Cloud-Security-Standards

BSI aktualisiert C5-Kriterienkatalog

17.06.2020
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht. Während seiner Referendarsausbildung war er u. a. bei der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) und in der Konzernrechtsabteilung eines führenden DAX-notierten Telekommunikationsunternehmens tätig. Im Jahr 2019 legte er erfolgreich das zweite Staatsexamen ab.
Das BSI hat seinen C5-Kriterienkatalog aktualisiert, an dem sich Anwender und Cloud-Anbieter orientieren können. Auch rechtliche Fragestellungen rücken dabei in den Vordergrund.

Im Kontext der fortschreitenden Digitalisierung setzen viele Unternehmen zunehmend auf Cloud Computing. Bei der Auswahl eines Cloud-Anbieters müssen sich Anwender mangels eigener IT-Expertise oftmals auf etablierte Zertifikate verlassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit dem aktualisierten "Cloud Computing Compliance Criteria Catalogue" (C5-Katalog) eine Grundlage an die Hand, mit der Unternehmen Cloud-Sicherheit besser bemessen können.

Der neue C5:2020-Katalog soll Cloud-Anbietern und -Nutzern helfen, die Compliance zu wahren.
Der neue C5:2020-Katalog soll Cloud-Anbietern und -Nutzern helfen, die Compliance zu wahren.
Foto: StudioFI - shutterstock.com

Durch diesen Standard sollen Anbieter und Nutzer in die Lage versetzt werden, gängige Compliance-Anforderungen zu erfüllen. Cloud-Anbieter können damit die eigene Cloud-Struktur umsetzen und bewerten während Anwender den Standards nutzen können, um Angebote zu beurteilen und auszuwählen.

C5:2020 - Bündelung gängiger Zertifikate und Richtlinien

Der Kriterienkatalog C5 ist kein von Grund auf neues Werk, vielmehr nutzt und ergänzt er etablierte Prüfschemata sowie Richtlinien und deckt die nachfolgenden Zertifikate ab:

  • ISO/IEC 27001;

  • CSA Cloud Controls Matrix 3.01 der Cloud Security Alliance;

  • AICPA Trust Services Principles and Criteria 2014 des American Institute of Certified Public Accountants;

  • ANSSI Référentiel Secure Cloud v2.0 (Entwurf) der Agence nationale de la sécurité des systèmes d'information;

  • IDW ERS FAIT 5 (Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing);

  • BSI IT-Grundschutz-Kompendium;

  • BSI SaaS Sicherheitsprofile.

Der Kriterienkatalog C5 vereint durch die umfassende Abbildung gängiger Zertifikate diverse Mindestanforderungen für ein sicheres Cloud Computing in einem Dokument. Es richtet sich in erster Linie an professionelle Cloud-Anbieter sowie deren Prüfer und Kunden. Für die verschiedenen Anforderungsbereiche, wie beispielsweise Compliance und Datenschutz, werden konkrete Zielsetzungen formuliert und Basisanforderungen festgelegt, um die Ziele umzusetzen.

So müssen etwa nachvollziehbare und transparente Systembeschreibungen mit bestimmten inhaltlichen Vorgaben vorgehhalten werden. Darin sollte unter anderem festgehalten werden, welche Infrastruktur-, Netzwerk- und Systemkomponenten für Entwicklung und Betrieb des Cloud-Dienstes verwendet werden. Außerdem gilt es, Kontrollen und Maßnahmen sowie Prozesse für einen ordnungsgemäßen Betrieb und für Ausnahmen des Regelbetriebs beispielsweisebei Ausfällen oder Angriffen zu beschreiben. Ebenso muss ersichtlich sein, wie Rollen und Zuständigkeiten konzipiert und verteilt sind. Dabei sollten auch Unterauftragnehmer, die Dienste erbringen oder Hardware liefern, miteingeschlossen werden.

Cloud-Anbieter sollen zudem nachvollziehbare und transparente Angaben machen zu

  • Gerichtsbarkeit und Ort der Datenspeicherung, -verarbeitung und -sicherung;

  • Offenbarungs- und Ermittlungsbefugnissen staatlicher Stellen, die Zugriff auf Daten des Cloud-Kunden ermöglicht;

  • vorhandenen und gültigen Zertifizierungen oder Bescheinigungen unabhängiger Dritter.

