Wie der Standard Cloud-Anbieter und Kunden schützt: Cloud-Sicherheit mit BSI C5

Hinweis: Dieser Artikel stammt aus der Ausgabe 2/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Im Jahr 2016 hat das BSI erstmals den C5-Standard zur Bewertung der Informationssicherheit von Cloud-Diensten veröffentlicht. Die Kriterien wurden aus bestehenden Standards wie der ISO/IEC 27001 oder der Cloud Controls Matrix abgeleitet. Aufgrund des sich kontinuierlich weiterentwickelnden Cloud-Umfelds hat das BSI im Jahr 2020 eine überarbeitete Version des Kriterienkatalogs herausgegeben, die bis heute die aktuelle Fassung darstellt.

Was ist der BSI-C5-Standard?

Der BSI C5 definiert Informationssicherheit als „Schutz der im Cloud-Dienst verarbeiteten, gespeicherten oder übertragenen Informationen der Kunden des Cloud-Anbieters hinsichtlich der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität.“ [1] Somit zielt der Katalog besonders auf die Sicherheit von Daten der Kunden des jeweiligen Cloud-Dienstes ab. Die Basiskriterien des C5 spiegeln laut BSI ein angemessenes Niveau an IT-Sicherheit wider, welches mindestens durch einen Cloud-Dienst zu erfüllen ist. Cloud-Kunden sollen sich demnach anhand des Kriterienkatalogs ein ausreichendes Bild darüber verschaffen können, ob die von ihnen verarbeiteten Daten innerhalb des Cloud-Dienstes angemessen geschützt sind.

Das interne Kontrollsystem (IKS)

Unter einem dienstleistungsbezogenen internen Kontrollsystem (IKS) versteht der C5 „die von den gesetzlichen Vertretern (Management/Geschäftsführung) des Cloud-Anbieters angewendeten Grundsätze, Verfahren und Maßnahmen, die auf die organisatorische und technische Umsetzung der Entscheidungen des Managements zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Informationssicherheit des Cloud-Dienstes sowie zur Einhaltung der für den Cloud-Anbieter maßgeblichen rechtlichen und sonstigen Vorschriften gerichtet sind.“ [2]

Im Zentrum eines solchen IKS stehen demnach, neben den maßgebenden Richtlinien und definierten Prozessen, die eingerichteten Kontrollen zur Einhaltung der C5-Kriterien. Dabei wird grundsätzlich zwischen präventiven und detektiven Kontrollen unterschieden. Präventive Kontrollen zielen darauf ab, Risiken beziehungsweise Fehler zu vermeiden, wohingegen detektive Kontrollen Fehler aufdecken sollen. Des Weiteren kann die Ausführung einer Kontrolle manuell, automatisiert oder teilautomatisiert erfolgen.

Der BSI C5 unterscheidet außerdem zwischen prozessintegrierten sowie prozessunabhängigen Kontrollen. Prozessintegrierte Maßnahmen sind direkt in die Prozesse des Cloud-Anbieters eingebaut, um die Daten der Kunden angemessen zu schützen. Bei prozessunabhängigen Kontrollen handelt es sich hingegen um Überwachungsmaßnahmen, die nicht in die Arbeitsabläufe integriert sind und deren Durchführung unabhängig von den zu überwachenden Prozessen erfolgt.

Die zentralen Sicherheitsbereiche im Überblick

Der Kriterienkatalog unterteilt sich in 17 Bereiche, die alle einer individuellen Zielsetzung folgen. Tabelle 1 gibt dazu einen Überblick.

Externe Prüfungen und ihre Bedeutung

Cloud-Anbieter können den BSI C5 als Grundlage für die Implementierung von Richtlinien, Verfahren und Maßnahmen zur Bereitstellung ihrer Cloud-Dienste nutzen. Für Kunden ist es jedoch schwierig nachzuvollziehen, ob die Kriterien beim Aufbau des dienstleistungsbezogenen IKS durch den Cloud-Dienst angemessen berücksichtigt und die Kontrollen in einem bestimmten Zeitraum wirksam durchgeführt wurden. Ebenfalls ist es für den Cloud-Dienst unwirtschaftlich, jedem Käufer einzeln eine Auskunft über das dienstleistungsbezogene IKS zu erteilen. Aus Sicht des BSI ist es daher sinnvoll, einen auf einheitlichen Kriterien basierenden Rahmen für die Bewertung von Cloud-Diensten zu schaffen.

