Blogs
Halten Sie Ihre erstellten Assets siche
Indem Sie den Kriterienkatalog des C5
Was ist die C5-Testierung?
Im Jahr 2016 wurde das Testierungsschema Cloud Computing Compliance Criteria Catalogue (C5) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. C5 bietet einen Rahmen zur Überprüfung von Organisationen, die Cloud-Software-Dienste auf der Grundlage von strengen Kriterien entwickeln. Dadurch können sie ihre Sicherheitsmaßnahmen und Maßnahmen gegen böswillige Angriffe nachweisen.
Die C5-Testierung liefert fundierte Erkenntnisse über diese Organisationen, sodass Unternehmen, die nach Drittanbieteranbietern suchen, beruhigt sein können, dass ihre Daten in den Systemen des Anbieters sicher bleiben werden.
Daten sind das größte Kapital einer Organisation
Unabhängig von der Branche generiert jedes Unternehmen eine enorme Menge an Daten, und bösartige Angreifer versuchen ständig, aus den unterschiedlichsten Gründen Zugriff auf diese Daten zu erlangen. Die Bauindustrie bildet dabei keine Ausnahme, und ein erfolgreicher Angriff, der zu einem Datenleck oder -verlust führt, kann besonders verheerend sein. Laut einer Studie von Bitkom wurde geschätzt, dass allein Deutschland in 2023 durch Cyberangriffe 206 billion euros verloren hat.
Ob ein Angriff zu langwierigen und kostspieligen rechtlichen Problemen führt, das Vertrauen und die Reputation schädigt oder sensible Informationen über Hochsicherheitsanlagen offenbart – Organisationen können es sich nicht leisten nachlässig zu sein, wenn es um ihre Informationssicherheitsmanagementstrategie geht. Das Überprüfen von Drittanbietern anhand einer Reihe von Sicherheitsstandards und Compliance-Vorgaben ist bewährte Praxis, um Ihre Daten sicher zu halten, wenn sie außerhalb Ihrer Organisation gehandhabt werden.
Die Vorteile von C5
Einer der Hauptvorteile der C5-Konformitätsbescheinigung besteht darin, dass sie nach einer Prüfung durch unabhängige Dritte gewährt wird. Dieser standardisierte Prozess bietet eine unvoreingenommene Bestätigung, dass der Cloud-Anbieter zuverlässig und vertrauenswürdig ist.
Die während der C5-Prüfung und Untersuchung erstellten Berichte geben Kunden auch die Möglichkeit, die Informationssicherheit des Cloud-Dienstleisters zu analysieren, ihre eigene Risikobewertung durchzuführen und sie mit anderen Cloud-Anbietern zu vergleichen.
C5 erleichtert dies, da der Beglaubigungsbericht über das einfache Feststellen eines sicheren und vertrauenswürdigen Cloud-Dienstleisters hinausgeht – er zeigt auch klar auf, wie sie ihren Service und ihre Daten absichern.
Die C5-Kriterien
Die C5 umfassen 18 Kategorien, die allgemeine Bedingungen und andere Kategorien wie die Organisation der Informationssicherheit, das Personal- und Assetmanagement usw. enthalten. Diese anderen Kriterien umfassen insgesamt 121 Anforderungen, die sich auf das gesamte Unternehmen erstrecken.
Die C5-Kriterien
Organisation der Informationssicherheit (OIS)
Das Ziel dieses Kriteriums ist es, den Rahmen für die Planung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit in der Organisation festzulegen.
Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
Dieses Kriterium soll Anweisungen und Richtlinien in Bezug auf die Sicherheitsanforderungen bereitstellen. Es zielt auch darauf ab, die Geschäftsanforderungen zu unterstützen.
Personal (HR)
Das Ziel dieses Kriteriums ist es sicherzustellen, dass Mitarbeiter ihre Verantwortlichkeiten im Hinblick auf die Informationssicherheit verstehen und sich dessen bewusst sind. Dies beinhaltet auch das Verständnis dafür, dass die Vermögenswerte der Organisation auch bei Änderungen in der Beschäftigung geschützt sind.
