27 Juli, 2018
Im Auftrag des weltgrößten Anbieters von Unternehmensanwendungen SAP hat PwC die Cloud-Suite S/4HANA Cloud nach dem Anforderungskatalog Cloud Computing (BSI C5) auditiert. Der Anforderungskatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) richtet sich in erster Linie an professionelle Cloud-Diensteanbieter und legt fest, welche Mindestanforderungen diese zu erfüllen haben.
S/4HANA Cloud ist die erste strategisch wichtige Cloud-Suite der SAP, die ein Testat gemäß BSI C5 erhält. Weitere Cloud-Lösungen der SAP sollen von PwC nach BSI C5 überprüft werden.
Der Anforderungskatalog BSI C5 wurde von PwC für das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und dient der Beurteilung der Informationssicherheit von Cloud-Diensten. Mit dem Anforderungskatalog liegt erstmals ein Regelwerk vor, das eine Leitlinie für Cloud Security formuliert. Durch die Einführung des zugehörigen BSI-Mindeststandards im April 2017 sind öffentliche Stellen inzwischen verpflichtet, nur noch BSI C5-auditierte Cloud-Lösungen einzusetzen. Der BSI C5-Anforderungskatalog stellt mittlerweile eine wichtige Referenz für den Öffentlichen Sektor als auch für Unternehmen dar – national wie international – und ist Ausdruck der hohen Anforderungen deutscher Behörden an die Informationssicherheit, so Michael Hermann, SAP S/4HANA Cloud Security Officer von SAP. Eine Prüfung nach BSI C5 ist darüber hinaus mit weiteren Compliance-Prüfschemen kombinierbar.
„Zahlreiche Kunden aus verschiedenen Branchen fordern mittlerweile den C5 als Nachweis für Informationssicherheit. Wir haben uns daher entschieden, SAP S/4HANA Cloud nach C5 prüfen zu lassen, da er die hohen Anforderungen deutscher Behörden an die Informationssicherheit widerspiegelt.“
Die Unterteilung der insgesamt 114 Einzelanforderungen in einzelne Themenblöcke bietet dem Cloud-Anbieter wichtige Orientierungspunkte, um entsprechende Maßnahmen in der Aufbau- und Ablauforganisation seines Dienstes umzusetzen. Eine Besonderheit im Vergleich zu etablierten Sicherheitsstandards und Prüfschemen sind die sogenannten Umfeldparameter für Transparenz: Sie erfordern unter anderem, dass der Prüfbericht Informationen über den Ort der Datenspeicherung und den Gerichtsstand, vorhandene Zertifizierungen, eine Systembeschreibung sowie bestehende Offenbarungspflichten gegenüber staatlichen Stellen enthält.
„Mit SAP erhält der größte deutsche Cloud-Anbieter ein BSI C5-Testat. Wir freuen uns, dass SAP dabei auf das Know-how von PwC vertraut, welches wir als Entwickler des BSI C5 in die entsprechenden Projekte einbringen.“
Wenn es um das Auditieren von Cloud-Lösungen geht, arbeitet SAP bereits seit mehreren Jahren erfolgreich mit PwC zusammen. In SAP’s Compliance-Programm auditiert PwC zahlreiche, international aufgestellte Cloud-Lösungen nach weltweit etablierten und anerkannten Security-Standards.