BSI C5

Was ist BSI C5?

BSI C5 steht für "Cloud Computing Compliance Controls Catalogue" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Deutschland. Es ist ein Kriterienkatalog, der Sicherheitsanforderungen für Cloud-Dienste definiert. Cloud-Dienstleister können sich nach diesem Katalog zertifizieren lassen, um zu zeigen, dass sie bestimmte Sicherheitsstandards erfüllen. Es dient als Orientierung für Unternehmen, die Cloud-Dienste nutzen oder beurteilen möchten.

Für wen ist BSI C5 gedacht?

• Cloud-Dienstleister: Um ihre Sicherheitsmaßnahmen zu zertifizieren und Kunden gegenüber nachzuweisen, dass sie bestimmte Sicherheitsstandards erfüllen.

• Unternehmen und Organisationen: Als Orientierungshilfe, um zu verstehen, welche Sicherheitsanforderungen sie an Cloud-Dienstleister stellen sollten und wie sie diese Anforderungen überprüfen können.

• Auditoren und Berater: Um eine standardisierte Grundlage für die Überprüfung und Bewertung der Sicherheit von Cloud-Diensten zu haben.

• Entscheidungsträger: Um fundierte Entscheidungen über die Nutzung von Cloud-Diensten basierend auf anerkannten Sicherheitsstandards zu treffen.

Wie ist BSI C5 aufgebaut?

Der BSI C5 (Cloud Computing Compliance Controls Catalogue) ist systematisch in verschiedene Bereiche unterteilt, um eine umfassende Bewertung der Sicherheit von Cloud-Diensten zu ermöglichen. Der genaue Aufbau kann sich über die Zeit ändern, da das BSI den Katalog aktualisieren kann, um auf neue Bedrohungen und Technologien zu reagieren.

Übersicht des Aufbaus:

• 1. Organisation von Informationssicherheit: Organisatorische Struktur und Verantwortlichkeiten.

• 2. Personelle Sicherheit: Hintergrundüberprüfungen, Schulungen, Bewusstseinsbildung.

• 3. Asset-Management: Verwaltung und Klassifizierung von Vermögenswerten.

• 4. Zugriffskontrolle: Regelung des Zugriffs auf Daten und Ressourcen.

• 5. Kryptografie: Verwendung von Verschlüsselung und kryptografischen Verfahren.

• 6. Physische und umgebungsbezogene Sicherheit: Physischer Schutz von Einrichtungen.

• 7. Betriebssicherheit: Patch-Management, Malware-Schutz, Vorfallreaktion.

• 8. Kommunikationssicherheit: Sicherung von Kommunikationsnetzwerken und -diensten.

• 9. Systemerwerb, -entwicklung und -wartung: Sichere Softwareentwicklung und Wartung.

• 10. Lieferantenbeziehungen: Sicherheitsanforderungen für Drittanbieter und Lieferanten.

• 11. Management von Informationssicherheitsvorfällen: Reaktion auf Sicherheitsvorfälle.

• 12. Aspekte des Informationssicherheitsmanagements bei Cloud-Diensten: Cloud-spezifische Sicherheitsherausforderungen.

• 13. Compliance: Einhaltung von gesetzlichen und vertraglichen Anforderungen.

Diese Übersicht bietet eine grobe Struktur des BSI C5. Jeder Punkt enthält detaillierte Anforderungen und Kontrollen, die für eine umfassende Bewertung und Zertifizierung notwendig sind.

Grundsätzliches zum BSI C5:

Zweck: Standardisierter Kriterienkatalog für Cloud-Sicherheit, dient als Orientierung und Zertifizierungsbasis.

• 1. Zielgruppe: Cloud-Dienstleister und Nutzer von Cloud-Diensten.

• 2. Freiwilligkeit: Zertifizierung ist meist freiwillig, aber oft gewünscht für Vertrauensbildung.

• 3. Umfassend: Deckt breites Spektrum von Sicherheitsthemen ab.

• 4. International anerkannt: Trotz Fokus auf Deutschland auch global relevant.

• 5. Aktualität: Regelmäßige Updates durch das BSI.

• 6. Transparenz: Schafft Klarheit über Sicherheitsmaßnahmen von Cloud-Dienstleistern.

Der BSI C5 bietet eine strukturierte Herangehensweise an die Cloud-Sicherheit für Anbieter und Nutzer.

Was ist eine Zertifizierung nach dem BSI C5?

Eine Zertifizierung nach dem BSI C5:

• 1. Bestätigung: Zeigt, dass ein Cloud-Dienstleister die im BSI C5 definierten Sicherheitsstandards erfüllt.

• 2. Unabhängige Prüfung: Durchgeführt von einer akkreditierten Stelle.

• 3. Vertrauensbildung: Signalisiert Kunden und Partnern ein hohes Sicherheitsniveau.

• 4. Transparenz: Erlaubt klare Bewertung der Sicherheitsmaßnahmen des Anbieters.

• 5. Aktualität: Erfordert regelmäßige Überprüfungen für die Aufrechterhaltung.

Eine BSI C5-Zertifizierung ist ein Qualitätssiegel für die Sicherheit von Cloud-Diensten.

Wie läuft eine Zertifizierung nach dem BSI C5 ab?

Eine Zertifizierung nach dem BSI C5:

• 1. Vorbereitung: Der Cloud-Dienstleister bereitet sich intern vor, indem er sicherstellt, dass alle im BSI C5 aufgeführten Anforderungen erfüllt sind. Dies kann interne Audits, Schulungen und technische Anpassungen beinhalten.

• 2. Auswahl einer Prüfstelle: Der Cloud-Dienstleister wählt eine akkreditierte und vom BSI anerkannte Prüfstelle aus, die die Zertifizierung durchführt.

• 3. Vor-Ort-Prüfung: Die Prüfstelle führt eine Vor-Ort-Prüfung durch, um die Umsetzung der BSI C5-Anforderungen zu überprüfen. Dies kann Interviews, technische Tests und Dokumentenprüfungen beinhalten.

• 4. Berichterstattung: Nach der Prüfung erstellt die Prüfstelle einen Bericht über ihre Feststellungen. Bei festgestellten Abweichungen muss der Cloud-Dienstleister Korrekturmaßnahmen ergreifen.

• 5. Zertifikatserteilung: Wenn alle Anforderungen erfüllt sind, stellt die Prüfstelle ein Zertifikat aus, das bestätigt, dass der Cloud-Dienstleister den BSI C5-Anforderungen entspricht.

• 6. Überwachung: Um das Zertifikat aufrechtzuerhalten, sind in der Regel regelmäßige Überwachungsaudits erforderlich. Dies stellt sicher, dass der Cloud-Dienstleister weiterhin den Anforderungen entspricht.

• 7. Rezertifizierung: Nach einem bestimmten Zeitraum (z.B. nach drei Jahren) ist eine vollständige Rezertifizierung erforderlich.

Dieser Prozess gewährleistet, dass Cloud-Dienstleister nicht nur die BSI C5-Anforderungen zum Zeitpunkt der Zertifizierung erfüllen, sondern diese auch im Laufe der Zeit aufrechterhalten.

Die Experten der BFMT verfügen über die erforderlichen Qualifikationen und Know-How, um Sie nach dem BSI C5 zertifizieren zu können.