Es sieht die Prüfung des dienstleistungsbezogenen IKS auf Einhaltung der Kriterien des C5 durch einen unabhängigen und sachverständigen Prüfer als einzigen geeigneten Nachweis an. Das Bundesamt selbst ist weder an der Prüfungsdurchführung noch an der Berichterstattung beteiligt. Der Wirtschaftsprüfer geht zur Durchführung der Prüfung ein Vertragsverhältnis mit dem jeweiligen Anbieter ein. Cloud-Kunden können beim Dienstanbieter die Berichte des beauftragten Wirtschaftsprüfers anfordern.

Typ-1- und Typ2-Testate

Als Grundlage für die Prüfung sieht der C5 den International Standard on Assurance Engagements (ISAE) 3000 (Revised) „Assurance Engagements Other than Audits or Reviews of Historical Financial Information“ vor. Die Prüfungen können als Angemessenheitsprüfung (Typ 1) oder als Wirksamkeitsprüfung (Typ 2) durchgeführt werden, wobei die Berichterstattung entsprechend als Typ 1 oder Typ 2 ausgestaltet werden kann.

• Berichterstattung vom Typ 1: Der Wirtschaftsprüfer beurteilt mit hinreichender Sicherheit, ob die Kontrollen zum Zeitpunkt der Prüfung angemessen ausgestaltet und eingerichtet sind, um die C5-Kriterien zu erfüllen. Eine Typ-1-Prüfung sollte bei einer Erstprüfung des dienstleistungsbezogenen IKS durchgeführt werden, jedoch nicht mehrmals hintereinander erfolgen.
• Berichterstattung vom Typ 2: Der Wirtschaftsprüfer beurteilt auf der Grundlage einer Angemessenheitsprüfung die operative Wirksamkeit der Kontrollen über einen im Rahmen der Prüfungsplanung festzulegenden Zeitraum. Dieser beträgt typischerweise zwölf Monate, kann jedoch unter bestimmten Voraussetzungen variieren. Das gilt sowohl in Bezug auf eine Verkürzung als auch eine Verlängerung des Prüfungszeitraums.

Ein Prüfungszeitraum von weniger als drei Monaten wird jedoch als nicht repräsentativ und somit nicht zulässig angesehen. Nach Ansicht des BSI ist eine Wirksamkeitsprüfung notwendig, um eine angemessene Aussagekraft hinsichtlich der Eignung des dienstleistungsbezogenen IKS zu erreichen.

Systembeschreibung des Cloud-Anbieters

Gegenstand der Prüfung durch einen unabhängigen Wirtschaftsprüfer ist grundsätzlich die vom Cloud-Anbieter erstellte Systembeschreibung des dienstleistungsbezogenen IKS zur Bereitstellung des Cloud-Dienstes in Bezug auf die C5-Kriterien. Sie dient als Basis für ein Verständnis des Cloud-Dienstes sowie des dienstleistungsbezogenen IKS.

In der Systembeschreibung werden unter anderem allgemeine Angaben, die Beschreibung der Systemkomponenten und die Rahmenbedingungen des Cloud-Dienstes dargestellt. Das Kernstück ist hier die Angabe der Grundsätze, Verfahren und Maßnahmen, einschließlich der dafür eingerichteten Kontrollen zur Bereitstellung (Entwicklung und Betrieb) des Cloud-Dienstes sowie der anwendbaren BSI C5-Kriterien.

Darüber hinaus sind weitere Angaben zum Umgang mit bedeutsamen Vorfällen, zu den angenommenen entsprechenden Kontrollen bei den Kunden des Cloud-Dienstes sowie zu den an Unterauftragnehmer vergebenen oder ausgelagerten Funktionen in Bezug auf die anwendbaren C5-Kriterien zu machen.

