BSI überarbeitet Anforderungskatalog Sicherheit für Cloud Computing

C5-Testat

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Anforderungskatalog Sicherheit für Cloud Computing grundlegend überarbeitet und stellt ihn als Community Draft zur Kommentierung ins Netz.
Der Anforderungskatalog (englischer Titel: Cloud Computing Compliance Controls Catalogue, kurz „C5“) richtet sich in erster Linie an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Er legt fest, welche Anforderungen die Cloud-Anbieter erfüllen müssen bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte.

Der neue Entwurf des BSI enthält folgende Punkte zusätzlich:

  • Das BSI nimmt als erste Behörde EU-weit die neuen Bestimmungen des EU Cyber Security Act an die Produktsicherheit von Cyber-Produkten in den Prüfkatalog auf.
  • Cloud-Anbieter müssen nachvollziehbar darlegen, wie sie mit Beschlüssen staatlicher Stellen zur Herausgabe von Daten umgehen.
  • Das Thema „Schwachstellen-Management“ wurde ebenso erheblich überarbeitet wie die Anforderungen u.a. an Netzsicherheit, Kryptografie und Physische Sicherheit.
  • Durch die korrespondierende Kontrolle von Sicherheitsmaßnahmen aufseiten des Kunden wird die geteilte Verantwortung für Sicherheit im Cloud Computing adressiert und so ein Maximum an Sicherheit ermöglicht.
  • Kleineren Cloud-Anbietern wird es durch eine direkte Prüfung erleichtert, bei gleichem Sicherheitsniveau mit weniger Aufwand ein C5-Testat zu erlangen.

Der Draft steht auch als Feedbackdokument bis zum 22. November 2019 zur Kommentierung durch die Fach-Community online.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

(Bild von Pete Linforth auf Pixabay)


Letztes Update:28.10.19

  • Datenschutz und IT-Sicherheit bei der Nutzung von Cloud Services

    Datenschutz und IT-Sicherheit bei der Nutzung von Cloud Services

    Seminar

    2020-10-08, 08:00 | Berlin

    940.10 € Mehr erfahren
  • IT-Sicherheitsmanagement aus Sicht der DS-GVO

    IT-Sicherheitsmanagement aus Sicht der DS-GVO

    Seminar

    940.10 € Mehr erfahren
  • Praxishilfen

    GDD-Praxishilfen nun auch in englischer Sprache

    Die Gesellschaft für Datenschutz und Datensicherheit GDD wirbt auch auf internationaler Ebene für das bewährte Prinzip der Selbstkontrolle und bringt sich aktiv in die datenschutzrechtliche EU-Gesetzgebung ein. Da der Datenschutz inzwischen zu einem globalen Thema geworden ist, pflegt sie einen fachlichen Austausch mit Datenschutz-Kontrollstellen in den EU-Mitgliedstaaten sowie mit Experten und Verbänden weltweit. Die Confederation

    Mehr erfahren
  • Konzern Datenübermittlung

    Mitarbeiterdaten im Unternehmensverbund nach DS-GVO

    Als im Jahre 2001 das BDSG novelliert wurde, veröffentlichte die Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) die erste Ausgabe der „Praxishilfen“ zu Verarbeitungsübersicht, Verfahrensverzeichnis und Vorabkontrolle. Zum Konzept der Reihe gehörten schon damals prägnante und unmittelbar verwertbare Handreichungen für den betrieblichen Datenschutzalltag. In den darauffolgenden Jahren erschienen in dieser Reihe weitere Titel zu praxisrelevanten

    Mehr erfahren
  • Anonymisierung

    BfDi zeigt rechtlichen Rahmen der Anonymisierung auf

    In der DS-GVO werden anonyme und anonymisierte Daten in den Sätzen 4 und 5 von Erwägungsgrund 26 adressiert. Danach sollten die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, „d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass

    Mehr erfahren