Auf der CeBIT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht.
Im Rahmen der CeBIT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht. Basierend auf eigenen Erkenntnissen und anerkannten Standards zur IT-Sicherheit ist der Katalog in Basis- und höherwertige Anforderungen unterteilt, um auf unterschiedliche Sicherheitsbedürfnisse einzugehen. Besonderes Augenmerk wird dabei auf die Transparenz des Cloud-Diensts gelegt. Der Anforderungskatalog richtet sich in erster Linie an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden.
Zur Überprüfung der Sicherheit einer Cloud-Lösung fordert der Katalog neben der Umsetzung von Sicherheitsanforderungen auch die Offenlegung von Umfeldparametern. Darin werden Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen nachgewiesen und für den Nutzer verständlich dargestellt. Dies unterstützt den Cloud-Kunden in seiner Entscheidungsfindung für oder gegen den Einsatz eines Cloud-Dienstes.
Der Anforderungskatalog bietet Cloud-Anbietern die Möglichkeit, sich im Rahmen einer Compliance- oder Wirtschaftsprüfung schnell und mit geringem Mehraufwand die Erfüllung der Anforderungen testieren zu lassen. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen SOC2-Bericht erbracht. Dieser basiert auf dem international anerkannten Testierungsregime der ISAE 3000, das von Wirtschaftsprüfern verwendet wird.
Der Katalog ist in 17 thematische Bereiche unterteilt. Hier bedient sich das BSI bei anerkannten Sicherheitsstandards wie ISO/IEC27001, der Cloud Controls Matrix der Cloud Security Alliance sowie BSI-Veröffentlichungen und übernimmt deren Anforderungen, wo immer es sich angeboten hat
Der neue Anforderungskatalog steht auf der Webseite des BSI zum Download zur Verfügung.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen 2016 erstmals veröffentlichten Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten (C5) in einer neuen Version vorgestellt.