Asset Management (AM)
Dieses Kriterium stellt sicher, dass die eigenen Vermögenswerte der Organisation angemessen geschützt werden.
Physische Sicherheit (PS)
Dieses Kriterium zielt darauf ab, Diebstahl, Beschädigung, unbefugten physischen Zugriff sowie einen Betriebsausfall vorzubeugen.
Regelbetrieb (OPS)
Das Ziel dieses Kriteriums ist es sicherzustellen, dass betriebliche Abläufe reibungslos verlaufen. Dies umfasst angemessene Planungs- und Überwachungsmaßnahmen zum Schutz vor Malware, Protokollierung von Ereignissen sowie den Umgang mit Schwachstellen und Ausfällen.
Identitäts- und Berechtigungsmanagement (IDM)
Dieses Kriterium soll unbefugten Zugriff verhindern, indem die Benutzerauthentifizierung und -autorisierung gesichert wird.
Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
Das Ziel dieses Kriteriums ist der Schutz der Informationen, auf die Lieferanten oder Dienstleister des Cloud-Dienstanbieters Zugriff haben.
Kryptographie und Schlüsselmanagement (CRY)
Das Ziel dieses Kriteriums ist es, die Authentizität, Integrität und Vertraulichkeit von Informationen durch den angemessenen und effektiven Einsatz von Kryptographie zu schützen.
Kommunikationssicherheit (COS)
Dieses Kriterium soll sicherstellen, dass Informationen in Netzwerken und Verarbeitungssystemen geschützt sind.
Portabilität und Interoperabilität (PI)
Das Ziel dieses Kriteriums ist es sicherzustellen, dass Kunden auf den Cloud-Dienst über andere IT-Systeme oder Cloud-Dienste zugreifen können sowie am Ende der Beziehung auf die gespeicherten Daten zugreifen können. Es stellt auch sicher, dass sie Daten sicher vom Cloud-Dienstanbieter löschen können.
Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
Dieses Kriterium gewährleistet die Informationssicherheit während des Entwicklungszyklus des Cloud-Dienstanbieters.
Umgang mit Sicherheitsvorfällen (SIM)
Dieses Kriterium stellt sicher, dass der Cloud-Dienstanbieter einen konsistenten umfassenden Ansatz zur Bewertung, Kommunikation und Behandlung von Sicherheitsvorfällen hat.
Business Continuity Management (BCM)
Dieses Kriterium beinhaltet Planung, Umsetzung und Testmaßnahmen sowie Verfahren im Zusammenhang mit Notfallmanagement und Geschäftskontinuität.
Compliance (COM)
Das Ziel dieses Kriteriums ist es, die Einhaltung von rechtlichen, regulatorischen und vertraglichen Vorgaben zur Informationssicherheit sicherzustellen.
Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
Das Ziel dieses Kriteriums ist es, die Einhaltung von rechtlichen, regulatorischen und vertraglichen Vorgaben zur Informationssicherheit sicherzustellen.
Produktsicherheit (PSS)
Das Ziel dieses Kriteriums ist es, Cloud-Kunden aktuelle Informationen über die sichere Konfiguration und bekannte Schwachstellen des Dienstes bereitzustellen.
Wie C5 im Vergleich zu anderen Sicherheitsaudits abschneidet
C5 wurde entwickelt, um die Notwendigkeit mehrerer Audits und Zertifizierungen oder Testierungen zu vermeiden. Es kann jedoch mit anderen relevanten Audits und Zertifizierungen synchronisiert werden, um die Notwendigkeit unnötiger Audits zu reduzieren.
ISO/IEC 27001 – Diese internationalen Cloud-Sicherheitsstandards legten den Grundstein für die C5-Kriterien. Allerdings gibt ISO/IEC 27001 nicht detailliert vor, wie die Anforderungen umgesetzt werden sollen, während der C5-Standard detaillierte Informationen zur Umsetzung seiner Kriterien liefert.
