Update des BSI C5-Katalogs mit neuen Sicherheitskriterien

Cloud-Sicherheit: Update des BSI C5-Katalogs mit neuen Sicherheitskriterien. 

Was bringen die Neuerungen zu Produktsicherheit und Umgang mit Ermittlungsanfragen staatlicher Stellen für unsere Kunden?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2016 den Cloud Computing Compliance Criteria Catalogue (C5) veröffentlicht, um Cloud-Providern die Möglichkeit zu bieten die Sicherheit ihrer Cloud-Umgebung in einem höheren Detailgrad und mit speziell für die Cloud entwickelten Prüfkriterien nachzuweisen. Diese Kriterien gehen über die allgemeinen Standards zur Informationssicherheit, wie z. B.  dem ISO/IEC 27001 deutlich hinaus. Inzwischen ist der C5 ein national und international anerkannter Standard, der gerade für deutsche und europäischen Kunden der drei großen Public-Cloud-Provider eine bessere Bewertungsgrundlage bietet, wenn sich Compliance- und Datenschutzfragestellungen vor oder beim Einsatz ergeben. 

Amazon Web ServicesMicrosoft Azure und auch die Google Cloud sind alle nach der alten C5:2016 Version vom BSI zertifiziert. Es ist sehr wahrscheinlich, dass diese drei ebenso eine Re-Zertifizierung nach dem Update des Kataloges anstreben werden. 

Was bringt der neue C5:2020 aber nun unseren Kunden, die einen Public-Cloud-Provider nutzen oder den Einsatz planen?

Genau genommen wird sich die operative Sicherheit, vor allem der drei großen Cloud-Provider durch die Re-Zertifizierung sehr wahrscheinlich nicht weiter verbessern – diese ist im Sinne des „Modell der geteilten Verantwortung“ auf Seiten des Providers nachweislich schon sehr hoch.

Modell der geteilten Verantwortung (Quelle: Amazon)
Modell der geteilten Verantwortung (Quelle: Amazon)

Allerdings führt das BSI mit dem C5:2020 neben kleineren Anpassungen zwei ganz neue Bereiche in den C5 ein:

  • Produktsicherheit
  • Umgang mit Ermittlungsanfragen staatlicher Stellen

Der Bereich Produktsicherheit fokussiert erstmals im C5 nicht die Sicherheit der Cloud-Plattform selbst, sondern deren Verwendung durch den Kunden der Cloud-Provider. Die Zielsetzung formuliert das BSI wie folgt:

Bereitstellen aktueller Informationen zur sicheren Konfiguration und über bekannte Schwachstellen des Cloud-Dienstes für Cloud-Kunden, geeigneter Mechanismen zur Fehlerbehandlung und Protokollierung sowie zur Authentisierung und Autorisierung von Benutzern der Cloud-Kunden.

BSI - Bundesamt für Sicherheit in der Informationstechnik

Die Erfahrung mit verschiedenen Cloud-Providern zeigt, dass alle gute bis sehr gute Dokumentation, Leitfäden, Tutorials etc. zu den verschiedensten Themen für Anwender zur Verfügung stellen, sodass diese neuen C5-Anforderungen keine Herausforderungen an die  Cloud-Provider stellen werden. Jedoch wird die Aufnahme dieses Bereiches dazu führen, dass eben nun auch Teile der Dokumentation für die Cloud-Kunden in den Audit-Prozess einbezogen werden, was erstens ein Novum ist und zweitens zum „genaueren Hinschauen“ in diesem Bereich führen wird. Davon werden unsere Kunden profitieren!
Zudem sind C5:2020 zertifizierte Cloud-Provider verpflichtet offener mit bekannten Schwachstellen umzugehen, was zu höherer Transparenz und „Schwachstellen Awareness“ in der Verwendung der Cloud-Dienste führen wird.

