Zum Inhalt springen

BSI C5 – entdeckt, erklärt

BSI C5

Ihr Cloud-Dienst auf Transparenz und IT-Sicherheit geprüft

Sie sind Anbieter eines Cloud-Dienstes und möchten Ihre aktuelle Cloud-Infrastruktur objektiv bewerten lassen? Mit einer Prüfung nach dem Cloud Computing Compliance Controls Catalog, kurz C5, des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten Sie eine transparente Einschätzung.

Was ist der C5-Kriterienkatalog?

Der C5 (Cloud Computing Compliance Controls Catalogue) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk zur Gewährleistung der Sicherheit und Compliance von Cloud-Diensten. Er bietet eine umfassende Sammlung von Sicherheitskontrollen, die Cloud-Anbieter implementieren sollten, um den Datenschutz und die Einhaltung von Sicherheitsstandards zu gewährleisten.

Der C5-Katalog richtet sich insbesondere an Unternehmen, die Cloud-Dienste nutzen oder anbieten, und hilft ihnen, die Sicherheitsanforderungen zu verstehen und umzusetzen. Durch die Anwendung von C5 können Organisationen die Transparenz und Sicherheit ihrer Cloud-Dienste erhöhen und das Vertrauen ihrer Kunden stärken.

Mehr über den C5-Kriterienkatalog erfahren

Cloud-spezifische Regelungen im Gesundheitswesen

Mit dem neuen § 393 „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ im Sozialgesetzbuch (SGB) V erhöht das Bundesministerium für Gesundheit den Schutz sensibler, personenbezogener Sozial- und Gesundheitsdaten.

Krankenkassen und Leistungserbringer sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen solche Daten nur noch dann mit Cloud-basierten Anwendungen verarbeiten, sofern die folgenden Voraussetzungen erfüllt sind:

  • Der Anbieter des Cloud-basierten Dienstes verfügt über einen BSI C5 Prüfbericht Typ 1 bzw. Typ 2, der die BSI C5 Basiskriterien abdeckt.
  • Die Einrichtung, die den Cloud-Dienst nutzt, hat:
    angemessene und dem Stand der Technik entsprechende, technische und organisatorische Maßnahmen zur Absicherung der Cloud-Nutzung ergriffen,
    die vom Cloud-Anbieter im BSI C5 Prüfbericht formulierten Endnutzer-Kontrollen umgesetzt.

Dies gilt auch für Einrichtungen, die private Clouds aufgebaut haben und diese selbst nutzen. Dadurch werden auch Organisationen erfasst, die nicht zu den klassischen IT- oder Cloud-Anbietern gehören. Hierzu zählen beispielsweise Forschungseinrichtungen, Pharmaunternehmen oder sonstige Dienstleister, die personenbezogene Gesundheitsdaten in ihrer privaten Cloud speichern und verarbeiten.

Aktuell ist eine neue Verordnung im Referentenentwurf „C5-Äquivalenz-Verordnung“ in Arbeit, der aller Voraussicht nach die Anforderungen erweitert.

Zum Referentenentwurf
C5GleichwV

Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard

Alternative Standards

Bisher war der BSI C5 Prüfbericht Typ 1 bzw. Typ 2 die optimale Wahl, die BSI C5 Basiskriterien abzudecken (vgl. § 393 Absatz 4 Satz 3 SGB V) und die Sicherheit Cloud-basierter Dienste zu gewährleisten. Um Dopplungen in der Erfüllung der Kriterien zu vermeiden, legt das Bundesministerium für Gesundheit alternative Standards in seiner C5-Gleichwertigkeitsverodnung („Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen“) fest.

Die C5GleichwV beinhaltet folgende Kriterien

Als alternativer Standard zum C5 Typ 1 bzw. Typ 2 Testat gelten

Wenn ein Cloud-Dienst nach einem dieser Standards zertifiziert ist, kann er als sicher im Sinne des Sozialgesetzbuches gelten, vorausgesetzt, bestimmte zusätzliche Anforderungen werden erfüllt.

Zusätzlichen Voraussetzungen zu den alternativen Standards

Maßnahmenplan nach §1 Abs. 2 C5GleichwV: Der Dienst muss einen Plan haben, der zeigt, wie er die Anforderungen des C5-Kriterienkatalogs erfüllt.

Dieser Plan muss mindestens

  • dokumentieren, welche Sicherheitsanforderungen des C5-Katalogs nicht durch den bestehenden Standard abgedeckt sind.
  • erklären, welche technischen und organisatorischen Maßnahmen ergriffen werden, um diese nicht abgedeckten Lücken zu schließen.
  • eine Meilensteinplanung enthalten, die sicherstellt, dass alle Maßnahmen zur Schließung der Lücken innerhalb von 12 Monaten ab der Erstellung der Meilensteinplanung umgesetzt werden.
  • eine Dokumentation von Maßnahmen zur Erlangung eines C5-Typ1-Testats innerhalb von 18 Monaten ab der Erstellung der Meilensteinplanung und zur Erlangung eines C5-Typ2-Testats innerhalb von 24 Monaten ab der Erstellung der Meilensteinplanung beinhalten.

