Microsoft erfüllt den „Anforderungskatalog Cloud Computing“ (C5) des BSI für mehr als 100 seiner weltweiten Rechenzentren

Bild zeigt eine abstrahierte, vernetzte digitale Wolke vor dunklem Hintergrund

Die nationale Cyber-Sicherheitsbehörde BSI (Bundesamt für Sicherheit in der Informationstechnik) hat einen Anforderungskatalog für professionelle Cloud-Anbieter entwickelt, den so genannten C5 („Cloud Computing Compliance Controls Catalogue“). In diesem Katalog legt das BSI fest, welche Anforderungen Cloud-Anbieter erfüllen müssen und auf welche sie mindestens verpflichtet werden sollten.

Das BSI schließt damit eine Lücke: Zwar mangele es der Branche nicht an Sicherheitsempfehlungen, Standards und Zertifikaten, heißt es bei der Behörde. „Eine allgemein anerkannte Basis-Linie für Sicherheit im Cloud Computing existiert aber noch nicht. Zertifizierungen auf Basis dieser Standards stehen häufig nur nebeneinander und werden zum Teil mit hohem Aufwand gleichzeitig aufrecht erhalten. Deshalb ist es für Kunden oft schwer zu beurteilen, ob ein Cloud-Dienst die nötige Sicherheit bietet.“

Mit dem C5 legt das BSI genau diese Basis-Linie fest und stellt Cloud-Anbietern gleichzeitig mit dem SOC 2-Bericht ein etabliertes Verfahren bereit, mit dem sie den Nachweis erbringen können, die Anforderungen des Katalogs einzuhalten. Bei einer sogenannten SOC-2-Typ-2-Prüfung wird nicht nur das Design von Cloud-Rechenzentren bewertet, sondern es wird für einen bestimmten Berichtszeitraum auch die Wirksamkeit der implementierten Maßnahmen geprüft.

Das Bild zeigt ein Schloss aus LED-Leuchten vor dunklem Hintergrund

Microsoft erfüllt alle Anforderungen für C5

Im Rahmen der letzten Prüfung von Microsoft Azure und Azure Government in mehr als 100 internationalen Microsoft-Rechenzentren, die durch unabhängige Prüfer von Deloitte vorgenommen wurde, wurde die Erfüllung der C5-Anforderungen festgestellt.

Im Rahmen des Testats haben die unabhängigen Deloitte-Prüfer Microsoft auch die Einhaltung der Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA) sowie der Trust-Prinzipien Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit der Service Organization Controls (SOC) bescheinigt. Die CSA ist ein neutraler Dritter, der Cloud-Kunden mit der Cloud Controls Matrix (CCM) Informationen über die Sicherheitsverfahren der Cloud-Anbieter liefert, sodass diese die allgemeinen Sicherheitsrisiken besser einschätzen können. Die geprüften Trust-Prinzipien stimmen mit den bereits seit langem bestehenden Zusagen von Microsoft im Hinblick auf Sicherheit, Datenschutz und Transparenz (Microsoft-Trusted-Cloud-Grundsätze) überein.

Eine Weltkarte, auf der alle Cloud-Rechenzentrumsregionen von Microsoft eingezeichnet sind

Technische Details zu C5

Der C5-Anforderungskatalog basiert laut BSI auf etablierten Standards wie ISO/IEC 27001:2013, CSA CCM 3.01, ANSSI Référentiel secure cloud v. 2.0, AICPA – Trust Service Principles Criteria 2014, IDW ERS FAIT 5 (4.11.2014) und auf den Anforderungen des BSI etwa aus dem IT-Grundschutz (15. EL) sowie den SaaS-Sicherheitsprofilen. Das BSI hat sich für den Katalog nach eigenen Worten davon leiten lassen, bestehende Anforderungen aus den genannten Standards zu übernehmen.

Der C5-Katalog besteht aus insgesamt 114 Anforderungen in 17 Bereichen, darunter an die Organisation von Informationssicherheit und physischer Sicherheit und zusätzlichen Anforderungen für die Verarbeitung streng vertraulicher Daten und für Situationen, die hohe Verfügbarkeit erfordern.

Das BSI legt nach eigenen Worten bei der Beurteilung von Cloud-Anbietern großen Wert auf Transparenz: Im Rahmen einer Prüfung muss der Anbieter daher eine detaillierte Systembeschreibung abgeben und im Vergleich zu anderen Sicherheitsstandards die Umfeldparameter übermitteln, die Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen geben. Diese Transparenz erleichtert möglichen Kunden die Entscheidung, ob Cloud-Dienste den gesetzlichen Vorschriften (zum Beispiel im Datenschutz), den eigenen Richtlinien oder auch der Gefährdungslage bezüglich Wirtschaftsspionage entsprechen.

Weitere Informationen:

 


Ein Beitrag von Ralf Wigand,
National IT Compliance Officer bei Microsoft Deutschland

Das Foto zeigt Ralf Wigang, den National IT Compliance Officer von Microsoft Deutschland

Tags: , , ,

Weitere Infos zu diesem Thema