17 September, 2018
Beim Einsatz von Cloud-Diensten kommt es auch auf die Compliance an. Für Nutzer ist es jedoch oftmals eine Herausforderung, enstprechende Bestätigungen einzuschätzen. Anbieter hingegen sind gefordert, die für ihre Kunden relevanten Anforderungen zu identifizieren sowie entsprechende Bestätigungen einzuholen. Daher hat PwC im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) den Anforderungskatalog Cloud Computing (C5) entwickelt.
Cloud Computing ist fester Bestandteil moderner IT-Infrastrukturen. So unterschiedlich das Angebot an Cloud-Diensten heute jedoch ist, so vielfältig sind auch die entsprechenden Zertifizierungen und Gütesiegel, über die Cloud-Anbieter verfügen. Das liegt zum einen daran, dass diese das Thema Informationssicherheit aus verschiedenen Blickwinkeln betrachten und folglich unterschiedliche Schwerpunkte haben. Zum anderen sind Cloud-spezifische Prüfschemen – anders als solche, die auf konventionelle IT ausgerichtet sind – trotz des offensichtlichen Bedarfes, noch immer weit weniger etabliert.
Das macht es nicht nur für Nutzer zu einer Herausforderung, den Überblick zu behalten. Auch für Anbieter ist es oft schwierig, die für ihre Kunden relevanten Anforderungen zu verstehen und die entsprechend erforderlichen Compliance-Bestätigungen zu identifizieren. Zudem müssen diese simultan aufrechterhalten und dementsprechend regelmäßig aktualisiert werden. Dies führt oft dazu, dass wichtige Themenbereiche in verschiedenen Audits unnötigerweise mehrfach geprüft werden, da Prüfschemen inhaltliche Überschneidungen aufweisen.
Das BSI als nationale Cyber-Sicherheitsbehörde kennt diese Situation bereits seit längerer Zeit. Für Cloud-nutzende Behörden und Unternehmen wollte das BSI daher ein Mindestniveau für Informationssicherheit definieren, das sich Cloud-Anbieter von einem unabhängigen Dritten bestätigen lassen können. Daher hat das BSI im Jahr 2015 PwC damit beauftragt, einen Cloud-spezifischen Anforderungskatalog zu entwickeln. Dieser sollte die zu Recht anspruchsvollen Erwartungen der Cloud-Nutzer sowie des BSI hinsichtlich Informationssicherheit und Transparenz widerspiegeln, während er für die Cloud-Anbieter mit angemessenem Aufwand umsetzbar ist.
Wichtig war dem BSI, dass kein neues Prüfschema entsteht – vielmehr sollten nur dort, wo unbedingt erforderlich, vorhandene Anforderungen konkretisiert oder eigene Anforderungen ergänzt werden. Der BSI C5 berücksichtigt dabei die Belange von Nutzern sowie Anbietern und bringt deren bestehenden, informellen Konsens bezüglich Informationssicherheit in der Cloud auf den Punkt, um so langfristig die Transparenz und Klarheit zu verbessern.
„Sowohl bei Anbietern als auch bei Nutzern sehen wir ein sehr ähnliches Verständnis dessen, was Informationssicherheit in der Cloud ausmacht. Der BSI C5 bildet genau diese Schnittmenge ab und ermöglicht es Cloud-Anbietern, ihren Kunden die erforderliche Transparenz zu demonstrieren.“
Der BSI C5 basiert auf etablierten Prüfschemen, Richtlinien und Best Practices. Dies ist vor allem für Cloud-Anbieter vorteilhaft, die sich bereits nach einem oder mehreren dieser Prüfschemen prüfen lassen oder dies planen. Sie können Audits zusammenfassen und den erforderlichen Gesamtaufwand reduzieren. Zudem zeichnet den BSI C5 aus, dass die entsprechende Prüfung durch Wirtschaftsprüfer durchgeführt wird. Daher gelten für eine BSI C5-Prüfung die gleichen hohen Anforderungen wie für eine Jahresabschlussprüfung, sodass Prüfaussagen, die im BSI C5 getroffen werden, in höchstem Maß verlässlich sind.
Bei der Entwicklung des BSI C5 haben das BSI und PwC, wann immer möglich, auf Anforderungen aus existierenden Katalogen und Best Practices zurückgegriffen. Dies ermöglicht es Cloud-Anbietern, mehrere Compliance-Audits zusammenzufassen und den erforderlichen Gesamtaufwand reduzieren: Beispielsweise lassen sich Audits nach SOC 2 und BSI C5 so planen, dass Prüfungsergebnisse für beide Prüfschemen verwendet werden können.
