Schlagwortarchiv für: Zertifizierung

Cloud Security nach BSI C5 – Was bringt ein C5-Testat?

Die zunehmende Größe und Komplexität des Marktes für Cloud-Lösungen stellt Kunden vor die Frage, welcher Anbieter bzw. welche Cloudlösung die eigenen Anforderungen zur Informationssicherheit am besten abdeckt. Mit der Einführung des BSI C5-Standards hat das BSI einen anspruchsvollen Sicherheitsstandard für Cloud-Dienstleistungen geschaffen, der dieses Problem adressiert. Mit einem auf dem BSI C5-Standard basierenden BSI C5-Testat und dem zugrundeliegenden Prüfbericht können Cloudanbieter ihren Kunden die Sicherheit ihrer Clouddienste transparent darstellen und nachweisen.

Was ist BSI C5?

Die Abkürzung C5 steht für die 5 Anfangsbuchstaben des Cloud Computing Compliance Criteria Catalogue des BSI (kurz: BSI C5). Der  ist ein Katalog, der Mindestanforderungen (Kriterien) zur Informationssicherheit eines Cloud-Dienstes beschreibt und ist in Europa der führende Standard für Informationssicherheit im Cloud Computing.

Die darin definierten Mindestanforderungen können von Clouddienst-Anbietern als Orientierung genutzt werden, um die richtigen Maßnahmen zur Gewährleistung der Informationssicherheit der angebotenen Cloudlösungen zu implementieren. Darüber dient der C5-Kriterienkatalog auch als Grundlage für eine standardisierte Prüfung durch externe Auditoren. Mit einem C5 Testat und dem Ergebnisbericht können Clouddienst-Anbieter ihren Kunden die Einhaltung der im C5-Katalog enthaltenen Kriterien zur Informationssicherheit belegen.

Wer hat BSI C5 entwickelt?

Der C5-Katalog wurde von der staatlichen Behörde Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 entwickelt. Das BSI ist eine deutsche Bundesoberbehörde, die zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn gehört, und für alle Themen rund um Informationssicherheit und Cybersecurity zuständig ist. Seit der Erstveröffentlichung wurde der BSI C5-Katalog weiterentwickelt und die überarbeitete zweite Fassung im Jahr 2020 veröffentlicht (C5: 2020).

Was ist der konkrete Nutzen von BSI C5?

Der Nutzen des C5-Katalogs resultiert maßgeblich aus dessen Testierfähigkeit. Mit einem C5-Testat können Anbieter von Clouddienstleistungen ihren Kunden transparent nachweisen, dass die im C5 definierten Kriterien zur Informationssicherheit eingehalten werden.

Der Nutzen einer C5-Testierung liegt in zwei grundlegenden Bereichen:

  1. Differenzierung und Wettbewerbsvorteil im Markt für Clouddienstleistungen
    Ob SaaS, PaaS oder IaaS – im stetig wachsenden Markt für Clouddienstleistungen aller Art mit einer weiter zunehmenden Zahl an international agierenden Anbietern ist es schwer, sich von der Konkurrenz abzuheben und den eigenen Mehrwert herauszustellen. Mit einem C5-Testat können sich Clouddienst-Anbieter jedoch wirkungsvoll im Wettbewerb profilieren, denn der Standard ist international bekannt, die zugrundliegende Thematik der Informationssicherheit maßgeblich entscheidungsrelevant für Kunden, und die Einhaltung der C5-Kriterien durchaus anspruchsvoll.
    Darüber hinaus kann ein Clouddienst-Anbieter mit einer einmaligen Prüfung und Testierung einer Vielzahl von Kunden und Interessenten die Einhaltung der C5-Kriterien nachweisen. Damit wird vermieden, dass jeder Kunde oder Interessent individuell Auskünfte beim Anbieter einholen, oder eigene Auditoren mit der Prüfung der Sicherheit seiner Daten beim Clouddienstleister beauftragen muss.
    Ein weitere wichtiger Punkt ist die Tatsache, dass im öffentlichen Sektor bzw. von Bundesbehörden Aufträge, bei denen Clouddienstleistungen erforderlich sind, nur unter der Voraussetzung vergeben werden, dass vom Bieter ein aktuelles C5-Testat vorgelegt wird, welches die Erfüllung der C5-Kriterien nachweist.
  2. Orientierungshilfe für Kunden bei der Auswahl von Clouddienstleistern und Clouddiensten
    Die Größe und Komplexität des Markts für Clouddienstleistungen ist aber nicht nur für die Anbieter eine Herausforderung, sondern insbesondere für Kunden ist es nicht einfach festzustellen, welcher Anbieter und welches Produkt die eigenen Anforderungen zur Informationssicherheit abdeckt. Mit der Vorlage eines C5-Testats und des dazu gehörenden Prüfberichts kann ein Clouddienst-Anbieter den potenziellen Kunden helfen, hierbei die richtige Entscheidung zu treffen.

