Cloud Computing Compliance Controls Catalog (C5)
Übersicht
Der Cloud Computing Compliance Controls Catalog (C5) ist ein von der deutschen Regierung unterstütztes Zertifizierungssystem, das in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeführt wurde. C5 unterstützt Organisationen beim Nachweis der betrieblichen Sicherheit gegen gängige Cyberangriffe bei der Nutzung von Cloud-Services im Rahmen der Sicherheitsempfehlungen für Cloud-Anbieter der Bundesregierung.
Das C5-Prüfschema kann von AWS-Kunden und deren Compliance-Beratern verwendet werden, um die von AWS implementierten Sicherheitskontrollen zu verstehen, um die C5-Anforderungen zu erfüllen, die ihnen während der Übertragung von Workloads in die Cloud zur Verfügung stehen. C5 fügt dem IT-Grundschutz das gesetzlich festgelegte IT-Sicherheitsleveläquivalent mit zusätzlichen Cloud-spezifischen Kontrollfunktionen hinzu.
C5 umfasst nun zusätzliche Kontrollanforderungen, die sich auf den Datenspeicherort, die Servicebereitstellung, den Gerichtsstand, die existierenden Zertifizierungen, die Offenlegungsverpflichtungen von Informationen und eine ausführliche Beschreibung der Services beziehen. Mittels dieser Informationen können Kunden bewerten, wie rechtliche Vorgaben (z. B. zum Datenschutz), ihre eigenen Richtlinien oder das Bedrohungsumfeld ihre Cloud Computing-Services beeinflussen.
Häufig gestellte Fragen
-
Was ist C5?
C5 (Cloud Computing Compliance Controls Catalogue) ist der Cloud-Computing-Standard für die IT-Sicherheit in Deutschland. Das vom BSI entwickelte und im Februar 2016 veröffentlichte C5-Kontrollset bietet Kunden in Deutschland zusätzliche Sicherheit bei der Übertragung ihrer komplexen und regulierten Arbeitslasten zu Anbietern von Cloud Computing-Services wie AWS. C5 deckt die folgenden internationalen Standards ab:
- ISO/IEC 27001:2017 (ISO – International Organization for Standardization)
- CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
- AICPA Trust Services Principles and Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
- Trusted Cloud Data Protection Profile (TCDP) – Version 1
- ISO/IEC 27017:2015
- ISO/IEC 27-18:2014
- BSI IT-Grundschutz Kompendium – Edition 2019
-
Wer hat den C5-Standard entwickelt?
Die staatliche Cybersecurity-Behörde Deutschlands, das Bundesamt für Sicherheit in der Informationstechnik (BSI), hat C5-Standards im Jahre 2016 entwickelt. Das BSI definiert die Anforderungen an die IT-Sicherheit für alle Bundesbehörden, und die meisten deutschen Unternehmen richten ihre IT-Sicherheitsstrategie ebenfalls an den BSI-Standards aus. Das BSI hat den C5-Katalog 2019 überarbeitet und aktualisiert. Eine neue Version (C5: 2020) wurde im Januar 2020 fertiggestellt.
-
Welche Vorteile hat der Kunde durch diesen Standard?
Der C5-Bericht bietet unseren europäischen Kunden eine unabhängige Bescheinigung von Dritten über die Eignung des Designs und die betriebliche Wirksamkeit unserer Kontrollen, um die grundlegenden und zusätzlichen C5-Kriterien zu erfüllen. Insbesondere in Deutschland sind Kunden es gewohnt, nach Cloud-Services zu suchen, die anhand der C5-Kriterien bewertet werden. C5 bietet Kunden ein Framework, das eine dem IT-Grundschutz entsprechende IT-Sicherheitsstufe dokumentiert und alle IT-Sicherheitsbestimmungen für Cloud Computing abdeckt. Für Bundesbehörden ist ein C5-Testat Voraussetzung, wenn es um die Auftragsvergabe geht.
Aktuelle Informationen zu C5 bei AWS können in den jeweiligen C5-Beiträgen des AWS-Sicherheitsblogs eingesehen werden.
-
Welche AWS-Regionen erfüllen die Anforderungen von C5?
Zu AWS-Regionen, die die Anforderungen von C5 erfüllen, gehören u. a. die Folgenden: Frankfurt, Irland, London, Paris, Mailand, Stockholm, Singapur, Zürich und Spanien sowie Edge-Standorte in Deutschland, Irland, England, Frankreich, Singapur, Schweden, Italien, Spanien und die Schweiz.
-
Welche Services erfüllen die Anforderungen?
Die durch das C5-Testat abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren, und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.
-
Was ist der Unterschied zwischen dem C5-Standard und dem IT-Grundschutz?
Der IT-Grundschutz ist ein Standard für die Einführung und die Aufrechterhaltung eines angemessenen Datenschutzes in einer Behörde oder einem Unternehmen. Die IT-Grundschutzkataloge enthalten Sicherheitsmaßnahmen für typische Unternehmensprozesse, IT-Systeme und Anwendungen. Sie zielen vor allem auf den Schutz der eigenen Informationen einer Behörde oder eines Unternehmens ab. C5 dagegen legt Richtlinien für die Produkte von Cloud-Service-Anbietern fest. -
Wie fordere ich den AWS C5-Bericht an?
Kunden, die AWS C5 Artifact nutzen, können auch den AWS-SOC-2-Bericht nutzen. AWS Artifact ist ein Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an, oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.
-
Wirkt sich dieser Standard auch international aus?
Das BSI hat die Anforderungen für diesen Standard in Übereinstimmung mit der ANSSI (Agence nationale de la sécurité des systèmes d’information, Nationale Agentur für Sicherheit der Informationssysteme) ausgearbeitet, die demnächst ihren eigenen Standard, das SecNumCloud-Label, einführen wird. Der C5-Standard und der SecNumCloud-Standard in Frankreich haben sich gegenseitig beeinflusst. Beide Standards sollen in einem gemeinsamen Label namens ESCloud vereint werden und so europaweite Anerkennung erlangen. Der Entwurf des EU-Zertifizierungssystems für Cybersicherheit für Cloud-Services (EUCS) der Agentur der Europäischen Union für Cybersicherheit (ENISA) stützt sich erheblich auf den Sicherheitsstandard von C5.
-
Was ist der Unterschied zwischen einer Zertifizierung und einem Testat?
Eine Zertifizierung wird von einem anerkannten spezialisierten Unternehmen ausgestellt und ist für gewöhnlich ein bis drei Jahre lang gültig. Ein Testat kann im Rahmen eines Compliance-Audits oder einer Wirtschaftsprüfungsgesellschaft durch qualifiziertes Fachpersonal erlangt werden. Ein Testat konzentriert sich mehr auf die kontinuierliche Implementierung, was zur Folge hat, dass der Audit-Zyklus viel kürzer ausfällt – ein Audit kann alle sechs Monate erfolgen. Gemäß ISAE 3000/3402 liefert der Audit-Prozess Beweise zur Angemessenheit und Effektivität über einen längeren Zeitraum. Eine Zertifizierung dagegen ist nur ein Schnappschuss und hat keine längerfristige Relevanz.