergeben werden, dass vom Bieter ein aktuelles C5-Testat vorgelegt wird, welches die Erfüllung der C5-Kriterien nachweist.
  2. Orientierungshilfe für Kunden bei der Auswahl von Clouddienstleistern und Clouddiensten
    Die Größe und Komplexität des Markts für Clouddienstleistungen ist aber nicht nur für die Anbieter eine Herausforderung, sondern insbesondere für Kunden ist es nicht einfach festzustellen, welcher Anbieter und welches Produkt die eigenen Anforderungen zur Informationssicherheit abdeckt. Mit der Vorlage eines C5-Testats und des dazu gehörenden Prüfberichts kann ein Clouddienst-Anbieter den potenziellen Kunden helfen, hierbei die richtige Entscheidung zu treffen.

Was ist der Unterschied zwischen BSI C5 und DIN ISO 27001?

Eine C5-Testierung orientiert sich methodisch am Vorgehen in der Wirtschaftsprüfung, bei der unter Einhaltung der vorgegebenen Prüfungsstandards initial die Angemessenheit der Kontrollen des internen Kontrollsystems (IKS) mit Einhaltung der zugrunde liegenden Anforderungen (C5-Kriterien), und dann in regelmäßigen Abständen (z.B. alle 6 Monate oder jährlich) deren Wirksamkeit über die gesamte Berichtsperiode geprüft, und von einem Wirtschaftsprüfer bescheinigt wird.

Eine Zertifizierung nach ISO 27001 hingegen weist zu einem bestimmten Zeitpunkt und (unter Berücksichtigung der jährlichen Überwachungsaudits) danach alle 3 Jahre das Vorhandensein eines Informationssicherheits-Managementsystems (ISMS) mit Abdeckung der Normanforderungen nach, berücksichtigt aber nicht den Nachweis für die dauerhafte Wirksamkeit der implementierten Kontrollen. Das ISO-Zertifikat wird dabei von einer für ISO 27001 akkreditierten Zertifizierungsstelle und nicht von einem Wirtschaftsprüfer ausgestellt.

Für wen kommt eine BSI C5-Testierung in Frage?

Eine Testierung nach dem C5-Katalog kommt grundsätzlich für alle Anbieter in Frage, die ihren Kunden eine Cloud-Dienstleistung anbieten. Dies umfasst z.B. auch Cloud-Lösungen, die aus den Leistungen von Unterauftragnehmer des Cloud-Dienstleister zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

  • SaaS (z.B. ERP-Systeme, Finanz-Dienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualization, etc.) 
  • PaaS (Entwicklungsplattformen) 
  • IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen) 

Interessant ist eine C5-Testierung insbesondere für Cloudanbieter, die ihre Leistungen für eine Vielzahl von Kunden anbieten und bereits einen Großteil der C5-Kriterien erfüllen, oder mit absehbarem zeitlichem Aufwand erfüllen können. 

Was beinhaltet BSI C5?

Der Kriterienkatalog C5: 2020 beinhaltet neben den Anforderungen der allgemeinen Rahmenbedingungen 125 Kriterien, die sich auf 17 Themengebiete aufteilen:

1 Organisation der Informationssicherheit (OIS)
2 Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3 Personal (HR)
4 Asset Management (AM)
5 Physische Sicherheit (PS)
6 Regelbetrieb (OPS)
7 Identitäts- und Berechtigungsmanagement (IDM)
8 Kryptographie und Schlüsselmanagement (CRY)
9 Kommunikationssicherheit (COS)
10 Portabilität und Interoperabilität (PI)
11 Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12 Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13 Umgang mit Sicherheitsvorfällen (SIM)
14 Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15 Compliance (COM)
16 Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17 Produktsicherheit (PSS)

Die 125 Kriterien gliedern sich dabei in sog. Basiskriterien sowie Zusatzkriterien. Die Basiskriterien beinhalten dabei Anforderungen, die ein Clouddienst erfüllen muss, um den Anforderungen einer sicheren Verarbeitung von Daten mit normalem Schutzbedarf zu gewährleisten.

Sofern Kunden sensible Informationen mit erhöhtem Schutzbedarf in der Cloud verarbeiten wollen, sollte der betreffenden Cloudanbieter darüber hinaus auch die sog. Zusatzkriterien erfüllen, die weiterführenden Maßnahmen zur Gewährleistung der Informationssicherheit seitens des Cloudanbieters erfordern.

