Am 15.08.2017 veröffentlichte das BSI den Erhalt der C5 Zertifizierung für die Microsoft Cloud Deutschland für Microsoft Azure. Fraglich ist nun aber wie steht die C5 im Verhältnis zur DSGVO oder auch zum BSI Grundschutz. Wie ist also diese Erteilung einzuordnen? Dies und einige mehr Informationen erläutere ich euch in diesem Beitrag:
Was ist C5?
Der Anforderungskatalog wurde vom BSI als Kriterium zur Beurteilung der Informationssicherheit erstellt. Er stellt konkrete Anforderungen zur Umsetzung des Anforderungskataloges, aber nicht mit welchen Maßnahmen diese konkret Umzusetzen sind, wie beispielsweise der BSI Grundschutzkatalog. Letztlich können Anbieter leichter immer neue Maßnahmen im C5 Katalog unterbringen, also beim BSI Grundschutz, der durch die verpflicht genaue Bennnung hier etwas unflexibel ist.
Aber auch bei C5 muss man prüfen, ob die eigenen Prozesse stimmen und man selber die korrekte Architektur gebaut hat.
BSI und C5
“Hierzu erklärt BSI-Präsident Arne Schönbohm: Als nationale Cyber-Sicherheitsbehörde gestaltet das BSI Informationssicherheit in der Digitalisierung auch durch die Schaffung von IT-Sicherheitsstandards wie den C5-Katalog. Die Erteilung des Testats an Microsoft Azure Deutschland ist ein erneuter Beleg dafür, dass der C5-Katalog vom Markt angenommen wird. Die Cloud-Anbieter haben erkannt, dass IT-Sicherheit ein Verkaufsargument ist, das den Anwendern immer wichtiger wird, um den Herausforderungen der Digitalisierung zu begegnen.”
C5 im Verhältnis zu anderen Standards?
Zunächst verweist der C5 Anforderungskatalog auf andere bekannte Standards:
- BSI die Zertifikate nach ISO/IEC27001, ISO22301, von den zuständigen Datenschutzbehörden
- akzeptierte Nachweise über die Einhaltung des Datenschutzes wie ISO 27018,
- Prüfberichte nach ISAE 3402/SSAE16-SOC 1/IDW PS 951
- Softwarebescheinigungen nach IDW PS 880.
So dass dieser diese Standards miteinbezieht und nicht parallel oder gegenläufig ist. Die C5 Zertifizierung des BSI kann “grob” als aktuell höchst mögliche Zertifizierung genannt werden. Diese besitzen aktuell nur 4 Clouds in Deutschland. (z.B. auch AWS in FRA)
gute FAQs zu C5: https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/FAQ/Faq_BeziehungenStandards_node.html
Microsoft Azure aus der MCD oder Microsoft Azure aus der Global Cloud (Europa)
Die C5 Zertifizierung gibt nur für die Microsoft Cloud Azure und nicht für die Global Cloud und auch nicht für Office 365 aus der Microsoft Cloud Deutschland. Wer also auf diese Zertifizierung setzen will, muss Azure aus der Microsoft Cloud Deutschland wählen.