Service Organisation Control (SOC) Audit –Dieser Standard deckt fünf Schlüsselbereiche des Vertrauens in Bezug auf Systemzuverlässigkeit ab – Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz. Er kann mit dem C5-Audit kombiniert werden, um redundante Kontrollen zu minimieren. Wie bei C5 müssen auch bei SOC bestimmte Kriterien erfüllt werden und es beinhaltet die Meinung eines unabhängigen Prüfers. Ein wesentlicher Unterschied zwischen diesen beiden Standards besteht darin, dass C5 auch direkte Engagements durchführt, bei denen die Prüfer bereits vorhandene Verfahren und Kontrollen überprüfen, um deren Wirksamkeit zu bewerten.
National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) –Das NIST CSF ist als ein Leitfaden zur Risikomanagementausrichtung entwickelt worden, der Organisationen dabei helfen soll, Cybersicherheitsrisiken zu reduzieren und zu verwalten. Es ist ein weiterer ergänzender Rahmen mit vielen Überschneidungen mit ISO 27001 und C5. NIST ist für Bundesbehörden in den Vereinigten Staaten obligatorisch.
C5 Implementierung
Die Umsetzung der C5-Kriterien verschafft Cloud-Service-Anbietern einen Wettbewerbsvorteil, indem die Sicherheit verbessert wird. Um sicherzustellen, dass ein Cloud-Service-Anbieter mit C5 übereinstimmt, führen unabhängige Prüfer oder zertifizierte Wirtschaftsprüfer eine Untersuchung durch, um sicherzustellen, dass die Kriterien erfüllt wurden.
Daraufhin wird ein international standardisierter Prüfbericht erstellt. Dieser Bericht beschreibt den Ablauf der Untersuchung und zeigt auf, welche Prozesse, Verfahren und Maßnahmen des Cloud-Service-Anbieters die C5-Kriterien erfüllen. Um ein C5-Testat zu erhalten, muss der Cloud-Service-Anbieter die Kriterien vollständig erfüllen.
Einhaltung rechtlicher Anforderungen mit C5
Die C5-Bescheinigung ist auch ein Nachweis dafür, dass die rechtlichen Anforderungen für sichere Cloud-Dienste erfüllt wurden. Dies bietet zusätzliche Gewissheit dafür, dass Daten bei der Zusammenarbeit mit einem Drittanbieter sicher sind.
Das Risiko von Cyberangriffen auf kritische Infrastrukturen hat in den letzten zehn Jahren um 3900% zugenommen. Aufgrund dieses erhöhten Risikos für kritische Infrastrukturen ist C5 in Deutschland für viele Behörden und Finanzinstitute eine gesetzliche Verpflichtung geworden. Die Zusammenarbeit mit Anbietern mit einer C5-Bescheinigung gewährleistet auch die Einhaltung anderer Anforderungen und Gesetze, die diese Vermögenswerte betreffen.
Fazit
Als weltweit anerkannter Standard ermöglicht ein C5-Testat eine objektive Bewertung und Vergleichbarkeit der Sicherheit von Cloud-Lösungsanbietern. Diese standardisierte Untersuchung und Bewertung erleichtern die Suche nach einem vertrauenswürdigen und zuverlässigen Drittanbieter, der ein Gefühl der Sicherheit bietet, dass Ihre Daten und andere wichtige Informationen bei der Nutzung ihrer Dienste geschützt sind.
Aktuelles
Thinkproject SaaS-Lösungen erhalten das C5 Testat
eBook
Die Bausteine der Informationssicherheit
Kontaktieren Sie uns
Füllen Sie unser Formular aus und ein Mitarbeiter von Thinkproject wird sich schnellstmöglich mit Ihnen in Verbindung setzen.
Wir freuen uns darauf, von Ihnen zu hören!
Die Informationen, die Sie hier eingeben, werden nur zur Beantwortung Ihrer Anfrage genutzt. Wenn Sie an Informationen über bevorstehende Events, Branchentrends, Digitalisierung, BIM und mehr interessiert sind, klicken Sie bitte das entsprechende Feld an. Den Schutz Ihrer Daten nehmen wir sehr ernst.