Der in 2016 publizierte Anforderungskatalog „Cloud Computing Compliance Controls Catalogue“, kurz „C5“, definiert eine Basislinie für die Sicherheit von Cloud-Diensten und richtet sich an professionelle Anbieter von Cloud-Diensten, deren Prüfer und Kunden. Somit ist er im Markt mittlerweile ein etablierter Standard zum Nachweis von Sicherheit im Cloud-Computing.
Vor wenigen Tagen stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den überarbeiteten Anforderungskatalog vor. Vor der Veröffentlichung stand ein Entwurf dieses Katalogs zunächst der IT Security Community zur Prüfung und Kommentierung zur Verfügung. Besonders die neu hinzugefügten und überarbeiteten Kriterien wurden so einem Praxistest unterzogen, bevor sie verbindlich eingeführt wurden.
Die Anforderungen referenzieren nach wie vor zu anerkannten Sicherheitsstandards wie ISO/IEC 27001 oder der Cloud Controls Matrix der Cloud Security Alliance. Nachfolgend ein Auszug der relevanten Änderungen:
- Der Themenbereich Produktsicherheit von Cyber-Produkten wurde ergänzt, um die Anforderungen des EU Cyber-Security Acts von 2019 aufzunehmen.
- Es wurden sogenannte Umweltparameter aufgenommen, die unter anderem Auskunft über den Umgang mit Beschlüssen staatlicher Stellen zur Herausgabe von Daten geben. Darunter fallen beispielsweise auch die gesetzlichen Regelungen des amerikanischen CLOUD Acts. Die hierdurch geschaffene Transparenz erlaubt es Kunden zu entscheiden, ob der gewählte Cloud-Anbieter für ihre Anforderungen geeignet ist.
- Kleineren Cloud-Anbietern wurde der Erhalt des C5-Testats mithilfe einer direkten Prüfung erleichtert.
- Eine wichtige Ergänzung betrifft die geteilte Verantwortung für Sicherheit im Cloud Computing. Kunden finden im C5 nun genaue Angaben darüber, wie sie selbst mit Kontrollen und Maßnahmen zu einer sicheren Nutzung des Cloud-Dienstes beitragen können.
