Warum Sie möglicherweise BSI C5-Compliance für Ihre Cloud-Infrastruktur benötigen
Mit zahlreichen auf dem Markt verfügbaren Best Practices und Standards für Cloud-Sicherheit Das deutsche Bundesamt für Sicherheit in der Informationstechnik (Bundesamt für Sicherheit in der Informationstechnik, oder BSI) hat seinen Cloud-Sicherheitsstandard mit dem Namen eingeführt Katalog mit Compliance-Kriterien für Cloud Computing (C5). Dieser Beitrag hilft Ihnen zu verstehen, was BSI C5 ist und wie es Ihrer Cloud zugute kommen könnte, wenn Sie es einhalten.
Überblick über BSI C5
BSI C5 wurde erstmals 2016 auf den Markt gebracht, um den Sicherheitsaspekt der Digitalisierungswelle mithilfe von Cloud Computing zu unterstützen, um die Cloud-Infrastruktur und die darauf laufenden vertraulichen Informationen und Abläufe zu sichern. Es basiert auf etablierten Informationssicherheitsstandards wie ISO 27001 und Cloud-Kontrollmatrix (CCM) der Cloud Security Alliance. Es ist neueste Version wurde 2020 veröffentlicht, um auf die rasante Entwicklung des Cloud-Computing in den letzten Jahren zu reagieren.
Ziele
Der C5-Standard besteht aus Kriterienkatalogen zu verschiedenen wichtigen Aspekten der Gewährleistung sicherer Cloud-Infrastrukturen, wie Kryptografie, Überwachung, Identitäts- und Zugriffsmanagement. Er zielt in erster Linie auf drei Hauptziele ab: Cloud-Anbieter, Auditoren und in Deutschland tätige Kunden.
- Wenn Cloud-Anbieter BSI C5 einhalten möchten, könnten sie die Kriterienkataloge direkt in ihre dienstleistungsbezogenen internen Kontrollsysteme implementieren oder sie testen ihre internen Kontrollsysteme, wenn sie das gleiche Maß an Kontrolle bieten wie die angegebenen Kataloge.
- Unabhängige Cloud-Auditoren von Drittanbietern werden die Cloud-Anbieter überprüfen, ob ihre internen Kontrollsysteme für die von ihnen angebotenen Cloud-Dienste und Cloud-Ressourcen den Sicherheitsanforderungen von BSI C5 entsprechen. Sobald alles überprüft wurde, erhalten die Cloud-Anbieter die Bestätigung für BSI C5.
- Cloud-Kunden könnten das Bescheinigungsergebnis des Cloud-Anbieters zur Überprüfung der Einhaltung von Vorschriften und zur Sicherheitsbewertung verwenden, wenn sie die Cloud nutzen oder nach einer geeigneten Cloud suchen.
Der Unterschied zu BSI IT-Grundschutz
BSI hat zwar auch einen anderen Informationssicherheitsstandard namens IT-Grundschutz, es unterscheidet sich stark vom C5-Standard. IT-Grundschutz bezieht sich auf Informationssicherheitsmanagementsysteme (ISMS), die dazu beitragen, Schutzmaßnahmen für Informationen in den Mitarbeitern, Geschäftsprozessen, IT-Systemen und Anwendungen des Unternehmens bereitzustellen und aufrechtzuerhalten. In der Zwischenzeit trägt C5 dazu bei, dass die Cloud-Infrastruktur sicher ist, damit Cloud-Kunden ihre Infrastrukturen aufbauen, ihre Anwendungen und Dienste ausführen und ihre Daten in der Cloud speichern können.
Warum BSI C5-Compliance gut für Sie sein könnte
BSI C5 ist freiwillig, was bedeutet, dass Cloud-Anbieter und Sie als Cloud-Kunden sich nicht daran halten müssen.
Cloud-Anbieter könnten im Rahmen des Modells der gemeinsamen Verantwortung beim Cloud-Computing die Cloud-Sicherheitsstandards und Best Practices, einschließlich BSI C5, einhalten. Es zeigt, dass Cloud-Kunden sich dafür einsetzen, dass ihre Cloud-Infrastrukturen, einschließlich der angebotenen Cloud-Dienste und verfügbaren Ressourcen, sicher und standardisiert sind. Cloud-Kunden wären dann zuversichtlich, ihre vertraulichen Daten zu speichern und ihre Infrastruktur in der bereitgestellten Cloud aufzubauen.
Obwohl es für Cloud-Kunden optional ist, BSI C5 einzuhalten, gibt es einige Argumente dafür, warum dies für Sie (und Ihre Cloud) gut sein könnte:
- Erstens sind Sie als Cloud-Kunden dafür verantwortlich, Ihre Cloud-Infrastruktur im Rahmen des Modells der gemeinsamen Verantwortung des Cloud-Anbieters sicher zu konfigurieren. Die Einhaltung von Cloud-Sicherheitsstandards und Best Practices wie BSI C5 würde Ihnen helfen, sicherzustellen, dass keine falsch konfigurierten Cloud-Ressourcen von unbefugten Benutzern ausgenutzt werden können.
- Angenommen, Ihr Unternehmen ist in Deutschland in kritischen Infrastruktur- oder Finanzbereichen tätig. In diesem Fall ist es möglicherweise erforderlich, Cloud-Anbieter zu verwenden, die über eine BSI-C5-Zertifizierung verfügen, um Ihre (Kunden-) Daten und Anwendungen zu hosten. Die Einhaltung der Kriterienkataloge von BSI C5 für Ihre Cloud-Infrastruktur würde dazu beitragen, die erforderlichen deutschen Vorschriften einzuhalten und das Vertrauen der Cloud-Kunden in den Schutz Ihrer Cloud zu stärken.
Es gibt jedoch mehrere Dinge, die Sie beachten müssen, wenn Sie versuchen, die Einhaltung von BSI C5 zu erreichen.
- Die BSI-C5-Bescheinigungsergebnisse der Cloud-Anbieter gelten möglicherweise nicht für alle Regionen von Cloud-Anbietern. Das bedeutet, dass in der von BSI C5 bestätigten Region nur die Cloud-Ressourcen vorhanden sind, die für deren Kriterienkataloge gelten. Also, zum Beispiel Nur die Amazon Web Services-Regionen Frankfurt, Irland, London, Paris, Mailand, Stockholm und Singapur fallen in den Geltungsbereich der BSI-C5-Bescheinigung.
- Nicht alle Kriterienkataloge von BSI C5 gelten für Sie als Cloud-Kunden. Dies liegt daran, dass sich mehrere Kriterienkataloge an Cloud-Anbieter richten, bei denen sie sich stärker auf die betriebliche oder physische Infrastruktur konzentrieren.
Wie Mitigant dazu beitragen kann, die BSI-C5-Konformität zu erreichen
Mitigant hilft Unternehmen dabei, die Einhaltung von Best Practices und Standards für die Cloud-Sicherheit, wie z. B. die Benchmarks des Center for Internet Security (CIS), den Payment Card Industry Data Security Standard (PCI-DSS) und BSI C5, kontinuierlich zu gewährleisten und zu überwachen. Stellen Sie durch einen einfachen und schnellen Onboarding-Prozess in einer einheitlichen und benutzerfreundlichen Oberfläche sicher, dass Ihre Cloud-Ressourcen dauerhaft sicher konfiguriert und konform sind.
Lesen Sie mehr über das kontinuierliche Compliance-Management von Mitigant unter https://www.mitigant.io/compliance.