Was ist der Unterschied zwischen BSI C5 und DIN ISO 27001?

Eine C5-Testierung orientiert sich methodisch am Vorgehen in der Wirtschaftsprüfung, bei der unter Einhaltung der vorgegebenen Prüfungsstandards initial die Angemessenheit der Kontrollen des internen Kontrollsystems (IKS) mit Einhaltung der zugrunde liegenden Anforderungen (C5-Kriterien), und dann in regelmäßigen Abständen (z.B. alle 6 Monate oder jährlich) deren Wirksamkeit über die gesamte Berichtsperiode geprüft, und von einem Wirtschaftsprüfer bescheinigt wird.

Eine Zertifizierung nach ISO 27001 hingegen weist zu einem bestimmten Zeitpunkt und (unter Berücksichtigung der jährlichen Überwachungsaudits) danach alle 3 Jahre das Vorhandensein eines Informationssicherheits-Managementsystems (ISMS) mit Abdeckung der Normanforderungen nach, berücksichtigt aber nicht den Nachweis für die dauerhafte Wirksamkeit der implementierten Kontrollen. Das ISO-Zertifikat wird dabei von einer für ISO 27001 akkreditierten Zertifizierungsstelle und nicht von einem Wirtschaftsprüfer ausgestellt.

Für wen kommt eine BSI C5-Testierung in Frage?

Eine Testierung nach dem C5-Katalog kommt grundsätzlich für alle Anbieter in Frage, die ihren Kunden eine Cloud-Dienstleistung anbieten. Dies umfasst z.B. auch Cloud-Lösungen, die aus den Leistungen von Unterauftragnehmer des Cloud-Dienstleister zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

  • SaaS (z.B. ERP-Systeme, Finanz-Dienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualization, etc.) 
  • PaaS (Entwicklungsplattformen) 
  • IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen) 

Interessant ist eine C5-Testierung insbesondere für Cloudanbieter, die ihre Leistungen für eine Vielzahl von Kunden anbieten und bereits einen Großteil der C5-Kriterien erfüllen, oder mit absehbarem zeitlichem Aufwand erfüllen können. 

Was beinhaltet BSI C5?

Der Kriterienkatalog C5: 2020 beinhaltet neben den Anforderungen der allgemeinen Rahmenbedingungen 125 Kriterien, die sich auf 17 Themengebiete aufteilen:

1 Organisation der Informationssicherheit (OIS)
2 Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3 Personal (HR)
4 Asset Management (AM)
5 Physische Sicherheit (PS)
6 Regelbetrieb (OPS)
7 Identitäts- und Berechtigungsmanagement (IDM)
8 Kryptographie und Schlüsselmanagement (CRY)
9 Kommunikationssicherheit (COS)
10 Portabilität und Interoperabilität (PI)
11 Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12 Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13 Umgang mit Sicherheitsvorfällen (SIM)
14 Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15 Compliance (COM)
16 Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17 Produktsicherheit (PSS)

Die 125 Kriterien gliedern sich dabei in sog. Basiskriterien sowie Zusatzkriterien. Die Basiskriterien beinhalten dabei Anforderungen, die ein Clouddienst erfüllen muss, um den Anforderungen einer sicheren Verarbeitung von Daten mit normalem Schutzbedarf zu gewährleisten.

Sofern Kunden sensible Informationen mit erhöhtem Schutzbedarf in der Cloud verarbeiten wollen, sollte der betreffenden Cloudanbieter darüber hinaus auch die sog. Zusatzkriterien erfüllen, die weiterführenden Maßnahmen zur Gewährleistung der Informationssicherheit seitens des Cloudanbieters erfordern.

Darüber hinaus enthält der Kriterienkatalog umfassende Informationen für den Konformitätsnachweis durch eine unabhängige Prüfung, die idealerweise zu einem C5-Testat führt.

Wer darf eine BSI C5-Testierung durchführen?

Die Prüfungen werden typischerweise von externen IT-Prüfern aus dem Umfeld der Wirtschaftsprüfung durchgeführt. Die eigentliche Ausstellung des Testats erfolgt durch einen Wirtschaftsprüfer.

Wie läuft eine BSI C5-Testierung ab?

