IT-Sicherheit Cloud – Microsoft erfüllt Sicherheitsanforderungen C5 des Bundesamtes für Sicherheit in der Informationstechnik
Nur sehr wenige Software-Anbieter verfügen über das C5-Testat und erfüllen damit die Compliance-Kriterien für Cloud Computing des BSI – Bundesamt für Sicherheit in der Informationstechnik. Dieser deutsche Standard gilt in Europa als Vorbild. C5 steht für Cloud, Computing, Compliance, Controls und Catalogue. Sehen Sie sich hierzu die move)fleet® Cloud Vorteile an.
C5 ist inzwischen der führende Cloud-Computing-Standard für die IT-Sicherheit in Deutschland. Die Kriterien des Testats basieren auf dem Anforderungskatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) und bieten Behörden und Unternehmen bei der Nutzung von Cloud-Diensten ein hohes Maß an Sicherheit.
C5 – Cloud Computing Compliance Controls Catalog
2016 erstellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Anforderungskatalog „Cloud Computing Compliance Controls Catalog“ (C5). C5 ist ein geprüfter Standard, der verbindliche Mindestanforderungen für die Cloudsicherheit und die Einführung von Public Cloud-Lösungen für deutsche Regierungsbehörden und Organisationen, die mit der Regierung zusammenarbeiten, festlegt. Der C5 wird auch zunehmend von Unternehmen bzw. im privaten Sektor genutzt.
Ziel des C5-Katalogs ist ein einheitlicher Sicherheitsrahmen für die Zertifizierung von Clouddienstanbietern und die Zusicherung für Kunden, dass ihre Daten sicher verwaltet werden.
C5 basiert auf international anerkannten IT-Sicherheitsstandards wie ISO/IEC 27001:2013, der Cloud Security Alliance Cloud Controls Matrix 3.0.1 und den BSI-eigenen IT-Grundschutzkatalogen. Der Katalog besteht aus 114 Anforderungen in 17 Bereichen – z. B. der Organisation von Informationssicherheit und physischer Sicherheit – mit Sicherheitsanforderungen, die für alle Clouddienstanbieter gelten, und andere Anforderungen für die Verarbeitung streng vertraulicher Daten und für Situationen, die hohe Verfügbarkeit erfordern.
Das BSI legt auch großen Wert auf Transparenz. Als Teil einer Prüfung muss der Cloudanbieter eine detaillierte Systembeschreibung beifügen und Umgebungsparameter wie Gerichtsbarkeit und Datenverarbeitungsstandort, Bereitstellung von Diensten und andere für die Clouddienste ausgestellte Zertifizierungen sowie Informationen über die Offenlegungspflichten des Cloudanbieters gegenüber Behörden offenlegen. Aufgrund der geschaffenen Transparenz wird dem Kunden die Entscheidung erleichtert, ob Clouddienste den gesetzlichen Vorschriften (zum Beispiel im Datenschutz), den eigenen Richtlinien oder auch der Gefährdungslage bezüglich Wirtschaftsspionage entsprechen.
Microsoft und C5 Cloud Computing Compliance Controls Catalog
Microsoft Cloud Services werden mindestens einmal jährlich anhand des Standards SOC 2 (AT Section 101) überprüft. Microsoft Azure, Azure Government und Azure Deutschland unterhält einen kombinierten Bericht (C5, SOC 2 Typ 2, CSA STAR-Bescheinigung) auf der Grundlage der von einem unabhängigen Prüfer durchgeführten Prüfungsbewertung, welche die Einhaltung von C5 nachweist.
Hier finden Sie weitere Informationen zu Technik und Sicherheit.