Bsi Cloud Computing

Cloud Computing von Bsi

Business Intelligence - - Cloud Computing - Anforderungen Katalog Cloud Computing (C5) Das Anforderungsprofil (englischer Titel: Cloud Computing Compliance Controls Catalogue, kurz "C5") wendet sich in erster Linie und vor allem an die professionellen Cloud Service Provider, deren Auditoren und Endkunden von Cloud Service Providern. Dabei wird ermittelt, welche Voraussetzungen die Cloud-Provider erfuellen müssen oder zu welchen Voraussetzungen der Cloud-Provider zumindest verpflichtend sein sollte. Für die ICT-Branche und ihre Kundinnen und Endkunden stellt Cloud Computing einen radikalen Wandel dar und versprechen sowohl Preisvorteile als auch höchste Flexibiltät.

In der Industrie gibt es keinen Mangel an Sicherheitshinweisen, Normen und Nachweisen. Trotz verschiedener Perspektiven auf die Cloud-Security zeigen die Normen auch inhaltlich ein hohes Maß an Einigkeit. Ein allgemeingültiges Basiskonzept für die Security im Cloud Computing gibt es noch nicht. Zulassungen auf der Grundlage dieser Normen sind oft nur Seite an Seite und werden teilweise mit großem Arbeitsaufwand zeitgleich gepflegt.

Daher ist es für Unternehmen oft schwierig zu entscheiden, ob ein Cloud-Service die notwendige Absicherung mitbringt. Durch die Herausgabe des Anforderungskataloges (C5) zur Bewertung der Informationssicherheit von Cloud-Diensten wird aus der Sicht des BSI eine Ausgangsbasis für Cloud-Sicherheit definiert. Es wird ein bewährtes Verifizierungsverfahren angewendet, was für den Cloud-Provider nur einen kleinen zusätzlichen Aufwand darstellt.

Das Verzeichnis ist in 17 Themenbereiche gegliedert (z.B. Gestaltung der Datensicherheit, physikalische Sicherheit). Das BSI verwendet anerkannte Sicherheitsnormen wie ISO/IEC 27001, die Cloud Controls Matrix der Cloud Security Allianz und die Publikationen des BSI und nimmt deren Vorgaben nach Möglichkeit auf. Erscheint eine konkrete Festlegung erforderlich, wurde diese ebenfalls durchgeführt; fehlende Vorgaben aus anderen Normen, wurden neue geschaffen.

Über diese Grundanforderungen hinaus enthält der Produktkatalog noch viele weitere Forderungen, die entweder die Geheimhaltung, die Erreichbarkeit oder beide gleichzeitig betreffen. Neben dem eigentlichen Anforderungenkatalog (C5) wurden die Forderungen auf die oben aufgeführten Normen verwiesen. Mit diesen Informationen erhalten Sie einen raschen Einblick, wo sich die Kataloganforderungen in anderen Normen befinden und ob die Vorgaben über die Normen hinausgehen oder nicht.

Die Informationen über den Datenstandort, die Erbringung von Dienstleistungen, den Standort des Gerichts, die Zertifizierung sowie die Untersuchungs- und Offenlegungspflichten gegenüber Regierungsbehörden werden bereitgestellt und beinhalten eine Systembeschreibung. Die Informationen werden an die Behörden weitergegeben. Durch die so entstandene Offenheit können potenzielle Cloud-Kunden selbst bestimmen, ob rechtliche Regelungen (z.B. Datenschutz), eigene Vorgaben oder die Bedrohung durch Industriespionage die Inanspruchnahme des entsprechenden Cloud-Services angemessen erscheinen lässt.

Dass ein Cloud-Anbieter die Kataloganforderungen erfüllt und die Angaben zur Offenheit stimmen, wird durch einen SOC-2-Bericht belegt. Sie sind bereits bei der Jahresabschlussprüfung vor Ort und ein Audit nach dem Lastenheft (C5) kann mit geringem Arbeitsaufwand erfolgen.

Auch interessant

Mehr zum Thema