Der BSI C5 basiert im Wesentlichen auf den folgenden Prüfschemen, Richtlinien und Best Practices:
|
|
Weitere Transparenz stellt der BSI C5 mit den Umfeldparametern her. Diese gibt es in dieser Form nur im BSI C5 und sie erfordern, dass ein entsprechender Prüfbericht – neben einer umfassenden Systembeschreibung – weitere Informationen zu unter anderem folgenden Aspekten enthält:
Diese Transparenz hilft dem Cloud-Nutzer, zu entscheiden, ob seine Anforderungen hinsichtlich dieser Aspekte durch den Cloud-Anbieter erfüllt werden.
Der BSI C5 gliedert sich in 17 Anforderungsbereiche, die insgesamt 114 Basis-Anforderungen enthalten. Zusätzlich sind zu 52 der Basis-Anforderungen optionale Anforderungen definiert, die ein höherwertiges Sicherheitsniveau definieren. Cloud-Anbieter sind gefordert, diese Anforderungen durch angemessene technische und organisatorische Maßnahmen, sogenannte Kontrollen, abzudecken. Prüfungen nach BSI C5 richten sich daher primär auf das eingerichtete Kontrollsystem sowie die entsprechenden Prozesse.
BSI C5-Anforderungsbereiche
|
|
Wir haben umfangreiche Erfahrung mit Compliance-Prüfungen im Cloud-Umfeld und haben uns auf Prüfungen nach BSI C5 sowie SOC 1 und SOC 2 spezialisiert. Entsprechende Projekte führen wir sowohl für große, international aufgestellte als auch kleinere und mittelgroße Cloud-Anbieter durch. Während bei größeren Providern meist die mehrdimensional integrierten Compliance-Programme im Vordergrund stehen, unterstützen wir kleinere und mittelgroße Anbieter dabei, den Reifegrad (Readiness) ihres Kontrollsystems beispielsweise hinsichtlich BSI C5 zu bestimmen und das entsprechende Prüfungsprojekt aufzusetzen.
Insbesondere bei umfangreichen Compliance-Programmen legen wir größten Wert darauf, die Kontrollsysteme tiefgehend zu analysieren, um alle relevanten Zusammenhänge zu verstehen. Das ermöglicht uns beispielsweise, Überlagerungen zwischen Control Sets einzelner Cloud-Lösungen transparent zu machen und diese effizienzsteigernd in unsere Prüfprojekte einzubeziehen. Dies ist insbesondere vorteilhaft, wenn wir Synergien realisieren können, die sich aus dem Kombinieren der jeweils lokal durchgeführten Prüfungen für unterschiedliche Prüfschemen, beispielsweise BSI C5 und SOC 2, ergeben.
In internationalen Projekten arbeiten wir eng mit unseren Kolleginnen und Kollegen aus anderen PwC Netzwerkfirmen zusammen. Dies ist insbesondere vorteilhaft, wenn wir Synergien realisieren können, die sich aus dem Kombinieren der jeweils lokal durchgeführten Prüfungen für unterschiedliche Prüfschemen, beispielsweise BSI C5 und SOC 2, ergeben. So können wir global aufgesetzte Prüfungsprojekte effizient realisieren und liefern diese mit festen Ansprechpartnern bei PwC Deutschland aus einer Hand.
Kleinere und mittelgroße Cloud-Anbieter unterstützen wir dabei, Kontrollsysteme und Compliance-Programme aufzubauen oder zu erweitern. Dazu gehört für uns etwa, dass wir beim Auswählen desjenigen Prüfschemas beraten, das die Anforderungen der Kunden des Cloud-Anbieters abdeckt.
Den maßgeschneiderten Prüfungsprojekten stellen wir meist ein kleines, wenige Tage umfassendes Vorprojekt (Quick Check) voran. In diesem sehen unsere Kunden, wie wir das entsprechende Prüfschema anwenden und lernen unser Projektvorgehen sowie die Prüfmethodik kennen. Zudem können wir, basierend auf den Ergebnissen des Quick Checks, gezielt Handlungsempfehlungen aussprechen und unser Angebot für das Prüfungsprojekt optimal auf die individuell vorliegenden Rahmenbedingungen abstimmen.
Wir analysieren für Sie, inwiefern die bereits implementierten Kontrollen die Anforderungen des BSI C5 abdecken. Ausgehend von den BSI C5 Anforderungen ordnen wir diesen die geeigneten Kontrollen zu und ermitteln, inwieweit diese die Anforderungen abdecken. Dabei machen wir für jede Anforderung transparent, welche Anforderungsaspekte ggf. noch abzudecken sind, bevor eine Prüfung angestrebt werden sollte.
Mit der kontinuierlich steigenden Nutzeranzahl von Cloud erhöhen sich auch die Gefahren und die Risiken in der Cloud Anwendung. Daher sehen Experten die Cloud Security nun als einen der wichtigsten Elemente in Cloud Computing.
PwC ist Teil eines interdisziplinären Teams aus Wissenschaftlern und Unternehmen, das eine Datenschutzzertifizierung von Cloud-Diensten auf Basis der neuen EU-Datenschutz-Grundverordnung (DSGVO) erarbeitet. Der Standard soll europaweit zum Einsatz kommen.