C5 Testat für sicheres Cloud-Computing gemäß BSI

11.03.2024

C5 Kriterienkatalog des BSI umfasst 17 Kategorien (Domains), die aus Basiskriterien, Zusatzkriterien und ergänzenden Informationen bestehen. Insgesamt werden 127 Anforderungen (Controls) an Unternehmen definiert.
Bild: Clipdealer

C5 Kriterienkatalog des BSI umfasst 17 Kategorien (Domains), die aus Basiskriterien, Zusatzkriterien und ergänzenden Informationen bestehen. Insgesamt werden 127 Anforderungen (Controls) an Unternehmen definiert.
Bild: Clipdealer
C5:2020 (Cloud Computing Compliance Controls Catalogue) ist ein Kriterienkatalog, mit dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anforderungen an ein sicheres und compliance-konformes Cloud-Computing definiert. Anders als Standards wie etwa ISO/IEC 27001 zielt der C5 Kriterienkatalog explizit auf die Sicherheit im Cloud Computing und will bei Cloud-Diensten eine maximale Informationssicherheit für Betreiber und Kunden gleichermaßen herstellen. Ein Testat gemäß dem C5 Kriterienkatalog des BSI darf laut Thinkproject als Indikator dafür gelten, dass ein Anbieter von Cloud-Diensten seine Infrastruktur so gut wie möglich gegen Cyberangriffe schützt.

Die SaaS-basierten Common Data Environments (CDE) von Thinkproject – „CONCLUDE CDE“ und „EPLASS CDE“ – haben eine offizielle C5 Testierung erhalten. Gleichzeitig bedingt dies eine Testierung gemäß dem US-amerikanischen SOC 2 Cloudsicherheits-Standard (System and Organization Controls 2), den das American Institute of Certified Public Accountants (AICPA) definiert hat. „In diesem Zusammenhang ist es der große Vorteil von Kriterienkatalogen wie C5 und SOC 2, dass sie speziell die Sicherheit im Cloud-Computing adressieren. Sie stellen im Cloud-Bereich viel granularere Anforderungen, als es bspw. die ISO 27001 tut“, sagt Dr. Ralf Hundhammer, CTO von Thinkproject. „Man könnte sagen, die C5 Testierung von Nachunternehmern ist für Betreiber von kritischer Infrastruktur unverzichtbar, um überprüfte, höchstmögliche Informationssicherheit zu gewährleisten.“

Der C5 Katalog des BSI umfasst 17 Kategorien (Domains), die aus Basiskriterien, Zusatzkriterien und ergänzenden Informationen bestehen. Insgesamt definiert der C5 Katalog 127 Anforderungen (Controls) über das gesamte Unternehmen, seine Prozesse und sein Personal. So behandelt C5 bspw. Anforderungen hinsichtlich des eingesetzten Personals, die Einhaltung physischer Sicherheit, das Identitäts- und Rechtemanagement, die Kommunikationssicherheit, kryptographische Maßnahmen und Schlüsselmanagement sowie den Umgang mit Sicherheitsvorfällen.