MENU

Ihr Cloud-Dienst auf Transparenz und IT-Sicherheit geprüft


Sie sind Anbieter eines Cloud-Dienstes und möchten Ihre aktuelle Cloud-Infrastruktur objektiv bewerten lassen? Mit einer Prüfung nach dem Cloud Computing Compliance Controls Catalog, kurz C5, des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten Sie eine transparente Einschätzung. Unter Leitung der Wirtschaftsprüfungsgesellschaft FIDES Treuhand GmbH & Co. KG führen wir entsprechende C5-Prüfungen durch und stellen Ihnen einen aussagekräftigen und umfassenden Prüfbericht aus.
  

IT-Grundschutz Sicheres Cloud Computing: Prüfungen nach BSI C5-Katalog IT-Grundschutz Sicheres Cloud Computing: Prüfungen nach BSI C5-Katalog IT-Grundschutz Sicheres Cloud Computing: Prüfungen nach BSI C5-Katalog IT-Grundschutz Sicheres Cloud Computing: Prüfungen nach BSI C5-Katalog

Ihre Vorteile auf einen Blick

  • Objektive Bewertung Ihrer Cloud-Infrastruktur durch einen unabhängigen Dritten
  • Erhalt eines umfangreichen Berichtes zu den geprüften Steuerungs- und Überwachungsmaßnahmen inklusive Einschätzung von Angemessenheit und Wirksamkeit
  • Transparente Prüfung als Entscheidungsbasis für einen vertrauensvollen Cloud-Anbieter
  • Für Stellen des Bundes: Erbringung eines Nachweises darüber, dass der externe Cloud-Anbieter die Basisanforderungen des C5 angemessen erfüllt

Was spricht für eine C5-Prüfung?

Entscheiden sich Unternehmen für eine Cloud-Lösung und einen damit verbundenen Cloud-Anbieter, müssen sie diesem in Bezug auf die Sicherheit der eigenen Daten ein hohes Maß an Vertrauen entgegenbringen. Eine C5-Prüfung dient dabei als objektiver Nachweis darüber, dass Sie als Anbieter angemessene Sicherheitsmaßnahmen nach C5-Katalog getroffen haben und damit das vom BSI geforderte Mindestmaß an IT-Sicherheit erfüllen. Ergebnis ist ein aussagekräftiger Prüfbericht zu den aufbau- und ablauforganisatorischen Sicherungs- und Überwachungsmaßnahmen und deren Angemessenheit und Wirksamkeit. Auf diese Weise erhalten potentielle Kunden von Anfang an maximale Transparenz in Bezug auf Ihren Dienst durch einen unabhängigen Dritten.

Der BSI C5-Katalog enthält Kriterien zur Beurteilung der Informationssicherheit eines Cloud-Dienstes, die aus verschiedenen nationalen und internationalen Standards abgeleitet sind. Damit vereint er unterschiedliche Mindestanforderungen für ein sicheres Cloud Computing in nur einem Dokument miteinander und hat sich als Sicherheitsstandard in der Cloud-Branche in den letzten Jahren erfolgreich durchgesetzt.

Der Kriterienkatalog liegt aktuell in der Version 2020 vor und umfasst insgesamt 17 Themengebiete. Diese enthalten wiederum verschiedene Basisanforderungen und Zielsetzungen, die der Cloud-Anbieter erfüllen muss. Eine Prüfung nach C5-Katalog kann zur Nutzung von Synergieeffekten mit einer üblichen Prüfung des Wirtschaftsprüfers oder mit einer Prüfung z.B. nach ISO 27001 oder ISO 22301 verbunden werden.


Häufig gestellte Fragen:
 

Welche Themengebiete enthält der C5-Katalog?

Der Katalog C5:2020 beinhaltet 125 Kriterien, die sich in die folgenden 17 Themengebiete einordnen lassen:

  • Organisation der Informationssicherheit (OIS)
  • Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
  • Personal (HR)
  • Asset Management (AM)
  • Physische Sicherheit (PS)
  • Regelbetrieb (OPS)
  • Identitäts- und Berechtigungsmanagement (IDM)
  • Kryptographie und Schlüsselmanagement (CRY)
  • Kommunikationssicherheit (COS)
  • Portabilität und Interoperabilität (PI)
  • Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
  • Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
  • Umgang mit Sicherheitsvorfällen (SIM)
  • Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
  • Compliance (COM)
  • Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
  • Produktsicherheit (PSS)

Welche nationalen und internationalen Standards deckt der C5-Katalog ab?

