BSI überarbeitet Anforderungskatalog Sicherheit für Cloud Computing

C5-Testat

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Anforderungskatalog Sicherheit für Cloud Computing grundlegend überarbeitet und stellt ihn als Community Draft zur Kommentierung ins Netz.
Der Anforderungskatalog (englischer Titel: Cloud Computing Compliance Controls Catalogue, kurz „C5“) richtet sich in erster Linie an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Er legt fest, welche Anforderungen die Cloud-Anbieter erfüllen müssen bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte.

Der neue Entwurf des BSI enthält folgende Punkte zusätzlich:

  • Das BSI nimmt als erste Behörde EU-weit die neuen Bestimmungen des EU Cyber Security Act an die Produktsicherheit von Cyber-Produkten in den Prüfkatalog auf.
  • Cloud-Anbieter müssen nachvollziehbar darlegen, wie sie mit Beschlüssen staatlicher Stellen zur Herausgabe von Daten umgehen.
  • Das Thema „Schwachstellen-Management“ wurde ebenso erheblich überarbeitet wie die Anforderungen u.a. an Netzsicherheit, Kryptografie und Physische Sicherheit.
  • Durch die korrespondierende Kontrolle von Sicherheitsmaßnahmen aufseiten des Kunden wird die geteilte Verantwortung für Sicherheit im Cloud Computing adressiert und so ein Maximum an Sicherheit ermöglicht.
  • Kleineren Cloud-Anbietern wird es durch eine direkte Prüfung erleichtert, bei gleichem Sicherheitsniveau mit weniger Aufwand ein C5-Testat zu erlangen.

Der Draft steht auch als Feedbackdokument bis zum 22. November 2019 zur Kommentierung durch die Fach-Community online.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

(Bild von Pete Linforth auf Pixabay)


Letztes Update:28.10.19

  • Datenschutz und IT-Sicherheit bei der Nutzung von Cloud Services

    Datenschutz und IT-Sicherheit bei der Nutzung von Cloud Services

    Seminar

    2020-03-03, 09:00 | Frankfurt/M.

    2020-10-08, 08:00 | Berlin

    940.10 € Mehr erfahren
  • IT-Sicherheitsmanagement aus Sicht der DS-GVO

    IT-Sicherheitsmanagement aus Sicht der DS-GVO

    Seminar

    940.10 € Mehr erfahren
  • Digitaler Nachlass

    Studie beleuchtet Fragestellungen zum Digitalen Nachlass

    Hinterbliebene stehen vor vielen Herausforderungen, wenn sie an Vertragsinformationen gelangen müssen und Online-Konten von Verstorbenen verwalten sollen. Ohne Passwörter und Zugangsdaten haben Erben oft keinen Zugriff auf die Online-Konten. Sie können sich nicht um laufende Geschäfte wie Internetauktionen, Abos oder Bestellungen kümmern oder Verträge kündigen. Im schlimmsten Fall entstehen hohe laufende Kosten und finanzielle Schäden.

    Mehr erfahren
  • Soziale Netzwerke

    LfDI Baden-Württemberg zieht sich aus Twitter zurück

    Im November 2017 richtete der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Dr. Stefan Brink, einen Twitter-Account für seine Behörde ein und twitterte seit dem mit großem Erfolg zu aktuellen Themen aus der Welt des Datenschutzes und der Informationsfreiheit. Mit dem neuen Angebot wollte der LfDI seine Zielgruppen künftig noch besser mit aktuellen Informationen

    Mehr erfahren
  • Wegweiser

    BayLfD bietet umfangreiche Infos für DSFA

    Auch öffentliche Stellen sind grundsätzlich zur Durchführung von Datenschutz-Folgenabschätzungen verpflichtet, insbesondere wenn sie Verarbeitungen personenbezogener Daten durchführen, die in einer der Blacklist der Aufsichtsbehörde genannt sind. Als Hilfestellung für bayerische öffentliche Stellen bietet der BayLfD auf seinem Internetauftritt umfangreiche Informationen und Tools an, die im Rahmen der Prüfung (soweit die relevante Verarbeitung also nicht ohnehin

    Mehr erfahren