InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Wer seine Daten der Cloud anvertraut, möchte, dass sie dort sicher und rechtskonform gespeichert werden. Deshalb lassen sich viele Cloud-Anbieter anhand des «Cloud Computing Compliance Criteria Catalogue» (kurz C5) des BSI oder nach CSA (Cloud Security Alliance) überprüfen. Dadurch können auch Sie das Sicherheits- und Schutzniveau der Cloud-Dienstleistung einschätzen und vergleichen. Wie Sie mittels C5:2020 einen geeigneten und sicheren Cloud-Anbieter evaluieren können, zeigen wir Ihnen in diesem Beitrag.
Cloud-Services bieten vielversprechende Möglichkeiten, um IT-basierte Geschäftsprozesse flexibel und effizient zu implementieren. Dabei gilt es aber immer auch die Cybersicherheit und Compliance zu berücksichtigen. Unternehmen sind in der Pflicht, diese Risiken umfassend zu bewerten und über den gesamten Nutzungszyklus des Cloud-Dienstes hinweg zu überwachen. Wie beim IT-Outsourcing, stellt der Bezug von Dienstleistungen aus der Cloud eine spezielle Form der IT-Auslagerung dar. Als Cloud-Nutzer sind extern bezogene Cloud-Dienstleistungen als «eigene» Prozesse und Services zu betrachten und unterliegen damit denselben Anforderungen an die IT-Governance und Compliance wie eigene, interne Prozesse und Services.
Das BSI – in Übereinstimmung mit der ANSSI (Agence nationale de la sécurité des systèmes d’information) – hat einen Anforderungskatalog für die Bewertung der Sicherheit von Cloud-Diensten (Cloud Computing Compliance Controls Catalogue, C5) veröffentlicht. Auf Basis anerkannter IT-Sicherheitsstandards (z.B. ISO/IEC 27001) sowie BSI-eigener Erweiterungen, werden darin einheitliche Anforderungen an die Informationssicherheit von Cloud-Dienstleistungen formuliert.
Der C5-Standard und der SecNumCloud-Label-Standard in Frankreich haben sich gegenseitig beeinflusst. Beide Standards sollen in einem gemeinsamen ESCloud-Label vereint und so europaweite Anerkennung erlangen. Der Entwurf stützt sich dabei erheblich auf den C5-Sicherheitsstandard, weshalb wir uns nachfolgend etwas tiefer mit der aktuellen Version C5:2020 beschäftigen – denn diese hilft auch Ihnen bei der Auswahl geeigneter Clouddienstleister! Der Entwurf des EU-Zertifizierungssystems für Cybersicherheit für Cloud-Services (EUCS) der Agentur der Europäischen Union für Cybersicherheit (ENISA) stützt sich erheblich auf den Sicherheitsstandard von C5:2020.
Die C5:2020 wurde im Januar 2020 grundlegend überarbeitet, um auf aktuelle Entwicklungen einzugehen und die Sicherheit noch weiter zu erhöhen. Jedes Sicherheitskriterium enthält Hinweise, ob und gegebenenfalls wie es im Rahmen einer kontinuierlichen Auditierung überprüft werden kann. Im Vergleich zur vorherigen Version gab es folgende, grundlegende Änderungen:
Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste, um produktspezifische Aspekte der Informationssicherheit. Diese sind aus dem European Cybersecurity Act abgeleitet.
Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste, die den Umgang des Cloud-Anbieters mit Ermittlungsanfragen staatlicher Stellen betreffen.
Aktualisierung der Kriterien hinsichtlich neuer Konzepte, z. B. «DevSecOps».
Aufnahme korrespondierender Kriterien, welche aufzeigen, an welchen Stellen Cloud-Kunden eigene Massnahmen entwickeln müssen, um die Sicherheit des Cloud-Dienstes zu gewährleisten.
Aufnahme ergänzender Hinweise und Informationen zum besseren Verständnis der Kriterien sowie zu deren kontinuierlichen Prüfung.
Ergänzung des bisherigen Prüfungsverfahrens um die Möglichkeit einer direkten IT-Prüfung.
Eine detaillierte Aufstellung der Kriterien finden Sie auf der Webseite des BSI.
Die grösste Änderung betrifft sicherlich die Aufnahme der beiden erstgenannten Punkte:
C5 besteht aus drei Teilen: den Sicherheitsanforderungen, den Transparenzkriterien und den Anforderungen an einen belastbaren Nachweis der erledigten Angaben.
Ziel von C5 ist es, eine allgemein anerkannte Baseline für Cloud-Sicherheit zu definieren. Diese Anforderungen wurden in das internationale ISAE-3000-Prüfvorgehen eingebettet, sodass für Cloud-Anbieter die Möglichkeit besteht, sich die Erfüllung der in C5 genannten Anforderungen mittels Prüfung durch Wirtschaftsprüfer attestieren zu lassen. Genau dies hat auch InfoGuard für die Cyber Defence und Operations Center Services gemacht.
Für Sie als Cloud-Nutzer liegt es somit nahe, C5 auch als hilfreiche Orientierung und Grundlage für eigene Steuerungs- und Kontrollmassnahmen einzusetzen. Dies ist beispielsweise dann sinnvoll und notwendig, wenn einer der folgenden Punkte vorliegt:
Darüber hinaus bietet der C5-Anforderungskatalog Hinweise bei der Auswahl (Due Diligence) und Beschaffungskriterien von Cloud-Diensten. Er dient somit als wichtige Orientierungshilfe, zum Beispiel als konkretes Anforderungsdokument bei der Sicherheitskonzeption. Auch wenn der C5 ein Mindestsicherheitsniveau festlegt, entlässt er den Nutzer nicht aus der Verantwortung für seine eigenen Prozesse und Daten – ganz nach dem «shared responsibility model». Allerdings liefert er eine grundlegende und gute Entscheidungshilfe zur Auswahl eines Anbieters.
Neben dem C5 und dem künftigen ESCloud hat sich auch der CSA Cloud Controls Matrix quasi als Standard etabliert und wurde durch die professionellen Hyperscaler angenommen. Hyperscaler Umgebungen sind sich ihrer Exposition bewusst. Der C5-Anforderungskatalog ist jedoch auch auf kleinere Anbieter von Cloud-Services (SaaS, IaaS, PaaS) anwendbar.
Cloud Security hat viele Facetten – beginnend bei der Strategie, der Auswahl geeigneter Anbieter oder der Überprüfung der Sicherheit, um nur einige zu nennen. Vielfach sehen wir, dass viele Cloud-Entscheidungen rein businessgetrieben sind und dadurch nicht selten die Cybersicherheit auf der Strecke bleibt. Wie sieht es bei Ihnen aus? Gerne unterstützen wir Sie beim Aufbau und der Umsetzung einer sicheren Cloudstrategie, damit die Cybersicherheit bei Ihnen nicht zu kurz kommt.
Aktuell sehen wir viele Cybervorfälle im Hyperscaler-Umfeld. Dabei zeigt sich immer wieder, dass viele IT-Administratoren mit der Komplexität der Cloud-Lösungen und Ihren Verantwortlichkeiten überfordert sind. Damit Sie nicht auch zu den zahlreichen Opfern zählen, bieten wir eine dezidierte Hunting Session in Ihrer kompletten Cloud-Umgebung an. Was diese genau beinhaltet und warum Sie jetzt Ihre Cloud-Konfiguration überprüfen sollten, erfahren Sie hier: