Wie Ihnen «C5:2020» bei der Evaluierung von Cloud-Anbietern hilft

Autor
Reinhold Zurfluh
Veröffentlicht
08. November 2021

Wer seine Daten der Cloud anvertraut, möchte, dass sie dort sicher und rechtskonform gespeichert werden. Deshalb lassen sich viele Cloud-Anbieter anhand des «Cloud Computing Compliance Criteria Catalogue» (kurz C5) des BSI oder nach CSA (Cloud Security Alliance) überprüfen. Dadurch können auch Sie das Sicherheits- und Schutzniveau der Cloud-Dienstleistung einschätzen und vergleichen. Wie Sie mittels C5:2020 einen geeigneten und sicheren Cloud-Anbieter evaluieren können, zeigen wir Ihnen in diesem Beitrag.


Cloud entlässt Unternehmen nicht aus der Verantwortung

Cloud-Services bieten vielversprechende Möglichkeiten, um IT-basierte Geschäftsprozesse flexibel und effizient zu implementieren. Dabei gilt es aber immer auch die Cybersicherheit und Compliance zu berücksichtigen. Unternehmen sind in der Pflicht, diese Risiken umfassend zu bewerten und über den gesamten Nutzungszyklus des Cloud-Dienstes hinweg zu überwachen. Wie beim IT-Outsourcing, stellt der Bezug von Dienstleistungen aus der Cloud eine spezielle Form der IT-Auslagerung dar. Als Cloud-Nutzer sind extern bezogene Cloud-Dienstleistungen als «eigene» Prozesse und Services zu betrachten und unterliegen damit denselben Anforderungen an die IT-Governance und Compliance wie eigene, interne Prozesse und Services.

Wie alles begann und wie es weitergeht

Das BSI – in Übereinstimmung mit der ANSSI (Agence nationale de la sécurité des systèmes d’information) – hat einen Anforderungskatalog für die Bewertung der Sicherheit von Cloud-Diensten (Cloud Computing Compliance Controls Catalogue, C5) veröffentlicht. Auf Basis anerkannter IT-Sicherheitsstandards (z.B. ISO/IEC 27001) sowie BSI-eigener Erweiterungen, werden darin einheitliche Anforderungen an die Informationssicherheit von Cloud-Dienstleistungen formuliert.

Der C5-Standard und der SecNumCloud-Label-Standard in Frankreich haben sich gegenseitig beeinflusst. Beide Standards sollen in einem gemeinsamen ESCloud-Label vereint und so europaweite Anerkennung erlangen. Der Entwurf stützt sich dabei erheblich auf den C5-Sicherheitsstandard, weshalb wir uns nachfolgend etwas tiefer mit der aktuellen Version C5:2020 beschäftigen – denn diese hilft auch Ihnen bei der Auswahl geeigneter Clouddienstleister! Der Entwurf des EU-Zertifizierungssystems für Cybersicherheit für Cloud-Services (EUCS) der Agentur der Europäischen Union für Cybersicherheit (ENISA) stützt sich erheblich auf den Sicherheitsstandard von C5:2020.

C5:2020 – Anpassung der Sicherheitskriterien an aktuelle Trends

Die C5:2020 wurde im Januar 2020 grundlegend überarbeitet, um auf aktuelle Entwicklungen einzugehen und die Sicherheit noch weiter zu erhöhen. Jedes Sicherheitskriterium enthält Hinweise, ob und gegebenenfalls wie es im Rahmen einer kontinuierlichen Auditierung überprüft werden kann. Im Vergleich zur vorherigen Version gab es folgende, grundlegende Änderungen:

  1. Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste, um produktspezifische Aspekte der Informationssicherheit. Diese sind aus dem European Cybersecurity Act abgeleitet.

  2. Erweiterung der Kriterien zur Bereitstellung der Cloud-Dienste, die den Umgang des Cloud-Anbieters mit Ermittlungsanfragen staatlicher Stellen betreffen.

  3. Aktualisierung der Kriterien hinsichtlich neuer Konzepte, z. B. «DevSecOps».

  4. Aufnahme korrespondierender Kriterien, welche aufzeigen, an welchen Stellen Cloud-Kunden eigene Massnahmen entwickeln müssen, um die Sicherheit des Cloud-Dienstes zu gewährleisten.

  5. Aufnahme ergänzender Hinweise und Informationen zum besseren Verständnis der Kriterien sowie zu deren kontinuierlichen Prüfung.

  6. Ergänzung des bisherigen Prüfungsverfahrens um die Möglichkeit einer direkten IT-Prüfung.

Eine detaillierte Aufstellung der Kriterien finden Sie auf der Webseite des BSI.

Zwei neue Bereiche für Sicherheitskriterien in C5:2020

Die grösste Änderung betrifft sicherlich die Aufnahme der beiden erstgenannten Punkte:

    • Der neue Bereich Produktsicherheit fokussiert, anders als die anderen Teile des C5, auf die Sicherheit des Cloud-Dienstes selbst. Dazu müssen Cloud-Provider beispielsweise darlegen, wie aktuelle Informationen zur sicheren Konfiguration der Dienste an ihre Kunden weitergegeben und wie diese über bekannte Schwachstellen des Cloud-Dienstes informiert werden. Ausserdem müssen geeignete Mechanismen zur Fehlerbehandlung und Protokollierung sowie zur Authentisierung und Autorisierung von Benutzern der Cloud-Kunden bereitgestellt werden. Die Anforderungen aus dem Bereich Produktsicherheit sind unter anderem aus dem EU Cybersecurity Act abgeleitet.
    • Der Bereich Ermittlungsanfragen staatlicher Stellen soll einen angemessenen Umgang solcher Anfragen hinsichtlich juristischer Überprüfung gewährleisten. Cloud-Provider werden sich dadurch sicherlich gut überlegen, ob sie den gegenüber ihren Kunden versprochenen Schutz der ihnen anvertrauten Daten zukünftig leichtfertig aufgeben wollen.

Sicherheit, Transparenz und Nachweis als elementare Anforderungen

C5 besteht aus drei Teilen: den Sicherheitsanforderungen, den Transparenzkriterien und den Anforderungen an einen belastbaren Nachweis der erledigten Angaben.

    • Sicherheit: Die Sicherheitsanforderungen von C5 basieren auf gängigen Standards, beispielsweise ISO/IEC 27001, CSA Cloud Controls Matrix oder ANSSI4 Référentiel Secure Cloud, wurden jedoch um Anforderungen des BSI ergänzt. Alle Anforderungen des C5 sind zu erfüllen, sofern sie anwendbar sind. Darüber hinaus gibt es optionale Anforderungen, die ein höheres Niveau an die Vertraulichkeit und die Verfügbarkeit verlangen.
    • Transparenz: Beim C5 muss der Cloud-Anbieter dem Nutzer wichtige Informationen vorlegen, zum Beispiel eine detaillierte Systembeschreibung, alle Unterauftragnehmer, Datenlokalisation und Ermittlungsbefugnisse. Dies sind wichtige Entscheidungsparameter für die Nutzer bei der Auswahl eines Cloud-Anbieters und deshalb der wohl wichtigste Aspekt im C5:2020.
    • Nachweis: Auch beim Nachweis der Erfüllung der Kriterien durch Audits basiert der C5 auf etablierten Standards sowie Methoden und ergänzt diese im Einzelfall. Wirtschaftsprüfer führen Audits nach dem internationalen Standard ISAE 3000 beziehungsweise dessen nationalen Umsetzungen durch. Die Berichte des C5 orientieren sich an SOC-2- oder ISAE-3402-Berichten, die inzwischen ebenfalls weit verbreitet sind. Der C5 fordert hier Typ-2-Berichte, die neben der Angemessenheit der Massnahmen auch deren Wirksamkeit darlegen.