Vorlagepflicht

Der Maßnahmenplan und das bestehende Zertifikat müssen auf Anfrage den Leistungserbringern im Gesundheitswesen sowie den zuständigen Aufsichtsbehörden vorgelegt werden.

Zum Bundesgesetzblatt

Besonderheiten des BSI C5 Kriterienkatalogs

  • Ist ein vom BSI entwickeltes Rahmenwerk zur Gewährleistung der Sicherheit und Compliance von Cloud-Diensten
  • Unterstützt die systematische Verbesserung der IT-Sicherheit Ihres Cloud-Dienstes
  • Hilft dabei, potenzielle Sicherheitslücken sowie Risiken frühzeitig aufzudecken
  • Bietet Kund:innen eine fundierte Entscheidungsbasis für die Wahl eines Cloud-Anbieters

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie


TÜV NORD IT Secure Communication I Berlin
Ziel erreicht?

Wir prüfen das


TÜV Informationstechnik I Essen

Häufig gestellte Fragen (FAQ)

Was Sie über BSI C5 wissen müssen

C5-Testate beziehen sich immer auf einen bereits vergangenen, abgeschlossenen Zeitraum. Insofern können sie die Gültigkeit nur verlieren, wenn nachweislich (fahrlässig, grob fahrlässig oder absichtlich) falsche Aussagen für den Berichtszeitraum getätigt wurden. Indes ist ein mehrere Jahre altes C5-Testat für das Risikomanagement aktueller Kunden kaum brauchbar. Daher werden C5-Prüfungen in der Regel jährlich wiederholt.

Der C5 richtet sich an Cloud-Kunden, Cloud-Anbieter und deren Prüfer. Der Anbieter hat die Kriterien des C5 umzusetzen und der Prüfer die Konformität nachzuweisen.

Da der Begriff "Cloud" in vielfältiger Weise genutzt wird, kann der C5 auch für IT-Dienstleistungen herangezogen werden, die nicht explizit "Cloud" im Titel führen, aber eine Nähe zu Cloud-Diensten haben. Die grundlegenden Sicherheitsanforderungen an einen Cloud-Dienst sind über den C5 abgedeckt, wobei ein Cloud-Kunde trotzdem prüfen muss, ob die Kriterien auch für den eigenen konkreten Anwendungsfall ausreichend adressiert sind. Somit kann sich ein Cloud-Kunde verstärkt den eigenen individuellen Anforderungen an Informationssicherheit und deren Umsetzung bzw. eigenen Kriterien, die über das Basisniveau des C5 hinausgehen, widmen. Die Kriterien sind branchenübergreifend anwendbar.

Nein, der C5 hat primär die Informationssicherheit und nicht den Datenschutz im Fokus. Nutzt man einen C5-testierten Cloud-Dienst, ist dieser deshalb nicht automatisch datenschutzkonform.

Der C5 nimmt alle Kriterien der ISO/IEC 27001 in den Basis-Kriterien auf. Dies bedeutet, dass ein Cloud-Anbieter, der ISO/IEC 27001 umgesetzt hat, für viele der Kriterien des Katalogs bereits Maßnahmen implementiert hat. Der C5 fordert bei den Basis-Kriterien ein Managementsystem, das sich an ISO/IEC 27001 orientiert.

Der Standard ISO/IEC 27017 "Code of practice for information security controls based on ISO/IEC 27002 for cloud services" erweitert den Standard ISO/IEC 27002 um Cloud-spezifische Umsetzungshinweise. Zusätzlich nimmt er im Anhang noch einige zusätzliche Kriterien mit auf, die sich auch im C5 wiederfinden. Der "code of practice" ist eine gute Referenz für die Umsetzung der Kriterien des C5.

ISO/IEC 27018 "Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors" befasst sich mit dem Schutz personenbezogener Daten im Cloud Computing. Er lehnt sich stark an den europäischen Datenschutz an, besitzt aber keinen normativen Charakter. Da der C5 sich nicht mit dem Datenschutz befasst, kann ISO/IEC 27018 als sehr hilfreiche Ergänzung zum Datenschutz herangezogen werden.

Im C5-Bericht muss kenntlich gemacht werden, über welche Services eines Cloud-Anbieters eine C5-Prüfung erfolgt ist. Da dies nicht zwangsweise die komplette Infrastruktur und alle Dienstleistungen eines Cloud-Anbieters abdeckt, muss vom Cloud-Kunden als erstes sichergestellt werden, dass die von ihm genutzten Services auch von dem C5-Testat abgedeckt werden.

Nein, zur Zeit existiert kein offizielles C5-Logo.