Um nicht erst während der C5-Prüfung festzustellen, dass das gewünschte Ergebnis in Form eines positiven C5-Testats nicht realistisch ist, bedarf es beim Cloud-Dienstleister einer sorgfältigen Vorbereitung mit entsprechendem zeitlichem Vorlauf und der Einplanung der Ressourcen für Systemanpassungen sowie dem Aufbau des internen Kontrollsystems.
Grundlegende Voraussetzungen sollten möglichst vorab bereits vor Beauftragung der Prüforganisation gelegt werden, u.a.:

  • Festlegung des Produkt-/DL-Scopes für das Testat
  • Systembeschreibung des Cloudanbieters
  • Interne Vorab-Prüfung bzgl. der Erfüllung der C5-Kriterien
  • Festlegung der anzuwendenden Kriterien (Basiskriterien, Zusatzkriterien, nichtanwendbare Kriterien)
  • Implementierung des internen Kontrollsystems (IKS) mit Zuordnung der Kontrollen zu C5-Kriterien
  • Bestimmung der erforderlichen korrespondierende Kontrollen auf Kundenseite
  • Festlegung der einzubeziehenden Sub-Dienstleister (inklusive oder Carve out-Methode)
  • Aufbau und Beschreibung der C5-relevanten Kontrollen des IKS

Nach der Beauftragung einer geeigneten Prüforganisation (meist in Form eines Wirtschaftsprüfers) beginnt die Phase der intensiven Prüfungstätigkeiten, für die auf Seite des Clouddienstleisters die Verfügbarkeit und die zeitlichen Kapazitäten der erforderlichen Experten eingeplant werden sollte. Im Rahmen der Erstprüfung wird zunächst eine Prüfung nach Typ 1 durchgeführt, bei der der Wirtschaftsprüfer das interne Kontrollsystem bzw. die zur Erfüllung des C5 -Kriterien erforderlichen Kontrollen auf Angemessenheit des Kontrolldesigns bewertet. Die wesentlichen Aufgaben hierbei sind:

  • Prüfung der Erfüllung aller C5-Rahmenbedingungen durch den Clouddienst
  • Prüfung der Abdeckung der C5-Kriterien durch Systemeigenschaften und interne Kontrollen
  • Prüfung des Mappings Kriterien / Kontrollen
  • Prüfung der Angemessenheit der den C5-Kriterien zugeordneten Kontrollen
  • Erstellung Bericht und Testat Typ 1 (z.B. auf Basis IDW PS 951, ISAE 3402)

Nach Festlegung des avisierten Berichtszeitraum kann die Prüfung und Testierung des internen Kontrollsystems für die C5-Kriterien nach Typ 2 avisiert werden. Dies setzt voraus, dass der Clouddienstleister sein internes Kontrollsystem über den gesamten für den Bericht bzw. die Testierung relevanten Berichtszeitraum erfolgreich betrieben hat und die durchgängige Durchführung der internen Kontrollen belegt werden kann. Die Aktivitäten zu Erstellung des -Typ 2-Berichts sind identisch zum Typ 1-Bericht, allerdings wird hier nicht nur das Design bzw. die Angemessenheit der internen, für C5 relevanten Kontrollen geprüft, sondern deren Wirksamkeit über den gesamten Berichtszeitraum.

Fazit

BSI C5 ist der führende Standard für die Umsetzung und Prüfung der Sicherheit von Cloud-Diensten in Deutschland. Der Standard deckt alle wichtigen Aspekte der Cloud-Sicherheit ab und stellt sicher, dass Cloud-Provider angemessene Sicherheitsmaßnahmen umsetzen, um die Daten ihrer Kunden zu schützen. Die Testierung nach BSI C5 bietet Kunden zusätzliche Sicherheit und Vertrauen in den Cloud-Provider und ist daher ein wertvolles Instrument für Cloud-Provider, um ihre Wettbewerbsfähigkeit auf dem deutschen Markt zu erhöhen und neue Kunden zu gewinnen.

/von

SOC 1, SOC 2 oder SOC 3, welcher Compliance Standard passt für Sie?

Viele Dienstleister – vor allem Rechenzentrumbetreiber, Cloud Provider und IT-Service Provider aller Art möchten sicherstellen und auch ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen installiert haben.   

Auf der anderen Seite suchen die Kunden von Dienstleistungsunternehmen den richtigen Partner für die Auslagerung von Geschäftsprozessen. Dabei spielt es eine immer wichtigere Rolle, wie effektiv und verlässlich die internen Kontrollen zur Gewährleistung einer hochverfügbaren und sicheren Datenverarbeitung der Dienstleister sind.   

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z.B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert. 

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach so genannten SOC-Reports bzw. -Zertifizierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Zertifizierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 und daraus resultierend, welcher SOC-Report ist für wen sinnvoll? 

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch eine Wirtschaftsprüfer-Testat nachweisen wollen. 

SOC 1® — Internal Control over Financial Reporting (ICFR)

Der SOC 1 Standard wurde speziell für die Überprüfung derjenigen Kontrollen bei den Dienstleistern konzipiert, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Die Auditoren bzw. Wirtschaftsprüfer des Dienstleistungsnehmers nehmen im Rahmen der Prüfung für einen SOC 1-Bericht i.d.R. eine Risikobewertung vor und erstellen mit dem SOC 1-Bericht einen Prüfungsnachweis über die Kontrollen des Dienstleisters.  

