Mit der zunehmenden Digitalisierung gewinnt die Sicherheit von Cloud-Anbietern immer mehr an Bedeutung. Unternehmen und öffentliche Verwaltungen setzen verstärkt auf Cloud-Technologien, um effizienter zu arbeiten. Doch wie können sich Organisationen sicher sein, dass ihre Cloud-Dienstleister höchste Sicherheitsstandards einhalten? Eine wichtige Orientierungshilfe bietet der Kriterienkatalog C5 des BSI, nach dessen Anforderungen die Fabasoft 4teamwork AG für ihre Solution Fabasoft OneGov GEVER ein Testat erhalten hat. Fabasoft OneGov GEVER ist damit die erste und bislang einzige GEVER-Lösung, die dieses Testat erhalten hat. Die Solution Fabasoft Boards erhielt in diesem Rahmen die Reauditierung. Der zugrunde liegende Audit-Bericht bezieht sich auf einen Beobachtungszeitraum von zwölf Monaten und bietet maximale Transparenz.
Was ist der BSI C5 Kriterienkatalog?
Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) ist ein vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Anforderungskatalog. Das BSI definiert darin Mindestanforderungen an die IT-Sicherheit und Transparenz von Cloud-Anbietern, das C5-Testat dient als vertrauenswürdiger Compliance-Nachweis.
Das BSI hat den Katalog erstmals 2016 veröffentlicht und 2019 überarbeitet, um den aktuellen Bedrohungslagen und technologischen Entwicklungen Rechnung zu tragen. Er richtet sich sowohl an Cloud-Anbieter als auch an Unternehmen, die auf eine sichere Cloud-Struktur angewiesen sind.
Im Unterschied zum Zertifikat, bei dem es sich um einen zeitpunktbezogenen Prüfbericht handelt, basiert ein Testat auf stichprobenartigen Prüfungen innerhalb eines festgelegten Zeitraums.
Was beinhaltet der BSI C5 Kriterienkatalog?
Der Cloud Computing Compliance Criteria Catalogue umfasst 17 Kontrollbereiche mit mehr als 100 Prüfpunkten. Unabhängige Wirtschaftsprüfungsgesellschaften bewerten die Erfüllung dieser Kriterien und nur sie sind befugt, ein Testat auszustellen. Der Prozess der Auditierung und Berichterstattung erfolgt nach dem international eingesetzten und erprobten Standard ISAE 3000 (Revised) „Assurance Engagements Other than Audits or Reviews of Historical Financial Information".
Zu den wichtigsten Aspekten gehören zusammengefasst folgende:
- Informationssicherheit und Risikomanagement – Schutzmassnahmen gegen Bedrohungen und Schwachstellen
- Betriebssicherheit – Überwachung und Steuerung von IT-Prozessen
- Zugriffs- und Identitätsmanagement – Sicherstellung, dass nur berechtigte Personen auf Daten zugreifen können
- Datenverschlüsselung – Schutz sensibler Informationen vor unbefugtem Zugriff
- Incident Management – Massnahmen zur Erkennung und Bewältigung von Sicherheitsvorfällen
- Compliance und Transparenz – Dokumentation und Nachweise zur Erfüllung der Sicherheitsanforderungen
Warum ist das BSI C5-Testat wichtig?
Das C5-Testat erleichtert Verwaltungen und Unternehmen die Auswahl geeigneter Cloud-Services. Besonders für Betreiber kritischer Infrastrukturen und den öffentlichen Sektor ist ein C5-Testat für den Cloud-Anbieter bzw. dessen Cloud-Service essenziell, da sich daraus mehrere Vorteile ergeben: Das Testat weist die Erfüllung hoher Mindeststandards und die Implementation wirksamer Schutzmassnahmen durch den Cloud-Dienstleister nach. Zudem sorgt es für Transparenz, da Kunden Einblicke in die Sicherheitsmechanismen des Anbieters erhalten. Cloud-Dienstleister wiederum profitieren von gestärktem Vertrauen der Kunden und einem Wettbewerbsvorteil, denn sie signalisieren damit, dass sie Sicherheit und Compliance ernst nehmen.
Zahlreiche Standards und Publikationen sind im Testat integriert
Das BSI C5-Testat basiert auf folgenden bestehenden Standards und Publikationen:
ISO-Normen & IT-Sicherheitsstandards:
• DIN EN ISO/IEC 27001:2017 – Informationssicherheitsmanagementsysteme – Anforderungen
• DIN ISO/IEC 27002:2016 – IT-Sicherheitsverfahren – Leitfaden für Informationssicherheits-Massnahmen
• ISO/IEC 27017:2015 – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services
Branchen- und Länderstandards:
• BSI – IT-Grundschutz-Kompendium 2. Edition 2019
• CSA (Cloud Security Alliance, eine Non-Profit-Organisation zur Verbreitung von Sicherheitsstandards im Cloud-Computing) – Cloud Controls Matrix 3.0.1 (CSA CCM)
• AICPA (American Institute of Certified Public Accountants, amerikanischer Berufsverband der Wirtschaftsprüfer) – Trust Services Criteria 2017 (TSC)
• ANSSI (Agence nationale de la sécurité des systèmes d’information, französische Behörde für die Sicherheit von Informationssystemen) – Prestataires de services d’informatique en nuage v. 3.1 (SecNumCloud)
• IDW (Institut der Wirtschaftsprüfer, die Interessenvertretung der wirtschaftsprüfenden Berufsstände in Deutschland) RS FAIT 5 – Stellungnahme zur Rechnungslegung: „Grundsätze ordnungsmässiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschliesslich Cloud Computing“, Stand vom 4. November 2015
Fazit: Mehr Sicherheit, mehr Vertrauen, mehr Zukunft
Das BSI C5-Testat ist ein Qualitätssiegel für hohe Sicherheitsstandards im Cloud-Computing . Cyberbedrohungen nehmen stetig zu und gleichsam auch die regulatorischen Anforderungen. Der Kriterienkatalog bietet Unternehmen und Behörden eine verlässliche Entscheidungsgrundlage für die Auswahl sicherer Cloud-Anbieter.
Besonders für kritische Infrastrukturen, öffentliche Verwaltungen und regulierte Branchen ist das BSI C5-Testat ein essenzieller Compliance-Nachweis für Transparenz und IT-Sicherheit. Sind sowohl der Cloud-Anbieter als auch dessen Rechenzentrum testiert, belegt das eine ganzheitliche Sicherheitsarchitektur – von der physischen Infrastruktur bis zur digitalen Datenverarbeitung.
Mit dem BSI C5-Testat unterstreicht Fabasoft 4teamwork ihr klares Bekenntnis zu höchster Sicherheit, vertrauenswürdigen Cloud-Solutions und stärkt damit das Vertrauen von Kunden und Partnern.
Den detaillierten Audit-Bericht können Sie auf Wunsch anfordern. Bitte melden Sie sich hierzu über unser Kontaktformular.
Erfahren Sie hier mehr über unsere Solutions:
