Cloud Computing Compliance Controls Catalog (C5)

C5 – Überblick

Im Jahr 2016 erstellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Anforderungskatalog „Cloud Computing Compliance Controls Catalog“ (C5). Der C5 ist ein geprüfter Standard, der verbindliche Mindestanforderungen für die Cloudsicherheit und die Einführung von Public Cloud-Lösungen für deutsche Regierungsbehörden und Organisationen, die mit der Regierung zusammenarbeiten, festlegt. Der C5 wird auch zunehmend im privaten Sektor genutzt.

Ziel des C5-Katalogs ist ein einheitlicher Sicherheitsrahmen für die Zertifizierung von Clouddienstanbietern und die Zusicherung für Kunden, dass ihre Daten sicher verwaltet werden.

C5 basiert auf international anerkannten IT-Sicherheitsstandards wie ISO/IEC 27001:2013, der Cloud Security Alliance Cloud Controls Matrix 3.0.1 und den BSI-eigenen IT-Grundschutzkatalogen. Der Katalog besteht aus 114 Anforderungen in 17 Bereichen – z. B. der Organisation von Informationssicherheit und physischer Sicherheit – mit Sicherheitsanforderungen, die für alle Clouddienstanbieter gelten, und andere Anforderungen für die Verarbeitung streng vertraulicher Daten und für Situationen, die hohe Verfügbarkeit erfordern.

Das BSI legt auch großen Wert auf Transparenz. Als Teil einer Prüfung muss der Cloudanbieter eine detaillierte Systembeschreibung beifügen und Umgebungsparameter wie Gerichtsbarkeit und Datenverarbeitungsstandort, Bereitstellung von Diensten und andere für die Clouddienste ausgestellte Zertifizierungen sowie Informationen über die Offenlegungspflichten des Cloudanbieters gegenüber Behörden offenlegen. Aufgrund der geschaffenen Transparenz wird dem Kunden die Entscheidung erleichtert, ob Clouddienste den gesetzlichen Vorschriften (zum Beispiel im Datenschutz), den eigenen Richtlinien oder auch der Gefährdungslage bezüglich Wirtschaftsspionage entsprechen.

Microsoft und C5

Microsoft Cloud Services werden mindestens einmal jährlich anhand des Standards SOC 2 (AT Section 101) überprüft. Laut BSI kann eine C5-Prüfung mit einer SOC 2-Prüfung kombiniert werden, um Teile der Systembeschreibung und Prüfergebnisse für überlappende Kontrollen wiederzuverwenden. Microsoft Azure, Azure Government und Azure Deutschland unterhält einen kombinierten Bericht (C5, SOC 2 Typ 2, CSA STAR-Bescheinigung) auf der Grundlage der von einem unabhängigen Prüfer durchgeführten Prüfungsbewertung, welche die Einhaltung von C5 nachweist.

In Microsoft eingeschlossene Cloudplattformen und -Dienste

Prüfungen, Berichte und Zertifikate

Häufig gestellte Fragen

Kann ich die Compliance von Microsoft mit dem C5 nutzen, damit meine Organisation ihre eigene C5-Bescheinigung erhält?

Ja. Sie können die Bescheinigung der Microsoft Cloud Services als Grundlage für Programme oder Initiativen nutzen, für die der C5 erforderlich ist. Für Komponenten außerhalb dieser Dienste oder Komponenten, die auf diesen Diensten basieren, müssen Sie jedoch eine eigene C5-Bescheinigung einholen.

Was ist der Unterschied zwischen C5 und den IT-Grundschutzkatalogen?

Der IT-Grundschutz bietet die spezifische Methodik, um Organisationen dabei zu unterstützen, Sicherheitsmaßnahmen für IT-Systeme zu erkennen und umzusetzen. Außerdem stellt er eines der Elemente dar, auf denen die C5-Standards basieren. Der C5 umfasst eine Reihe von Prüfungsstandards für Clouddienstanbieter. Die Einzelheiten der Umsetzung bleiben jedoch dem Clouddienstanbieter selbst überlassen.

Was ist die Microsoft Cloud Deutschland?

Bei der Microsoft Cloud Deutschland handelt es sich um eine souveräne Cloud mit deutschen Rechenzentrumsstandorten. Es gelten deutsche Datenschutzgesetze, welche die Übertragung von personenbezogenen Daten in andere Länder beschränken und Schutz vor Zugriff durch Behörden anderer Gerichtsbarkeiten bieten, die nationales Recht verletzen könnten. Über ein einzigartiges Datentreuhändermodell nach deutschem Recht bietet Azure Deutschland entsprechend Azure-Dienste aus deutschen Rechenzentren mit Datenhaltung in Deutschland sowie strengen Datenzugriff- und Kontrollmaßnahmen.

Verwenden Sie den Microsoft Compliance Manager, um Ihr Risiko einzuschätzen

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen