CLOUD COMPUTING C5 | KRITERIEN DES BSI

Was versteht man unter dem Kriterienkatalog Cloud Computing C5 des Bundesamt für Sicherheit in der Informationstechnik (BSI)?

Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) definiert Mindestanforderungen für sicheres Cloud Computing und richtet sich primär an professionelle Cloud-Anbieter sowie deren Prüfer und Kunden.

Ursprünglich im Jahr 2016 vom BSI veröffentlicht, hat sich der Kriterienkatalog C5 in den letzten Jahren erfolgreich etabliert. Der Kriterienkatalog wird bereits von mehreren nationale, europäische und internationale Cloud-Anbieter sowie eine Vielzahl von Cloud-Diensten genutzt. Auch mittelständische und kleinere Anbieter wenden den Katalog mittlerweile an.

Der C5 bietet Cloud-Kunden eine wichtige Orientierung bei der Auswahl eines Anbieters und dient als Grundlage für das interne Risikomanagement. Im Jahr 2020 wurde der Kriterienkatalog grundlegend überarbeitet, um aktuellen Entwicklungen gerecht zu werden und die Qualität weiter zu steigern.

Möglichkeiten der Prüfung/Testierung

Eine Testierung gemäß dem C5-Katalog ist grundsätzlich für alle Anbieter relevant, die ihren Kunden Cloud-Dienstleistungen anbieten, einschließlich solcher, die aus den Leistungen von Unterauftragnehmern zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

Dies umfasst verschiedene Cloud-Modelle wie SaaS (z.B. ERP-Systeme, Finanzdienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualisierung usw.), PaaS (Entwicklungsplattformen) und IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen).

Eine Testierung nach C5 ist besonders interessant für Cloudanbieter, die ihre Dienstleistungen für eine breite Kundenbasis anbieten.

Prüfungs- und Beratungsleistungen zu BSI C5

Wir überprüfen die aktuelle Erfüllung der C5-Kriterien bei unseren Kunden unter Berücksichtigung des ISAE 3000 und untersuchen je nach Prüfungstyp auch, ob diese in der Vergangenheit kontinuierlich erfüllt wurden. Sie erstellen einen Prüfbericht gemäß international anerkannten Standards, der die durchgeführten Prüfaktivitäten dokumentiert. Darüber hinaus enthält der Bericht eine Systembeschreibung, die die ergriffenen Maßnahmen des Anbieters detailliert dokumentiert.