Die Gerichtsbarkeit und staatlichen Zugriffsmöglichkeiten zu bestimmen, ist häufig nicht auf den ersten Blick möglich. Relevante Regelungen können nicht nur aus den Verträgen oder AGB zwischen Cloud-Anbieter und Cloud-Nutzer, sondern auch aus dem Vertragsverhältnis zwischen Cloud-Anbieter und dessen Unterauftragnehmern und Lieferanten folgen. Hierüber können weitere vertragliche oder regulatorische Vorgaben, beispielsweise von Aufsichtsbehörden im Datenschutz oder dem Bank- und Finanzbereich, insbesondere aber auch staatliche oder gesetzliche Besonderheiten, wie der CLOUD-Act bei Bezug zu den USA, schnell eine Rolle spielen.

Der Nachweis, dass ein Cloud-Anbieter diese Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, kann durch den Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 beziehungsweise IDW PS 951 erbracht werden.

C5-Testat - das ist neu

Nachdem sich der Kriterienkatalog C5 zum etablierten, vielfach national und international umgesetzten Standard der Cloud-Sicherheit entwickelte, wurde er im Jahr 2019 im Dialog mit Nutzern, Prüfern, Regulatoren und Cloud-Anbietern überarbeitet. Die neue Version wurde am 21. Januar 2020 vorgestellt. Nach C5 gemäß C5:2020 zu testen ist grundsätzlich den Wirtschaftsprüfungsgesellschaften vorbehalten. Die aktuelle Version des C5-Katalogs wurde auf den neuen Stand der Technik gebracht, ebenso wurden auch die Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Act integriert. Im Einzelnen können die Erneuerungen in drei Gruppen unterteilt werden:

Zwei neue Bereiche für Sicherheitskriterien

Der neue Bereich "Produktsicherheit" berücksichtigt die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Act. Anders als die anderen Teile des C5-Katalogs, bezieht er sich darauf, wie Kunden der Cloud-Provider die Dienste verwenden, und nicht auf die Sicherheit der Cloud-Plattform selbst. Der Bereich fordert, dass der Cloud-Anbieter Leitfäden zur sicheren Konfiguration des Dienstes bereitstellt. Ebenso werden Kriterien an das Session-Management formuliert, die unter anderem die Identifikation von Schwachstellen des Cloud-Dienstes, Vertraulichkeit von Authentisierungsinformationen, Rollen- und Rechtekonzepte sowie Autorisierungsmechanismen umfassen.

Darüber hinaus wurde der Bereich "Umgang mit Ermittlungsanfragen staatlicher Stellen" neu geregelt. Mit dem C5:2020 soll geregelt werden, wie mit solchen Anfragen hinsichtlich juristischer Überprüfung, Information der Cloud-Kunden und Begrenzung des Zugriffs auf oder der Offenlegung von Daten (beispielsweise durch Anonymisierung oder Pseudonymisierung, sofern möglich) angemessen umgegangen wird. Insofern müssen C5:2020-zertifizierte Cloud-Provider zwar auch weiterhin staatlichen Ermittlungsanfragen stattgeben und ihre Kunden gegebenenfalls nicht einmal über solche Anfragen informieren. Im Gegenzug sind sie aber dazu verpflichtet, nachzuweisen, dass juristische Beurteilungen kompetent und korrekt erfolgen.

Überarbeitung von Sicherheitskriterien

Die bestehenden Sicherheitskriterien wurden zum Teil grundlegend überarbeitet, um den Standard des Katalogs zu verbessern und aktuelle Entwicklungen in der Technik zu berücksichtigen. Als Beispiel nennt das BSI hier das Thema DevOps. Die Kriterien wurden zudem mit konkreten Hinweisen zur Prüfung im Rahmen von fortlaufenden Auditierungsverfahren versehen.

Eine weitere Neuerung stellt die Aufnahme sogenannter korrespondierender Kriterien dar. Hierüber soll verdeutlicht werden, welche Verantwortung und Pflichten den Cloud-Kunden selbst treffen. An den Schnittstellen von Cloud-Diensten muss auch der Kunde entsprechende Maßnahmen, etwa zur IT-Sicherheit, treffen.