C5 als Orientierungshilfe bei der Evaluation geeigneter Cloud-Anbieter

Ziel von C5 ist es, eine allgemein anerkannte Baseline für Cloud-Sicherheit zu definieren. Diese Anforderungen wurden in das internationale ISAE-3000-Prüfvorgehen eingebettet, sodass für Cloud-Anbieter die Möglichkeit besteht, sich die Erfüllung der in C5 genannten Anforderungen mittels Prüfung durch Wirtschaftsprüfer attestieren zu lassen. Genau dies hat auch InfoGuard für die Cyber Defence und Operations Center Services gemacht.

Für Sie als Cloud-Nutzer liegt es somit nahe, C5 auch als hilfreiche Orientierung und Grundlage für eigene Steuerungs- und Kontrollmassnahmen einzusetzen. Dies ist beispielsweise dann sinnvoll und notwendig, wenn einer der folgenden Punkte vorliegt:

    • Der Cloud-Anbieter verfügt über kein C5-Testat. Zudem werden anderweitige Zertifikate (zum Beispiel ISO/IEC 27001) des Anbieters von Ihnen als nicht ausreichend angesehen.
    • Das vorgelegte C5-Prüftestat reicht aufgrund Ihrer höheren Anforderungen nicht aus.
    • Ihr internes Auditprogramm sieht generell eigene Prüfungen und Kontrollmassnahmen beim Cloud-Anbieter vor. Gründe hierfür können industrie- und branchenspezifische Anforderungen sein.
    • Es liegen weitere regulatorische Anforderungen vor, beispielsweise im Rahmen des Datenschutzes/der Auftragsdatenverarbeitung (ADV). Hier ist es erforderlich, dass Sie sich durch eigene Prüfungen von der Umsetzung bestimmter Massnahmen des Cloud-Anbieters überzeugen.

Darüber hinaus bietet der C5-Anforderungskatalog Hinweise bei der Auswahl (Due Diligence) und Beschaffungskriterien von Cloud-Diensten. Er dient somit als wichtige Orientierungshilfe, zum Beispiel als konkretes Anforderungsdokument bei der Sicherheitskonzeption. Auch wenn der C5 ein Mindestsicherheitsniveau festlegt, entlässt er den Nutzer nicht aus der Verantwortung für seine eigenen Prozesse und Daten – ganz nach dem «shared responsibility model». Allerdings liefert er eine grundlegende und gute Entscheidungshilfe zur Auswahl eines Anbieters.

Neben dem C5 und dem künftigen ESCloud hat sich auch der CSA Cloud Controls Matrix quasi als Standard etabliert und wurde durch die professionellen Hyperscaler angenommen. Hyperscaler Umgebungen sind sich ihrer Exposition bewusst. Der C5-Anforderungskatalog ist jedoch auch auf kleinere Anbieter von Cloud-Services (SaaS, IaaS, PaaS) anwendbar.

Fragen zur Cloud Security?

Cloud Security hat viele Facetten – beginnend bei der Strategie, der Auswahl geeigneter Anbieter oder der Überprüfung der Sicherheit, um nur einige zu nennen. Vielfach sehen wir, dass viele Cloud-Entscheidungen rein businessgetrieben sind und dadurch nicht selten die Cybersicherheit auf der Strecke bleibt. Wie sieht es bei Ihnen aus? Gerne unterstützen wir Sie beim Aufbau und der Umsetzung einer sicheren Cloudstrategie, damit die Cybersicherheit bei Ihnen nicht zu kurz kommt.
Kontaktieren Sie uns!

Für die Überprüfung Ihrer Cloud-Umgebung ist jetzt der richtige Zeitpunkt

Aktuell sehen wir viele Cybervorfälle im Hyperscaler-Umfeld. Dabei zeigt sich immer wieder, dass viele IT-Administratoren mit der Komplexität der Cloud-Lösungen und Ihren Verantwortlichkeiten überfordert sind. Damit Sie nicht auch zu den zahlreichen Opfern zählen, bieten wir eine dezidierte Hunting Session in Ihrer kompletten Cloud-Umgebung an. Was diese genau beinhaltet und warum Sie jetzt Ihre Cloud-Konfiguration überprüfen sollten, erfahren Sie hier:
One-Time Hunting

Artikel teilen