Der BSI C5-Kriterienkatalog enthält 121 Kriterien zur Informationssicherheit von Cloud-Diensten. Diese gliedern sich in 17 Themengebiete, denen jeweils eine Zielsetzung zugewiesen ist, die durch die Kriterien erreicht werden soll. Die Bereiche orientieren sich an der Darstellung der Maßnahmenziele aus ISO/IEC 27001:2013 Anhang A:

Nr.BereichZielsetzung
1

Organisation der Informationssicherheit (OIS)

5.1 auf Seite 37

Planung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Rahmenwerks zur Informationssicherheit innerhalb der Organisation
2

Sicherheitsrichtlinien und Arbeitsanweisungen (SP)

5.2 auf Seite 42

Bereitstellen von Richtlinien und Anweisungen bzgl. des Sicherheitsanspruchs und zur Unterstützung der geschäftlichen Anforderungen
3

Personal (HR)

5.3 auf Seite 45

Sicherstellen, dass Mitarbeitende ihre Aufgaben verstehen, sich ihrer Verantwortung in Bezug auf Informationssicherheit bewusst sind und die Assets der Organisation bei Änderung der Aufgaben oder Beendigung geschützt werden
4

Asset Management (AM)

5.4 auf Seite 49

Identifizieren der organisationseigenen Assets gewährleisten und ein angemessenes Schutzniveau über deren gesamten Lebenszyklus sicherstellen
5

Physische Sicherheit (PS)

5.5 auf Seite 54

Verhindern von unberechtigtem physischen Zutritt und Schutz vor Diebstahl, Schaden, Verlust und Ausfall des Betriebs
6

Regelbetrieb (OPS)

5.6 auf Seite 61

Sicherstellen eines ordnungsgemäßen Regelbetriebs einschließlich angemessener Maßnahmen für Planung und Überwachung der Kapazität, Schutz vor Schadprogrammen, Protokollierung und Überwachung von Ereignissen sowie den Umgang mit Schwachstellen, Störungen und Fehlern
7

Identitäts- und Berechtigungsmanagement (IDM)

5.7 auf Seite 77

Absichern der Autorisierung und Authentifizierung von Benutzern des Cloud-Anbieters (in der Regel privilegierte Benutzer) zur Verhinderung von unberechtigten Zugriffen
8

Kryptographie und Schlüsselmanagement (CRY)

5.8 auf Seite 84

Sicherstellen eines angemessenen und wirksamen Gebrauchs von Kryptographie zum Schutz der Vertraulichkeit, Authentizität oder Integrität von Informationen
9

Kommunikationssicherheit (COS)

5.9 auf Seite 87

Sicherstellen des Schutzes von Informationen in Netzen und den entsprechenden informationsverarbeitenden Systemen
10

Portabilität und Interoperabilität (PI)

5.10 auf Seite 92

Ermöglichen der Eigenschaft, den Cloud-Dienst über andere Cloud-Dienste oder IT-Systeme der Cloud-Kunden ansprechen zu können, die gespeicherten Daten bei Beendigung des Auftragsverhältnisses zu beziehen und beim Cloud-Anbieter sicher zu löschen
11

Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)

5.11 auf Seite 95

Sicherstellen der Informationssicherheit im Entwicklungszyklus von Systemkomponenten des Cloud-Dienstes
12

Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)

5.12 auf Seite 101

Sicherstellen des Schutzes von Informationen, auf die Dienstleister bzw. Lieferanten des Cloud-Anbieters (Subdienstleister) zugreifen können, sowie Überwachung der vereinbarten Leistungen und Sicherheitsanforderungen
13

Umgang mit Sicherheitsvorfällen (SIM)

5.13 auf Seite 106

Gewährleisten eines konsistenten und umfassenden Vorgehens zur Erfassung, Bewertung, Kommunikation und Behandlung von Sicherheitsvorfällen
14

Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)

5.14 auf Seite 110

Planen, Implementieren, Aufrechterhalten und Testen von Verfahren und Maßnahmen zur Kontinuität des Geschäftsbetriebs und für das Notfallmanagement
15

Compliance (COM)

5.15 auf Seite 113

Vermeiden von Verstößen gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Anforderungen zur Informationssicherheit und Überprüfen der Einhaltung
16

Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)

5.16 auf Seite 116

Gewährleisten eines angemessenen Umgangs mit Ermittlungsanfragen staatlicher Stellen hinsichtlich juristischer Überprüfung, Information der Cloud-Kunden und Begrenzung des Zugriffs auf oder der Offenlegung von Daten
17

Produktsicherheit (PSS)

5.17 auf Seite 118

Bereitstellen aktueller Informationen zur sicheren Konfiguration und über bekannte Schwachstellen des Cloud-Dienstes für Cloud-Kunden, geeigneter Mechanismen zur Fehlerbehandlung und Protokollierung sowie zur Authentisierung und Autorisierung von Benutzern der Cloud-Kunden