AWS-Standort Frankfurt bekommt C5-Testat vom BSI

Der Cloud Computing Compliance Controls Catalogue (C5) des BSI beleuchtet nicht nur die Organisation der Informationssicherheit und die physische Sicherheit, sondern berücksichtige laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auch weitere Informationen, die andere Standards in dieser Weise bislang nicht abfragen.

“Ein Novum von C5 im Vergleich zu anderen Sicherheitsstandards sind die so genannten Umfeldparameter”, so Patrick Grete, Projektleiter C5 beim BSI. Mit diesen Umfeldparametern können Anwender der testierte Cloud-Dienste genau nachprüfen, welche gesetzlichen Vorschriften damit abgedeckt werden können.

C5 gibt Auskunft über Datenlokation, Diensterbringung, Gerichtsstand, sowie weiteren Zertifizierungen und den Auskunftspflichten gegenüber staatlichen Stellen. Auch eine detaillierte Beschreibung des verwendeten Systems muss der Anbieter abliefern. Diese Parameter sind streng genommen keine Anforderungen, sondern sollen für Transparenz sorgen.

Nun meldet Amazon Web Service, dass das BSI dem Rechenzentrum in Frankfurt dieses Testat verliehen hat. Anwender können auf Anfrage das Testat in Form eines Berichtes von AWS beziehen. AWS kann damit sehr granular transparent machen, welche Sachverhalte erfüllt sind.

“IT-Sicherheitsstandards wie der C5-Katalog des BSI sind ein wesentliches Mittel zur Gestaltung der Digitalisierung, die ohne Cyber-Sicherheit nicht erfolgreich sein wird”, kommentiert BSI-Präsident Arne Schönbohm. “Der Anforderungskatalog des BSI bietet Cloud-Anbietern die Möglichkeit, sich im Rahmen einer Compliance- oder Wirtschaftsprüfung schnell und mit geringem Mehraufwand die Erfüllung der Anforderungen testieren zu lassen.”

Laut Schönbohm ist Amazon Web Services der erste international agierende Anbieter, der ein Testat nach dem C5-Katalog erhalten hat. Das BSI hat den Standard im Februar dieses Jahres veröffentlicht. Damit erweitert AWS die bereits vorhandenen internationalen Standards wie ISO 27001 oder PCI DSS 3.2.

“Der BSI Anforderungskatalog Cloud Computing (C5) berücksichtigt alle Belange eines sicheren Betriebs von Cloud Services”, erklärt Erich Vogel, Cloud Leader bei Computacenter AG. “Aktuellen AWS-Kunden wird die Diskussion mit deren Sicherheits- und Compliance-Beauftragten deutlich erleichtert.” Vogel gehe davon aus, dass das Testat zu einer deutliche Steigerung der Service-Consumption führen werde.

Das C5-Testat soll von AWS Kunden sowie deren Compliance-Beratern genutzt werden, um die von AWS angebotene Cloud-Sicherheit einordnen zu können, wenn sie ihre Workloads in die Cloud bringen. In Kombination mit den bereits durch AWS angebotenen Sicherheitsprogrammen liefert das C5-Testat zusätzlich das regulatorisch definierte IT-Sicherheitsniveau für Cloud-Dienste, welches vergleichbar mit dem auf ISO 27001 basierten IT-Grundschutz ist. Daneben seien vom BSI unter anderem Standards wie ISO/IEC 27001:2013 , CSA Cloud Controls Matrix 3.01, AICPA Trust Service Principles Criteria 2014, 14. EL 2014 und die BSI SaaS Sicherheitsprofile 2014 berücksichtigt worden.