Thinkproject SaaS-Lösungen erhalten das C5 Testat
Thinkproject hat für seine Document & Communication Management Lösungen sowie die entsprechenden Services eine offizielle C5 Testierung erhalten.
C5:2020 (Cloud Computing Compliance Controls Catalogue) ist ein Kriterienkatalog, mit dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anforderungen an ein sicheres und compliance-konformes Cloud-Computing definiert. Anders als Standards wie etwa ISO/IEC 27001 zielt der C5 Kriterienkatalog explizit auf die Sicherheit im Cloud Computing und will bei Cloud-Diensten eine maximale Informationssicherheit herstellen – für Betreiber und Kunden gleichermaßen.
Wenn beispielsweise (Bundes-)Behörden und Finanzinstitute Cloud-Angebote nutzen, existiert sogar eine gesetzliche Verpflichtung, schon bei der Auftragsvergabe auf Einhaltung der C5 Kriterien zu bestehen. Ähnliche Relevanz hat C5 für die Betreiber kritischer Infrastruktur (KRITIS) gemäß BSI-Gesetz. Die Prüfung für das C5 Testat von Thinkproject hat die HKKG Wirtschaftsprüfungsgesellschaft mit Hauptsitz in Köln durchgeführt.
Zusammen mit der C5 Testierung hat Thinkproject dabei auch gleich eine Testierung gemäß dem US-amerikanischen SOC 2 Cloudsicherheits-Standard (System and Organization Controls 2) erhalten, den das American Institute of Certified Public Accountants (AICPA) definiert hat.
Der C5 Kriterienkatalog des BSI
Ein Testat gemäß dem C5 Kriterienkatalog des BSI darf als Indikator dafür gelten, dass ein Anbieter von Cloud-Diensten seine Infrastruktur so gut wie möglich gegen Cyberangriffe schützt. In diesem Fall bedeutet dies: Die SaaS-basierten Common Data Environments (CDE) von Thinkproject verfügen über das für Cloud-Lösungen denkbar höchste Sicherheitsniveau. Der C5 Katalog des BSI umfasst 17 Kategorien (Domains), die aus Basiskriterien, Zusatzkriterien und ergänzenden Informationen bestehen.
Insgesamt definiert der C5 Katalog 127 Anforderungen (Controls) über das gesamte Unternehmen, seine Prozesse und sein Personal hinweg. So behandelt C5 beispielsweise Anforderungen hinsichtlich des eingesetzten Personals, die Einhaltung physischer Sicherheit, das Identitäts– und Rechtemanagement, die Kommunikationssicherheit, kryptographische Maßnahmen und Schlüsselmanagement sowie den Umgang mit Sicherheitsvorfällen.
IT-Sicherheit auch bei SaaS-Lösungen unverzichtbar
„In Deutschland ist C5 Konformität bei Ausschreibungen der öffentlichen Hand oft ein zwingendes, gesetzlich gefordertes Kriterium“, erklärt Dr. Ralf Hundhammer, CTO von Thinkproject. „Ähnliche Relevanz hat dieser Anforderungskatalog des BSI für KRITIS-Betreiber und für Finanzinstitute. Man könnte sagen, die C5 Testierung von Nachunternehmern wie Thinkproject ist für Betreiber von KRITIS unverzichtbar um überprüfte, höchstmögliche Informationssicherheit zu gewährleisten. Aber der Siegeszug des Cloud-Computing setzt sich ja in der gesamten Wirtschaft fort. Darum achten immer mehr Unternehmen bei der Auswahl eines Cloud- oder SaaS-Anbieters schon aus wohlverstandenem Eigeninteresse genau darauf, welche Sicherheitsstandards dieser Anbieter erfüllt.
In diesem Zusammenhang ist es der große Vorteil von Kriterienkatalogen wie C5 und SOC 2, dass sie speziell die Sicherheit im Cloud-Computing adressieren. Sie stellen im Cloud-Bereich viel granularere Anforderungen, als es beispielsweise die ISO 27001 tut. Mit dem erfolgreichen Audit in Sachen C5 und SOC 2 können wir nun dokumentieren, dass wir bei Thinkproject jeglichen Sicherheitsanforderungen genügen: von der allgemeinen Zertifizierung gemäß ISO 27001 bis hin zur cloud–spezifischen Testierung nach C5 und SOC 2. Für uns und für unsere Kunden ist Cybersicherheit zu Recht ein Thema von zentraler Bedeutung“, so der Thinkproject-CTO Dr. Hundhammer, „Digitalisierung und Informationssicherheit müssen Hand in Hand gehen.“