Transparenz und Sicherheit durch BSI-Testat für Cloud-Anbieter

31. März 2017

„Cloud Computing ist ein wesentlicher Baustein der Digitalisierung“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Mit dem Anforderungskatalog für Cloud Computing (C5) hat das BSI nun definiert, welche Mindestparameter ein Cloud-Anbieter erfüllen muss, um eine ausreichende Informationssicherheit anzubieten, damit gesetzliche Vorschriften (wie z. B. Datenschutz) und die eigenen Unternehmensrichtlinien erfüllt werden, oder um einschätzen zu können, wie es um die Gefährdung bezüglich Wirtschaftsspionage durch die Nutzung eines Cloud-Service steht.

Fabasoft besteht die zurzeit wahrscheinlich härteste Cloud-Sicherheitsprüfung der Welt

Fabasoft erhält im März 2017 als erster europäischer Anbieter von Cloud-Services das Testat nach den Anforderungen des Cloud Computing Compliance Controls Catalogue (kurz „C5“) des BSI. Die KPMG Alpen-Treuhand GmbH Wirtschaftsprüfungs- und Steuerberatungsgesellschaft stellte das Testat aus. Klaus Schatz, Geschäftsführer der KPMG Österreich, erklärte hierzu: „Die Heterogenität der Cloud-Dienstleister steigt ständig. Daher ist es für Kunden umso wichtiger, das durch Fabasoft angebotene Sicherheitsversprechen einordnen zu können. C5 liefert den regulatorisch definierten IT-Security-Level, der vergleichbar mit dem um die Cloud Controls erweiterten IT-Grundschutz ist.“

Neue Basislinie für Cloud Security geschaffen

Bis dato existierten eine Vielzahl an Sicherheitsempfehlungen, Standards und Zertifikate. Eine allgemein anerkannte Richtlinie in Bezug auf die Sicherheit von Cloud-Diensten gab es aber nicht. Damit ist es für Unternehmen schwer zu beurteilen, in wie weit angebotene Cloud-Services die nötige Sicherheit bieten.

Im Rahmen der Überprüfung nach dem C5-Anforderungskatalog werden vom BSI sogenannte „Umfeldparameter“ überprüft. Diese geben Auskunft über wichtige Aspekte des Cloud-Services wie z. B. Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen und Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen und enthalten zudem eine Systembeschreibung. Die Berücksichtigung dieser Parameter stellt ein Novum gegenüber anderen Sicherheitsstandards dar.

Die Ergebnisse einer erfolgreichen Prüfung nach den Cloud-Anforderungen des BSI bieten somit potenziellen Cloud-Kunden eine bisher nicht erreichte Transparenz und helfen, das Angebot der ständigen wachsenden Zahl an Cloud-Anbietern zu vergleichen. BSI-Präsident Arne Schönbohm bringt die Bedeutung dieses Testats auf den Punkt: „Das BSI hat mit dem C5 einen IT-Sicherheitsstandard herausgegeben, der als Basislinie für die Cyber-Sicherheit im Cloud-Computing neue Maßstäbe auf dem Markt setzt.“ 

Fabasoft Austria GmbH
Business Unit Executive Cloud Services

Andreas Dangl ist Business Unit Executive Cloud Services bei Fabasoft, einem führenden europäischen Cloud-Anbieter für Business-to-Business-Collaboration „Made in Europe“. Sein aktueller Schwerpunkt ist die durchgängige Digitalisierung von europäischen und global agierenden Unternehmen mit besonderen Compliance-Anforderungen (speziell im Bereich Datensicherheit und Datenschutz), die Nutzen aus dem Einsatz von Cloud-Diensten ziehen wollen, um im internationalen Wettbewerb erfolgreich zu sein.

Tags

Audit
Zertifizierung
Cloud-Anbieter
Sicherheit
Vertrauen
Compliance

Diesem Blog folgen