Aktuelle Entwicklungen

Durch das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz, DigiG) vom 22. März 2024 wurde § 393 Sozialgesetzbuch (SGB) Fünftes Buch (V) neu gefasst. Dieser bestimmt, dass die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes nur erfolgen darf, wenn ein aktuelles C5-Testat der datenverarbeitenden Stelle im Hinblick auf die C5-Basiskriterien vorliegt. Bis zum 30. Juni 2025 gilt als aktuelles C5-Testat ein C5-Typ1-Testat, während ab dem 1. Juli 2025 ein C5-Typ-2-Testat erforderlich wird.

Fraglich ist hierbei, bei welchen Cloud-Anbietern es sich um eine datenverarbeitende Stelle handelt. Dies lässt sich jedoch zum gegenwärtigen Zeitpunkt nicht abschließend beurteilen, da es aktuell an einer Legaldefinition für die datenverarbeitende Stelle fehlt. In der Praxis werden derzeit sowohl Rechenzentrumsbetreiber als auch Softwareanbieter von vielen Cloud-Kunden als solche Stellen angesehen. Somit fordern viele Cloud-Kunden BSI C5-Testate von ihren Softwareanbietern im Gesundheitsbereich an.

Da die Umsetzungsfristen in der Praxis als sehr kurzfristig wahrgenommen wurden, hat der Gesetzgeber eine C5-Äquivalenz-Verordnung im Referentenentwurf in ein laufendes Verfahren eingebracht. Dieser Entwurf, der bislang nicht verabschiedet wurde, enthält Übergangsvorschriften zur verpflichtenden Erlangung eines BSI-C5- Testats. Allerdings wird auch in der finalen Fassung der C5-Äquivalenz-Verordnung die Anforderung eines BSI-C5-Testats voraussichtlich bestehen bleiben.

Umsetzungstipps für Cloud-Anbieter

In der Praxis hat es sich bewährt, zunächst ein Verständnis der einzelnen Systemkomponenten (physische und virtuelle), welche zur Bereitstellung des Cloud-Dienstes genutzt werden und im Verantwortungsbereich des Cloud-Anbieters liegen, zu entwickeln und von denjenigen Systemkomponenten abzugrenzen, die nicht im Verantwortungsbereich des Cloud-Anbieters liegen. Auf dieser Basis können die initial anwendbaren BSI-C5-Kriterien bestimmt werden.

In einem nächsten Schritt sollten die erforderlichen Richtlinien gemäß dem Kriterium „SP-01 Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen“ identifiziert und aufgebaut werden. Diese stellen eine wichtige Grundlage des dienstleistungsbezogenen IKS hinsichtlich der Grundsätze und Verfahren dar. Basierend auf den Richtlinien und gegebenenfalls weiterführenden Arbeitsanweisungen sind Kontrollen zu identifizieren, welche die Umsetzung der anwendbaren BSI-C5-Kriterien sicherstellen.

Es ist in jedem Fall ratsam, eine Kontrollmatrix aufzubauen, um relevante Kontrollen den anwendbaren BSI-C5-Kriterien zuzuordnen. Die Kontrollen sollten eindeutig beschrieben sein, um eine wirksame Kontrolldurchführung sicherzustellen.

Dazu gehören: Kontrollziel, Kontrollbeschreibung, Klassifizierung (präventiv, detektiv), Ausführung (manuell, automatisiert, teilautomatisiert), Häufigkeit, Verantwortlichkeit, Vorgaben zur Dokumentation der Kontrolldurchführung. Letztlich ist die strukturierte Implementierung und regelmäßige Überprüfung der Richtlinien, Prozesse und Kontrollen zur Erfüllung der C5-Kriterien entscheidend, um einen adäquaten Schutz der im Cloud-Dienst verarbeiteten, gespeicherten und übertragenen Informationen der Cloud-Kunden zu gewährleisten.

Literatur

[1] BSI: Cloud Computing Compliance Criteria Catalogue – C5:2020. Kriterienkatalog Cloud Computing, Bonn: 2020, S. 12.
[2] BSI: Cloud Computing Compliance Criteria Catalogue – C5:2020. Kriterienkatalog Cloud Computing, Bonn: 2020, S. 13.
[3] BSI: Cloud Computing Compliance Criteria Catalogue – C5:2020. Kriterienkatalog Cloud Computing, Bonn: 2020, S. 16–17.