Der zweite, neue Bereich ist der Umgang mit Ermittlungsanfragen staatlicher Stellen und die damit verbundenen Pflichten des Cloud-Providers gegenüber seiner Kunden. Das BSI formuliert für diesen Bereich folgendes Ziel:

Gewährleisten eines angemessenen Umgangs mit Ermittlungsanfragen staatlicher Stellen hinsichtlich juristischer Überprüfung, Information der Cloud-Kunden und Begrenzung des Zugriffs auf oder der Offenlegung von Daten.

BSI - Bundesamt für Sicherheit in der Informationstechnik

Dieses Thema war und ist besonders für europäische Kunden US-Amerikanischer Cloud-Provider immer wieder ein Diskussionspunkt in der Zusammenarbeit mit dem Cloud-Provider, besonders im Kontext Datenschutz und der Auslegung der DSGVO/GDPR. Dass dieser Reibungspunkt und die damit verknüpfen Debatten nun durch die Aufnahme in den C5 potentiell versachlicht werden ist sehr gut. Zusätzlich wird aber auch gleichzeitig weiter der Diskurs dazu gefördert, welcher extrem wichtig ist, wenn es um die potentielle Offenlegung von Daten Dritter geht – sei es im Kontext legaler staatlicher Ermittlungen oder illegaler Wirtschafts- und Industriespionage.

Klar ist schon jetzt, dass auch C5:2020 zertifizierte Cloud-Provider weiterhin staatlichen Ermittlungsanfragen stattgeben müssen und dabei im besonderen Fall ihre Kunden darüber nicht informieren dürfen. Das gilt gleichermaßen für derartige Anfragen innerhalb der EU, wie auch von außerhalb!
Neben den oben erwähnten positiven (Neben-)Effekten in der Debatte über den Umgang mit Ermittlungsanfragen staatlicher Stellen sind nun C5:2020 zertifizierte Cloud-Provider verpflichtet nachzuweisen, dass juristische Beurteilungen kompetent und korrekt erfolgen, dass klare Prozesse in diesen Verfahren existieren und dass sichergestellt ist, dass nur exakt die Daten offengelegt werden, um die es geht und auch nur in der Form offengelegt werden (z.B. vollständig, anonymisiert oder pseudonymisiert), die im konkreten juristischen Fall nötig ist.

Zusammenfassend bleibt dazu festzuhalten, dass auch weiterhin technische und organisatorische Maßnahmen nötig sind, um Daten europäischer Kunden in der Verarbeitung oder Speicherung bei ausländischen Cloud Providern vor dem Zugriff Dritter zu schützen. Dass dies möglich ist, zeigt die häufige Verwendung von Cloud-Services der „großen Drei“ in unseren Cassini Kundenprojekten - und der Trend hält an.

Finn-Ole Klug, Management Consultant, Cassini Consulting

Der neue C5:2020 fördert die Debatte über die Offenlegung von Cloud-Daten und versachlicht diese gleichzeitig. Das ist gut und dringend nötig!

Finn-Ole Klug, Management Consultant

Abschließend können wir festhalten, dass der neue C5:2020 vom BSI wichtige Punkte ergänzt hat, mit dem Ziel, dass Kunden der Cloud-Provider sichere IT-Systeme realisieren und betreiben können und die Debatte zur Offenlegung von Cloud-Daten versachlicht und inhaltlich transparenter wird. Nun sind die Cloud-Provider an der Reihe uns zu zeigen, wie sie geforderten Anforderungen beantworten und umsetzen!

Kommentar von
Finn-Ole Klug, Management Consultant, Cassini Consulting AG
Finn-Ole Klug
Management Consultant
Seite teilen

Begleitende Links:
Kriterienkatalog Cloud Computing C5
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Kriterienkatalog/Kriterienkatalog_node.html

C5:2020 - Die Neuerungen im Überblick
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Kriterienkatalog/C5_AktuelleVersion/C5_Neuerungen_node.html

Pressemitteilung BSI: „Sichere Cloud: BSI stellt aktualisierten C5-Katalog vor“
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Cloud_C5_210120.html

Bildquellen:
Bild 1 - C5-Logo – Amazon Web Services (Link)
Bild 2 - Share Responsibility Model – Amazon Web Services (Link)