Für den SOC 1 Bericht gibt es zwei Berichts-Typen: 

Typ 1

Bericht über die Eignung des Aufbaus und der Angemessenheit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele zu einem bestimmten Zeitpunkt 

Typ 2

Bericht über die Wirksamkeit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele während eines bestimmten Zeitraums (üblicherweise 6 Monate oder 1 Jahr). 

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht wurde konzipiert für die Überprüfung der Kontrollen bzgl. Sicherheit (security), Verfügbarkeit (availability), Integrität (processing integrity) der Systeme, die der Dienstleister für die Verarbeitung der Daten der Dienstleistungsnehmer verwendet, sowie der Kontrollen zu Datenschutz und Vertraulichkeit (privacy of the information) der verarbeiteten Daten. 

Die Dienstleister für die ausgelagerten Dienstleistungen agieren dabei praktisch als „Lieferanten“ für ihre Kunden. Die SOC 2-Berichte dienen dazu, zum Risikomanagement des Dienstleistungsnehmers eine adäquate und mit einem angemessenen Detaillierungsgrad versehene Bewertung unter Berücksichtigung des SOC 2 Standards abzugeben. Die Berichte setzen ein angemessenes Maß an Fachkenntnissen und Wissen über die Abläufe, sowie die Art und Weise voraus, wie die Dienstleistungen hergestellt und angeboten werden. Daher ist Anwenderkreis für den SOC 2-Bericht eingeschränkt auf das Management des Dienstleistungsunternehmens, den Dienstleistungsnehmer und seine Wirtschaftsprüfer, aktuelle und potenzielle Geschäftspartner und Revisoren. 

Die zu überprüfenden Kontrollen bei SOC 2 und SOC 3 Berichten werden gegen die so genannten Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy geprüft. 

SOC 2 Berichte können ebenfalls als Typ 1 (Angemessenheit der Kontrollen) oder Typ 2 (Wirksamkeit der Kontrollen über einen bestimmten Zeitraum) erstellt werden. 

SOC 3® – Trust Services Criteria for General Use Report 

Genauso wie bei einem SOC 2 Bericht bezieht sich auch ein SOC 3 Bericht auf die Kontrollen bzgl. Sicherheit, Verfügbarkeit, Integrität sowie Datenschutz/Vertraulichkeit. Die SOC 3 Berichte unterliegen den gleichen Prüfkriterien wie SOC 2 Berichte. Es gibt allerdings einige Unterschiede zwischen SOC 2 und SOC 3: Zum einen sind die SOC 2 Berichte vertraulich und werden nur bestimmten Kunden zur Verfügung gestellt. Die SOC 3 Berichte sind hingegen für die Öffentlichkeit gedacht und stehen in der Regel als Marketing-Instrument auf der Webseite der Unternehmen (der Dienstleister).  

SOC 3 Berichte beinhalten im Gegensatz zu SOC 2 Berichten keine detaillierten Informationen über die internen Prozesse oder Kontrollen des Unternehmens sowie die exakte Art und Weise, wie die Kontrollen getestet wurden oder was das Ergebnis der jeweiligen Tests und Prüfungen im Detail war. Der Bericht ist wesentlich kurzer gefasst und wird i.d.R. in Form eines Whitepapers bereitgestellt. Ein weiterer Unterschied ist, dass ein SOC 3 Bericht nur für einen Berichtszeitraum, also als Typ 2-Bericht erstellt wird. 

Fazit

Wenn rechnungslegungsrelevante bzw. finanzkritische Daten und Verarbeitungsprozesse ausgelagert werden, sollten Unternehmen bei ihren künftigen Dienstleistern nach einem SOC 1 Bericht fragen, z.B. wenn Unternehmen ihre E-Commerce-Aktivitäten auslagern möchten. 

Wenn ein Unternehmen, z.B. die Verarbeitung seiner sensiblen Kundendaten an einen externen Dienstleister auslagern möchte (Cloud/RZ), kommt für den betreffenden IT-Dienstleister der SOC 2-Bericht in Frage. Der Dienstleistungsnehmer möchte mit seiner Anfrage nach einem solchen Bericht sicherstellen, dass der Dienstleister wirksame Mechanismen (Kontrollen) installiert hat, die die Daten seiner Kunden vor fremdem Zugriff schützen und die Hochverfügbarkeit der IT-Umgebung des Dienstleisters sicherstellen. 

Nach einem SOC 3 Bericht fragen die Kunden der Dienstleister i.d.R. nicht. Die Dienstleister stellen den SOC 3 Bericht der Öffentlichkeit selbst zur Verfügung und transportieren damit eine zertifizierte Sicherheit ihrer Dienstleistungen, ohne zu viele Details kommunizieren zu müssen. 

/von