BSI C5 – entdeckt, erklärt
Ihr Cloud-Dienst auf Transparenz und IT-Sicherheit geprüft
Sie sind Anbieter eines Cloud-Dienstes und möchten Ihre aktuelle Cloud-Infrastruktur objektiv bewerten lassen? Mit einer Prüfung nach dem Cloud Computing Compliance Controls Catalog, kurz C5, des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten Sie eine transparente Einschätzung.
Der C5 (Cloud Computing Compliance Controls Catalogue) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk zur Gewährleistung der Sicherheit und Compliance von Cloud-Diensten. Er bietet eine umfassende Sammlung von Sicherheitskontrollen, die Cloud-Anbieter implementieren sollten, um den Datenschutz und die Einhaltung von Sicherheitsstandards zu gewährleisten.
Der C5-Katalog richtet sich insbesondere an Unternehmen, die Cloud-Dienste nutzen oder anbieten, und hilft ihnen, die Sicherheitsanforderungen zu verstehen und umzusetzen. Durch die Anwendung von C5 können Organisationen die Transparenz und Sicherheit ihrer Cloud-Dienste erhöhen und das Vertrauen ihrer Kunden stärken.
Mit dem neuen § 393 „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ im Sozialgesetzbuch (SGB) V erhöht das Bundesministerium für Gesundheit den Schutz sensibler, personenbezogener Sozial- und Gesundheitsdaten.
Krankenkassen und Leistungserbringer sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen solche Daten nur noch dann mit Cloud-basierten Anwendungen verarbeiten, sofern die folgenden Voraussetzungen erfüllt sind:
Dies gilt auch für Einrichtungen, die private Clouds aufgebaut haben und diese selbst nutzen. Dadurch werden auch Organisationen erfasst, die nicht zu den klassischen IT- oder Cloud-Anbietern gehören. Hierzu zählen beispielsweise Forschungseinrichtungen, Pharmaunternehmen oder sonstige Dienstleister, die personenbezogene Gesundheitsdaten in ihrer privaten Cloud speichern und verarbeiten.
Aktuell ist eine neue Verordnung im Referentenentwurf „C5-Äquivalenz-Verordnung“ in Arbeit, der aller Voraussicht nach die Anforderungen erweitert.
Bisher war der BSI C5 Prüfbericht Typ 1 bzw. Typ 2 die optimale Wahl, die BSI C5 Basiskriterien abzudecken (vgl. § 393 Absatz 4 Satz 3 SGB V) und die Sicherheit Cloud-basierter Dienste zu gewährleisten. Um Dopplungen in der Erfüllung der Kriterien zu vermeiden, legt das Bundesministerium für Gesundheit alternative Standards in seiner C5-Gleichwertigkeitsverodnung („Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen“) fest.
Als alternativer Standard zum C5 Typ 1 bzw. Typ 2 Testat gelten
Wenn ein Cloud-Dienst nach einem dieser Standards zertifiziert ist, kann er als sicher im Sinne des Sozialgesetzbuches gelten, vorausgesetzt, bestimmte zusätzliche Anforderungen werden erfüllt.
Maßnahmenplan nach §1 Abs. 2 C5GleichwV: Der Dienst muss einen Plan haben, der zeigt, wie er die Anforderungen des C5-Kriterienkatalogs erfüllt.
Dieser Plan muss mindestens
Der Maßnahmenplan und das bestehende Zertifikat müssen auf Anfrage den Leistungserbringern im Gesundheitswesen sowie den zuständigen Aufsichtsbehörden vorgelegt werden.
C5-Testate beziehen sich immer auf einen bereits vergangenen, abgeschlossenen Zeitraum. Insofern können sie die Gültigkeit nur verlieren, wenn nachweislich (fahrlässig, grob fahrlässig oder absichtlich) falsche Aussagen für den Berichtszeitraum getätigt wurden. Indes ist ein mehrere Jahre altes C5-Testat für das Risikomanagement aktueller Kunden kaum brauchbar. Daher werden C5-Prüfungen in der Regel jährlich wiederholt.
