Logo von iX

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Moritz Förster 14

Cloud, aber sicher: C5 des BSI prüft Anbieter mit 114 Anforderungen

Cloud, aber sicher: C5 des BSI prüft Anbieter mit 114 Anforderungen

Immer mehr Unternehmen in Deutschland setzen Cloud-Dienste ein. Das BSI will mit dem C5-Testat Anbietern und Kunden beim Buchen sicherer Dienste helfen. Es prüft 114 technische wie organisatorische Anforderungen.

Auch in Deutschland steigt der Einsatz von Cloud-Anwendungen im Unternehmen: Bereits 65 Prozent der hiesigen Firmen beziehen Dienste aus der Private oder Public Cloud. Wie Barbara Lange im Artikel "Alles geprüft" in der aktuellen iX 8/2017 schreibt, ist für Verantwortliche ein unabhängiges Zertifikat zum Belegen der Informationssicherheit folglich essentiell. Hierfür bietet sich der Cloud Computing Compliance Controls Catalogue, kurz C5, des Bundesamts für Sicherheit in der Informationstechnik (BSI) an.

Ganze 114 Anforderungen finden sich in dem Katalog – und sie sollen bloß ein Mindestmaß an Sicherheit gewährleisten. Als Auditoren kommen Wirtschaftsprüfer wie KPMG oder PwC zum Einsatz, sie muss der Cloud-Provider beauftragen. So will das BSI eine Unabhängigkeit des Zertifikats sichern und gleichzeitig es den Anbietern erleichtern, sich testen zu lassen – denn eine Jahresabschlussprüfung nehmen viele ohnehin vor.

Im Katalog finden sich einige technische Anforderungen. Sie betreffen die Kryptografie, Portabilität und Interoperabilität. Auch zugehörige Software wie ein Management-System für Informationssicherheit (ISMS) muss vorhanden sein und sich an den ISO-Standards der 2700x-Reihe orientieren. Einen Blick werfen die Prüfer ferner auf das Notfallmanagement und weitere Sicherheitsprüfungen.

Weitere Anforderungen betreffen das Unternehmen selbst und sein Personal. So müssen immer die drei Rollen des IT-Leiters, IT-Sicherheitsbeauftragten und des Verantwortlichen für die Behandlung von IT-Sicherheitsvorfällen vorhanden sein. Ihre Rollen muss der Anbieter durch technische Kontrollen trennen.

Hinzu kommen Punkte zu Umfeldparametern wie zum Speichern der Daten und zur Infrastruktur. Zum Ort der Datenverarbeitung und der zuständigen Gerichtsbarkeit gibt es keine Anforderungen im C5-Katalog. Allerdings betrachtet er, inwiefern die Anbieter mit lokalen Behörden kooperieren müssen. Details zum C5, welche anderen Zertifikate es gibt und welche Faktoren die Unternehmen selbst als wichtig erachten, finden Interessierte im Artikel.

Siehe dazu auch:

(fo)

14 Kommentare

Themen:

Anzeige
  1. MDM, MAM oder EMM? Smartphones im Unternehmen verwalten

    MDM, MAM oder EMM? Smartphones im Unternehmen verwalten

    Smartphones sind aus dem Arbeitsalltag nicht mehr wegzudenken. Doch welcher Dienst zum Verwalten der Firmengeräte und BYOD-Flut konzentriert sich auf welche Funktionen? Ein Artikel der aktuellen iX bietet einen Überblick der Anbieter.

  2. BSI setzt Regeln für Cloud-Kunden

    Cloud

    Das Bundesamt für Sicherheit in der Informationstechnik hat Mindestanforderungen an den Einsatz externer Cloud-Dienste veröffentlicht. Für Bundesbehörden sind sie verpflichtend; anderen Organisationen sollen sie als Empfehlung dienen.

  3. Frühbucherrabatt sichern: Heise Cloud-Konferenz 2017

    Heise Cloud-Konferenz 2017: Call for Proposals gestartet

    Am 17. Oktober 2017 präsentieren c’t und iX die erste gemeinsame Heise Cloud-Konferenz. Cloud-Anwender, -Experten und Entscheider treffen sich zum Austausch über praktische Erfahrungen mit Private, Hybrid und Public Cloud.

  4. Backend as a Service: Dienste für Apps aus der Cloud

    Backend as a Service: Dienste für Apps aus der Cloud

    Viele Dienste für Anwendungen auf dem Smartphone und Tablet können App-Entwickler inzwischen aus der Cloud beziehen. Trotz Konsolidierung gibt es noch immer einige Anbieter, die sich in Hinblick auf ihre gebotenen Funktionen deutlich unterscheiden.

  1. Die neue Basis für Grundschutz-Zertifizierungen

    Die neue Basis für Grundschutz-Zertifizierungen

    Wer ein System zum Management der Informationssicherheit nach ISO27001 aufbauen und leben will, kommt in Deutschland kaum an den IT-Grundschutz-Katalogen des BSI vorbei. Mit der 15. Ergänzungslieferung, die ab dem 1.12. verbindlich wird, halten dort nun auch Windows 8, eingebettete Systeme und die Software-Entwicklung Einzug.

  2. IT-Sicherheit und Datenschutz in IoT-Projekten umsetzen

    Der Security Engineering Lifecycle (SEL) ist von der ersten Produktidee bis zum Ende des Produkts mehrfach zu durchlaufen, um das Sicherheitskonzept immer wieder neu gegenüber den sich stetig ändernden Randbedingungen zu prüfen und es gegebenenfalls anzupassen (Abb. 2).

    Ob Medizintechnik, Automobilbranche oder Automatisierung von Wirtschaftsabläufen: De facto sind viele IoT-Daten und -Anwendungen hoch sensitiv und sollten nur für Berechtigte zugänglich sein. Leider ist das in der Realität oft nicht der Fall.

  3. Bildbearbeitung im Browser

    Bildbearbeitung im Browser

    Immer mehr Anwendungen wandern in die Cloud, das gilt auch für Fotoeditoren. Vom Photoshop-Klon über den Lightroom-Nachbau bis hin zu komplett neuen Konzepten ist inzwischen alles im Netz vertreten. Für den Benutzer sind die Online-Dienste sehr komfortabel. Es reicht ein Browser für den Zugriff, um Installation und Updates kümmert sich der Anbieter. Wir haben getestet, wie sich die Online-Bildbearbeitung im harten Praxiseinsatz schlägt.

  1. Sicherheitslücke in HP-Druckern – Firmware-Updates stehen bereit

    Hewlett-Packard-Logo

    Unter Verwendung spezieller Malware können Angreifer aus der Ferne auf Drucker von HP zugreifen und dort unter anderem gerätespezifische Befehle ausführen. Der Hersteller hat Updates bereitgestellt und empfiehlt die umgehende Aktualisierung.

  2. Mini tritt bei der Dakar-Rallye 2018 mit Allrad- und Hinterradantrieb an

    Mini

    Am 6. Januar 2018 startet in Lima die 40. Rallye Dakar. Mini wird die Rallye erstmals mit zwei konzeptionell komplett unterschiedlichen Fahrzeugtypen bestreiten. Zum Allradler kommt ein Buggy mit Hinterradantrieb

Anzeige