Logo von iX

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.699.191 Produkten

Moritz Förster 14

Cloud, aber sicher: C5 des BSI prüft Anbieter mit 114 Anforderungen

Cloud, aber sicher: C5 des BSI prüft Anbieter mit 114 Anforderungen

Immer mehr Unternehmen in Deutschland setzen Cloud-Dienste ein. Das BSI will mit dem C5-Testat Anbietern und Kunden beim Buchen sicherer Dienste helfen. Es prüft 114 technische wie organisatorische Anforderungen.

Auch in Deutschland steigt der Einsatz von Cloud-Anwendungen im Unternehmen: Bereits 65 Prozent der hiesigen Firmen beziehen Dienste aus der Private oder Public Cloud. Wie Barbara Lange im Artikel "Alles geprüft" in der aktuellen iX 8/2017 schreibt, ist für Verantwortliche ein unabhängiges Zertifikat zum Belegen der Informationssicherheit folglich essentiell. Hierfür bietet sich der Cloud Computing Compliance Controls Catalogue, kurz C5, des Bundesamts für Sicherheit in der Informationstechnik (BSI) an.

Anzeige

Ganze 114 Anforderungen finden sich in dem Katalog – und sie sollen bloß ein Mindestmaß an Sicherheit gewährleisten. Als Auditoren kommen Wirtschaftsprüfer wie KPMG oder PwC zum Einsatz, sie muss der Cloud-Provider beauftragen. So will das BSI eine Unabhängigkeit des Zertifikats sichern und gleichzeitig es den Anbietern erleichtern, sich testen zu lassen – denn eine Jahresabschlussprüfung nehmen viele ohnehin vor.

Im Katalog finden sich einige technische Anforderungen. Sie betreffen die Kryptografie, Portabilität und Interoperabilität. Auch zugehörige Software wie ein Management-System für Informationssicherheit (ISMS) muss vorhanden sein und sich an den ISO-Standards der 2700x-Reihe orientieren. Einen Blick werfen die Prüfer ferner auf das Notfallmanagement und weitere Sicherheitsprüfungen.

Weitere Anforderungen betreffen das Unternehmen selbst und sein Personal. So müssen immer die drei Rollen des IT-Leiters, IT-Sicherheitsbeauftragten und des Verantwortlichen für die Behandlung von IT-Sicherheitsvorfällen vorhanden sein. Ihre Rollen muss der Anbieter durch technische Kontrollen trennen.

Hinzu kommen Punkte zu Umfeldparametern wie zum Speichern der Daten und zur Infrastruktur. Zum Ort der Datenverarbeitung und der zuständigen Gerichtsbarkeit gibt es keine Anforderungen im C5-Katalog. Allerdings betrachtet er, inwiefern die Anbieter mit lokalen Behörden kooperieren müssen. Details zum C5, welche anderen Zertifikate es gibt und welche Faktoren die Unternehmen selbst als wichtig erachten, finden Interessierte im Artikel.

Siehe dazu auch:

(fo)
Anzeige

14 Kommentare

Themen:

Anzeige
  1. MDM, MAM oder EMM? Smartphones im Unternehmen verwalten

    MDM, MAM oder EMM? Smartphones im Unternehmen verwalten

    Smartphones sind aus dem Arbeitsalltag nicht mehr wegzudenken. Doch welcher Dienst zum Verwalten der Firmengeräte und BYOD-Flut konzentriert sich auf welche Funktionen? Ein Artikel der aktuellen iX bietet einen Überblick der Anbieter.

  2. BSI setzt Regeln für Cloud-Kunden

    Cloud

    Das Bundesamt für Sicherheit in der Informationstechnik hat Mindestanforderungen an den Einsatz externer Cloud-Dienste veröffentlicht. Für Bundesbehörden sind sie verpflichtend; anderen Organisationen sollen sie als Empfehlung dienen.

  3. Forschungsprojekt Auditor: Zertifizierung für die Datenschutz-Cloud

    Forschungsprojekt Auditor: Zertifizierung für die Datenschutz-Cloud

    Mit dem Projekt Auditor wollen Partner aus Forschung und Wirtschaft eine neue Zertifizierung für Cloud-Dienste entwickeln. Sie soll insbesondere den Vorgaben der 2018 in Kraft tretenden EU-DSGVO genügen.

  4. Frühbucherrabatt sichern: Heise Cloud-Konferenz 2017

    Heise Cloud-Konferenz 2017: Call for Proposals gestartet

    Am 17. Oktober 2017 präsentieren c’t und iX die erste gemeinsame Heise Cloud-Konferenz. Cloud-Anwender, -Experten und Entscheider treffen sich zum Austausch über praktische Erfahrungen mit Private, Hybrid und Public Cloud.

  1. Die neue Basis für Grundschutz-Zertifizierungen

    Die neue Basis für Grundschutz-Zertifizierungen

    Wer ein System zum Management der Informationssicherheit nach ISO27001 aufbauen und leben will, kommt in Deutschland kaum an den IT-Grundschutz-Katalogen des BSI vorbei. Mit der 15. Ergänzungslieferung, die ab dem 1.12. verbindlich wird, halten dort nun auch Windows 8, eingebettete Systeme und die Software-Entwicklung Einzug.

  2. Bildbearbeitung im Browser

    Bildbearbeitung im Browser

    Immer mehr Anwendungen wandern in die Cloud, das gilt auch für Fotoeditoren. Vom Photoshop-Klon über den Lightroom-Nachbau bis hin zu komplett neuen Konzepten ist inzwischen alles im Netz vertreten. Für den Benutzer sind die Online-Dienste sehr komfortabel. Es reicht ein Browser für den Zugriff, um Installation und Updates kümmert sich der Anbieter. Wir haben getestet, wie sich die Online-Bildbearbeitung im harten Praxiseinsatz schlägt.

  3. Daten in der Cloud sicher verschlüsseln

    Wer Daten in die Cloud legt, kann nie sicher sein, dass kein Dritter mitliest. Wichtige Daten sollten separat verschlüsselt werden. Wir zeigen, wie's geht.

  1. Forscher: Autoverkehr für Kommunen dreimal so teuer wie Bus und Bahn

    Forscher: Autoverkehr für Kommunen dreimal so teuer wie Bus und Bahn

    Der Kasseler Verkehrswissenschaftler Carsten Sommer hat errechnet, dass der Autoverkehr in deutschen Großstädten dreimal so viel öffentliche Gelder verschlingt wie kommunale Verkehrssysteme.

  2. Piraten-Sicherheitskonferenz: "Das Internet steht am Scheideweg"

    Internet

    Abseits der Münchner Sicherheitskonferenz luden europäische Piratenparteien zur alternativen Sicherheitskonferenz, um die Widerstandsfähigkeit von technischen und politischen Systemen zu diskutieren.

  3. Orange und Vodafone behandeln ihre Kunden in Afrika schlechter als in Europa

    Orange und Vodafone behandeln ihre Kunden in Afrika schlechter als in Europa

    Orange und Vodafone bieten sowohl in Europa als auch in Afrika Dienste an. Internet Without Borders hat die Angebote verglichen. Das Ergebnis: Afrikanische Kunden müssen mit vielen Nachteilen leben.

  4. SpaceX startet die ersten beiden Test-Satelliten für Starlink

    SpaceX startet So. die ersten beiden Test-Satelliten für Starlink

    Unter dem Namen Starlink will SpaceX ein aus 12.000 Satelliten bestehendes Netzwerk im niedrigen Erdorbit aufbauen. Zwei Test-Satelliten für das System starten am morgigen Sonntag an Bord einer Falcon-9-Rakete.

Anzeige