Direkte Prüfung

Zu den bislang im C5:2020 vorgesehenen Prüfungsverfahren kommt die direkte IT-Prüfung. Musste der Cloud-Anbieter bisher vor einer Prüfung eigenständig eine Systembeschreibung erstellen und vorlegen, genügt es nun, wenn der Prüfer eine solche Beschreibung während des Prüfvorganges erstellt. Die Systembeschreibung umfasst dabei eine formale Beschreibung der eigenen Umgebung zusammen mit den ergriffenen Maßnahmen. Empfehlenswert ist die direkte Prüfung insbesondere für Cloud-Anbieter, die die vollständige Beschreibung des dienstleistungsbezogenen internen Kontrollsystems noch nicht abgeschlossen oder ausreichend detailliert dargestellt haben.

Cloud Security - rechtliche Aspekte im Vordergrund

Neben den rein operativen Überarbeitungen lässt sich feststellen, dass rechtliche Aspekte immer weiter in den Vordergrund rücken. Dies folgt aus den immer komplexeren und komplizierteren Voraussetzungen aus diversen Anforderungskatalogen, gesetzlichen Regulierungen und behördlichen Regelungen sowie letztendlich auch vertraglichen Vorgaben.

Am Anfang steht dabei eine solide vertragliche Grundlage sowohl seitens Cloud-Anbietern als auch Anwendern. Diese sollte unter anderem Themen wie Vertragslaufzeit, Kündigung, Haftung sowie die konkrete Leistungsbeschreibung (Service Level Agreements) abdecken. Dies ist stets abhängig von der Kritikalität der zu verarbeitenden Daten sowie den Eigenschaften und Funktionen der zu betreibenden Anwendungen.

Bereits hier müssen sich aber insbesondere Cloud-Anwender im Vorfeld Gedanken über spezifische gesetzliche oder regulatorische Grenzen machen. Ohne fundierte Kenntnis dieser Vorgaben droht der Abschluss von Vertragswerken, die nicht mit diesen Anforderungen übereinstimmen und daher sowohl von Auftraggebern als auch von Aufsichtsbehörden beanstandet werden könnten. Dies kann dazu führen, dass die Inbetriebnahme oder Fortsetzung des Betriebs einer Cloud-Anwendung untersagt wird. Je nach Fortschritt der Planungen und der Umsetzung kann es sehr teuer werden, solche Fehler zu beheben. Dieses Risiko sollte daher bereits im Vorfeld durch eine ausführliche rechtliche Analyse verringert werden.

Auch während des Betriebs von Cloud-Anwendungen muss die sich stetig weiter entwickelnde Rechtslage beobachtet werden. Der Gesetzgeber und die Verwaltung passen ihre Einschätzungen und Anforderungen regelmäßig den technischen Entwicklungen an. Nicht zuletzt sollte auch ein (noch) stärkerer Fokus auf die fortlaufende rechtliche Bewertung von Anfragen der Verwaltung, von Aufsichtsbehörden oder auch Mitarbeitern und Kunden gelegt werden. Neben der im C5:2020 erwähnten Beurteilung von staatlichen Ermittlungsanfragen sind hier insbesondere auch datenschutzrechtliche Themen wie Datenpannen, Anfragen zu Auskunft oder Löschung relevant.

C5-Katalog als Cloud-Compliance-Grundlage

Der C5:2020 bietet eine gute und bewährte Grundlage, die immer komplexer werdenden Sicherheitsanforderungen zu erfüllen, die an das Cloud Computing und der damit verbundenen Compliance gestellt werden. Auch wenn das Verfahren nach dem Kriterienkatalog C5 derzeit nicht nach ISAE 3000 akkreditiert ist und somit Zertifizierungen gemäß Artikel 42 f. DSGVO noch nicht möglich sind, darf die Bedeutung des Katalogs nicht unterschätzt werden. Er umfasst nicht nur gängige Zertifizierungen wie ISO/IEC 27001, sondern wird von vielen Behörden auch als Grundlage für eigene regulatorische Werke, Standards und Maßnahmen herangezogen.

Sowohl Cloud-Anbieter als auch Anwender sollten daher dieses Werk beachten - entweder durch eine unmittelbare Zertifizierung oder aber als Orientierung bei der Umsetzung eigener Prozesse. Dadurch besteht die Chance, die immer stärkere Regulierung und die stetig steigende Relevanz von rechtlichen Aspekten beim Betrieb und der Nutzung von Cloud-Services rechtskonform umzusetzen und entsprechende Compliance-Risiken zu vermindern. (jd/fm)