Der C5 richtet sich an Cloud-Kunden, Cloud-Anbieter und deren Prüfer. Der Anbieter hat die Kriterien des C5 umzusetzen und der Prüfer die Konformität nachzuweisen.
Da der Begriff "Cloud" in vielfältiger Weise genutzt wird, kann der C5 auch für IT-Dienstleistungen herangezogen werden, die nicht explizit "Cloud" im Titel führen, aber eine Nähe zu Cloud-Diensten haben. Die grundlegenden Sicherheitsanforderungen an einen Cloud-Dienst sind über den C5 abgedeckt, wobei ein Cloud-Kunde trotzdem prüfen muss, ob die Kriterien auch für den eigenen konkreten Anwendungsfall ausreichend adressiert sind. Somit kann sich ein Cloud-Kunde verstärkt den eigenen individuellen Anforderungen an Informationssicherheit und deren Umsetzung bzw. eigenen Kriterien, die über das Basisniveau des C5 hinausgehen, widmen. Die Kriterien sind branchenübergreifend anwendbar.
Nein, der C5 hat primär die Informationssicherheit und nicht den Datenschutz im Fokus. Nutzt man einen C5-testierten Cloud-Dienst, ist dieser deshalb nicht automatisch datenschutzkonform.
Der C5 nimmt alle Kriterien der ISO/IEC 27001 in den Basis-Kriterien auf. Dies bedeutet, dass ein Cloud-Anbieter, der ISO/IEC 27001 umgesetzt hat, für viele der Kriterien des Katalogs bereits Maßnahmen implementiert hat. Der C5 fordert bei den Basis-Kriterien ein Managementsystem, das sich an ISO/IEC 27001 orientiert.
Der Standard ISO/IEC 27017 "Code of practice for information security controls based on ISO/IEC 27002 for cloud services" erweitert den Standard ISO/IEC 27002 um Cloud-spezifische Umsetzungshinweise. Zusätzlich nimmt er im Anhang noch einige zusätzliche Kriterien mit auf, die sich auch im C5 wiederfinden. Der "code of practice" ist eine gute Referenz für die Umsetzung der Kriterien des C5.
ISO/IEC 27018 "Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors" befasst sich mit dem Schutz personenbezogener Daten im Cloud Computing. Er lehnt sich stark an den europäischen Datenschutz an, besitzt aber keinen normativen Charakter. Da der C5 sich nicht mit dem Datenschutz befasst, kann ISO/IEC 27018 als sehr hilfreiche Ergänzung zum Datenschutz herangezogen werden.
Im C5-Bericht muss kenntlich gemacht werden, über welche Services eines Cloud-Anbieters eine C5-Prüfung erfolgt ist. Da dies nicht zwangsweise die komplette Infrastruktur und alle Dienstleistungen eines Cloud-Anbieters abdeckt, muss vom Cloud-Kunden als erstes sichergestellt werden, dass die von ihm genutzten Services auch von dem C5-Testat abgedeckt werden.
Nein, zur Zeit existiert kein offizielles C5-Logo.
