BSI überarbeitet Anforderungskatalog Sicherheit für Cloud Computing

C5-Testat

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Anforderungskatalog Sicherheit für Cloud Computing grundlegend überarbeitet und stellt ihn als Community Draft zur Kommentierung ins Netz.
Der Anforderungskatalog (englischer Titel: Cloud Computing Compliance Controls Catalogue, kurz „C5“) richtet sich in erster Linie an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Er legt fest, welche Anforderungen die Cloud-Anbieter erfüllen müssen bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte.

Der neue Entwurf des BSI enthält folgende Punkte zusätzlich:

  • Das BSI nimmt als erste Behörde EU-weit die neuen Bestimmungen des EU Cyber Security Act an die Produktsicherheit von Cyber-Produkten in den Prüfkatalog auf.
  • Cloud-Anbieter müssen nachvollziehbar darlegen, wie sie mit Beschlüssen staatlicher Stellen zur Herausgabe von Daten umgehen.
  • Das Thema „Schwachstellen-Management“ wurde ebenso erheblich überarbeitet wie die Anforderungen u.a. an Netzsicherheit, Kryptografie und Physische Sicherheit.
  • Durch die korrespondierende Kontrolle von Sicherheitsmaßnahmen aufseiten des Kunden wird die geteilte Verantwortung für Sicherheit im Cloud Computing adressiert und so ein Maximum an Sicherheit ermöglicht.
  • Kleineren Cloud-Anbietern wird es durch eine direkte Prüfung erleichtert, bei gleichem Sicherheitsniveau mit weniger Aufwand ein C5-Testat zu erlangen.

Der Draft steht auch als Feedbackdokument bis zum 22. November 2019 zur Kommentierung durch die Fach-Community online.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

(Bild von Pete Linforth auf Pixabay)


Letztes Update:28.10.19

  • Datenschutz und IT-Sicherheit bei der Nutzung von Cloud Services

    Datenschutz und IT-Sicherheit bei der Nutzung von Cloud Services

    Seminar

    940.10 € Mehr erfahren
  • IT-Sicherheitsmanagement aus Sicht der DS-GVO

    IT-Sicherheitsmanagement aus Sicht der DS-GVO

    Seminar

    940.10 € Mehr erfahren
  • Datenschutz International – wirksame Umsetzung bei grenzüberschreitenden Datentransfers

    Wirksamer Datenschutz muss auch den internationalen Datentransfer berücksichtigen. Deutsche Unternehmen sind häufig stark exportorientiert und global tätig. In der Konsequenz werden auch große Mengen an Daten ausgetauscht. Bei grenzüberschreitenden Datentransfers innerhalb und außerhalb des Unternehmens oder des Konzerns sind eine Vielzahl gesetzlicher Anforderungen zu erfüllen. Dies stellt für viele Unternehmen eine große Herausforderung dar. Die

    Mehr erfahren
  • GDD sammelt Datenpannen

    Der Europäische Datenschutzausschuss hat eine Konsultation zu Beispielsfällen einer Datenschutzverletzung initiiert (Guidelines 01/2021 on Examples regarding Data Breach Notification). Die GDD möchte durch eine Umfrage weitere Fallkonstellationen aus der Praxis sammeln und an den Europäischen Datenschutzausschuss über eine Stellungnahme von CEDPO zurückspielen. Immerhin besteht bei den datenverarbeitenden Stellen die große Herausforderung, eine Meldepflicht zu identifizieren. Dies zeigt

    Mehr erfahren
  • Korrekt Löschen nach DS-GVO

    Die Datenschutz-Grundverordnung (DS-GVO) als gesetzliche Regelung zur Verarbeitung personenbezogener Daten hat den Datenschutz nachhaltig verändert und geprägt. Sie verpflichtet jedes Unternehmen – unabhängig von seiner Größe – zur Implementierung eines Datenschutzmanagementsystems (DSMS). Jeder Verantwortliche hat deswegen eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Eine der maßgeblichen Anforderungen ist

    Mehr erfahren