Die Kriterien des C5 wurden von den folgenden nationalen und internationalen Standards abgeleitet:

  • DIN EN ISO/IEC 27001:2017 – Informationssicherheitsmanagementsysteme
  • DIN ISO/IEC 27002:2016 – IT-Sicherheitsverfahren
  • ISO/IEC 27017:2015 – Security techniques
  • BSI – IT-Grundschutz-Kompendium 2. Edition 2019
  • CSA – Cloud Controls Matrix 3.0.1 (CSA CCM)
  • AICPA – Trust Services Criteria 2017 (TSC)
  • ANSSI – Prestataires de services d’informatique en nuage v. 3.1 (SecNumCloud)
  • IDW RS FAIT 5 – Stellungnahme zur Rechnungslegung: „Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing“, Stand vom 04.November 2015

Was sind die wesentlichen Änderungen des C5:2020?

Die neue Version des C5-Kataloges wurde im Januar 2020 fertiggestellt. Die Aktualisierungen umfassen:

  • zwei neue Themengebiete
    Der C5:2020 wurde um die Bereiche Produktsicherheit (PSS) und Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ) ergänzt.
    ie Produktsicherheit bezieht sich dabei auf die Sicherheit des Cloud-Dienstes selbst und fordert beispielsweise, dass der Cloud-Anbieter Leitfäden zur sicheren Konfiguration des Dienstes bereitstellt. Abgeleitet sind die Anforderungen des neuen Bereiches unter anderem aus dem EU Cybersecurity Act.
    Das Themengebiet Umgang mit Ermittlungsanfragen staatlicher Stellen soll einen angemessenen Umgang mit Ermittlungsanfragen von staatlichen Stellen hinsichtlich einer juristischen Überprüfung gewährleisten.
     
  • die Überarbeitung von Sicherheitskriterien
    Die Sicherheitskriterien des C5:2016 wurden zum Teil grundlegend überarbeitet, um die Qualität dieser weiter zu erhöhen. Zudem gibt es nun zu jedem Kriterium Hinweise dazu, ob –und wenn ja, wie – dieses im Rahmen einer kontinuierlichen Auditierung geprüft werden kann. Darüber hinaus beschreiben neue korrespondierende Kriterien die Schnittstellen zwischen Cloud-Anbieter und Cloud-Kunden, um dem Cloud-Kunden seinen Anteil in Bezug auf die sichere Nutzung eines Cloud-Dienstes bewusst zu machen.
     

  • Ermöglichung einer direkten Prüfung
    Bisher musste ein Cloud-Anbieter vor einer entsprechenden Prüfung eine eigenständig erstellte Systembeschreibung vorlegen. Mit dem C5:2020 ist es dagegen möglich, sich direkt prüfen zu lassen und eine vergleichbare Beschreibung durch einen Prüfer erstellen zu lassen.

Warum wir ein starker Partner für Sie sind

Kompetenz im Doppelpack

Erfahrener Wirtschaftsprüfer trifft IT-Security-Experten. Profitieren Sie vom geballten Know-how der Partnerschaft.

Für Unternehmen jeder Größe

Wir führen sowohl Prüfungen für große, international aufgestellte, als auch für kleinere und mittelgroße Cloud-Anbieter durch.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Sie haben Fragen? Wir helfen gerne!

Gerald Krebs

Global Account Manager

+49 201 8999-411
Fax : +49 201 8999-666

g.krebs@tuvit.de

Alexander Padberg

Sales Manager

+49 201 8999-614
Fax : +49 201 8999-666

a.padberg@tuvit.de

Weitere Leistungen

ISO 27001

Als BSI zertifizierter IT-Sicherheitsdienstleister unterstützt TÜViT Unternehmen und Behörden bei der Einführung und Aufrechterhaltung eines wirksamen Informationssicherheits-Managementsystem.
Weiterlesen

IT-Grundschutz

Mit der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz weisen Unternehmen und Behörden nach, dass das Niveau ihrer Informationssicherheit die Anforderungen des BSI erfüllt und ganzheitlich ausgerichtet ist.
Weiterlesen

Kritische Infrastrukturen (KRITIS)

Alle zwei Jahre müssen KRITIS-Betreiber gemäß §8a des BSI-Gesetzes belegen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Wir bieten Unternehmen unterschiedliche Leistungen der Nachweiserbringung.
Weiterlesen