Darüber hinaus enthält der Kriterienkatalog umfassende Informationen für den Konformitätsnachweis durch eine unabhängige Prüfung, die idealerweise zu einem C5-Testat führt.

Wer darf eine BSI C5-Testierung durchführen?

Die Prüfungen werden typischerweise von externen IT-Prüfern aus dem Umfeld der Wirtschaftsprüfung durchgeführt. Die eigentliche Ausstellung des Testats erfolgt durch einen Wirtschaftsprüfer.

Wie läuft eine BSI C5-Testierung ab?

Um nicht erst während der C5-Prüfung festzustellen, dass das gewünschte Ergebnis in Form eines positiven C5-Testats nicht realistisch ist, bedarf es beim Cloud-Dienstleister einer sorgfältigen Vorbereitung mit entsprechendem zeitlichem Vorlauf und der Einplanung der Ressourcen für Systemanpassungen sowie dem Aufbau des internen Kontrollsystems.
Grundlegende Voraussetzungen sollten möglichst vorab bereits vor Beauftragung der Prüforganisation gelegt werden, u.a.:

  • Festlegung des Produkt-/DL-Scopes für das Testat
  • Systembeschreibung des Cloudanbieters
  • Interne Vorab-Prüfung bzgl. der Erfüllung der C5-Kriterien
  • Festlegung der anzuwendenden Kriterien (Basiskriterien, Zusatzkriterien, nichtanwendbare Kriterien)
  • Implementierung des internen Kontrollsystems (IKS) mit Zuordnung der Kontrollen zu C5-Kriterien
  • Bestimmung der erforderlichen korrespondierende Kontrollen auf Kundenseite
  • Festlegung der einzubeziehenden Sub-Dienstleister (inklusive oder Carve out-Methode)
  • Aufbau und Beschreibung der C5-relevanten Kontrollen des IKS

Nach der Beauftragung einer geeigneten Prüforganisation (meist in Form eines Wirtschaftsprüfers) beginnt die Phase der intensiven Prüfungstätigkeiten, für die auf Seite des Clouddienstleisters die Verfügbarkeit und die zeitlichen Kapazitäten der erforderlichen Experten eingeplant werden sollte. Im Rahmen der Erstprüfung wird zunächst eine Prüfung nach Typ 1 durchgeführt, bei der der Wirtschaftsprüfer das interne Kontrollsystem bzw. die zur Erfüllung des C5 -Kriterien erforderlichen Kontrollen auf Angemessenheit des Kontrolldesigns bewertet. Die wesentlichen Aufgaben hierbei sind:

  • Prüfung der Erfüllung aller C5-Rahmenbedingungen durch den Clouddienst
  • Prüfung der Abdeckung der C5-Kriterien durch Systemeigenschaften und interne Kontrollen
  • Prüfung des Mappings Kriterien / Kontrollen
  • Prüfung der Angemessenheit der den C5-Kriterien zugeordneten Kontrollen
  • Erstellung Bericht und Testat Typ 1 (z.B. auf Basis IDW PS 951, ISAE 3402)

Nach Festlegung des avisierten Berichtszeitraum kann die Prüfung und Testierung des internen Kontrollsystems für die C5-Kriterien nach Typ 2 avisiert werden. Dies setzt voraus, dass der Clouddienstleister sein internes Kontrollsystem über den gesamten für den Bericht bzw. die Testierung relevanten Berichtszeitraum erfolgreich betrieben hat und die durchgängige Durchführung der internen Kontrollen belegt werden kann. Die Aktivitäten zu Erstellung des -Typ 2-Berichts sind identisch zum Typ 1-Bericht, allerdings wird hier nicht nur das Design bzw. die Angemessenheit der internen, für C5 relevanten Kontrollen geprüft, sondern deren Wirksamkeit über den gesamten Berichtszeitraum.

Fazit

BSI C5 ist der führende Standard für die Umsetzung und Prüfung der Sicherheit von Cloud-Diensten in Deutschland. Der Standard deckt alle wichtigen Aspekte der Cloud-Sicherheit ab und stellt sicher, dass Cloud-Provider angemessene Sicherheitsmaßnahmen umsetzen, um die Daten ihrer Kunden zu schützen. Die Testierung nach BSI C5 bietet Kunden zusätzliche Sicherheit und Vertrauen in den Cloud-Provider und ist daher ein wertvolles Instrument für Cloud-Provider, um ihre Wettbewerbsfähigkeit auf dem deutschen Markt zu erhöhen und neue Kunden zu gewinnen.