Der BSI C5-Kriterienkatalog enthält 121 Kriterien zur Informationssicherheit von Cloud-Diensten. Diese gliedern sich in 17 Themengebiete, denen jeweils eine Zielsetzung zugewiesen ist, die durch die Kriterien erreicht werden soll. Die Bereiche orientieren sich an der Darstellung der Maßnahmenziele aus ISO/IEC 27001:2013 Anhang A:
Nr. | Bereich | Zielsetzung |
1 | Organisation der Informationssicherheit (OIS) 5.1 auf Seite 37 | Planung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Rahmenwerks zur Informationssicherheit innerhalb der Organisation |
2 | Sicherheitsrichtlinien und Arbeitsanweisungen (SP) 5.2 auf Seite 42 | Bereitstellen von Richtlinien und Anweisungen bzgl. des Sicherheitsanspruchs und zur Unterstützung der geschäftlichen Anforderungen |
3 | Personal (HR) 5.3 auf Seite 45 | Sicherstellen, dass Mitarbeitende ihre Aufgaben verstehen, sich ihrer Verantwortung in Bezug auf Informationssicherheit bewusst sind und die Assets der Organisation bei Änderung der Aufgaben oder Beendigung geschützt werden |
4 | Asset Management (AM) 5.4 auf Seite 49 | Identifizieren der organisationseigenen Assets gewährleisten und ein angemessenes Schutzniveau über deren gesamten Lebenszyklus sicherstellen |
5 | Physische Sicherheit (PS) 5.5 auf Seite 54 | Verhindern von unberechtigtem physischen Zutritt und Schutz vor Diebstahl, Schaden, Verlust und Ausfall des Betriebs |
6 | Regelbetrieb (OPS) 5.6 auf Seite 61 | Sicherstellen eines ordnungsgemäßen Regelbetriebs einschließlich angemessener Maßnahmen für Planung und Überwachung der Kapazität, Schutz vor Schadprogrammen, Protokollierung und Überwachung von Ereignissen sowie den Umgang mit Schwachstellen, Störungen und Fehlern |
7 | Identitäts- und Berechtigungsmanagement (IDM) 5.7 auf Seite 77 | Absichern der Autorisierung und Authentifizierung von Benutzern des Cloud-Anbieters (in der Regel privilegierte Benutzer) zur Verhinderung von unberechtigten Zugriffen |
8 | Kryptographie und Schlüsselmanagement (CRY) 5.8 auf Seite 84 | Sicherstellen eines angemessenen und wirksamen Gebrauchs von Kryptographie zum Schutz der Vertraulichkeit, Authentizität oder Integrität von Informationen |
9 | Kommunikationssicherheit (COS) 5.9 auf Seite 87 | Sicherstellen des Schutzes von Informationen in Netzen und den entsprechenden informationsverarbeitenden Systemen |
10 | Portabilität und Interoperabilität (PI) 5.10 auf Seite 92 | Ermöglichen der Eigenschaft, den Cloud-Dienst über andere Cloud-Dienste oder IT-Systeme der Cloud-Kunden ansprechen zu können, die gespeicherten Daten bei Beendigung des Auftragsverhältnisses zu beziehen und beim Cloud-Anbieter sicher zu löschen |
11 | Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV) 5.11 auf Seite 95 | Sicherstellen der Informationssicherheit im Entwicklungszyklus von Systemkomponenten des Cloud-Dienstes |
12 | Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO) 5.12 auf Seite 101 | Sicherstellen des Schutzes von Informationen, auf die Dienstleister bzw. Lieferanten des Cloud-Anbieters (Subdienstleister) zugreifen können, sowie Überwachung der vereinbarten Leistungen und Sicherheitsanforderungen |
13 | Umgang mit Sicherheitsvorfällen (SIM) 5.13 auf Seite 106 | Gewährleisten eines konsistenten und umfassenden Vorgehens zur Erfassung, Bewertung, Kommunikation und Behandlung von Sicherheitsvorfällen |
14 | Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM) 5.14 auf Seite 110 | Planen, Implementieren, Aufrechterhalten und Testen von Verfahren und Maßnahmen zur Kontinuität des Geschäftsbetriebs und für das Notfallmanagement |
15 | Compliance (COM) 5.15 auf Seite 113 | Vermeiden von Verstößen gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Anforderungen zur Informationssicherheit und Überprüfen der Einhaltung |
16 | Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ) 5.16 auf Seite 116 | Gewährleisten eines angemessenen Umgangs mit Ermittlungsanfragen staatlicher Stellen hinsichtlich juristischer Überprüfung, Information der Cloud-Kunden und Begrenzung des Zugriffs auf oder der Offenlegung von Daten |
17 | Produktsicherheit (PSS) 5.17 auf Seite 118 | Bereitstellen aktueller Informationen zur sicheren Konfiguration und über bekannte Schwachstellen des Cloud-Dienstes für Cloud-Kunden, geeigneter Mechanismen zur Fehlerbehandlung und Protokollierung sowie zur Authentisierung und Autorisierung von Benutzern der Cloud-Kunden |