Cloud Computing-Konformitätskriterienkatalog (C5)
C5 – Überblick
Im Jahr 2016 erstellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Anforderungskatalog „Cloud Computing Compliance Controls Catalog“ (C5). Das BSI hat den Leitfaden im Jahr 2020 als Cloud Computing Compliance Criteria Catalog (C5:2020) überarbeitet. Der C5 ist ein geprüfter Standard, der verbindliche Mindestanforderungen für die Cloudsicherheit und die Einführung von Public Cloud-Lösungen für deutsche Regierungsbehörden und Organisationen, die mit der Regierung zusammenarbeiten, festlegt. Der C5 wird auch zunehmend im privaten Sektor genutzt.
Ziel des C5-Katalogs ist ein einheitlicher Sicherheitsrahmen für die Zertifizierung von Clouddienstanbietern und die Zusicherung für Kunden, dass ihre Daten sicher verwaltet werden.
C5 basiert auf international anerkannten IT-Sicherheitsstandards wie ISO/IEC 27001:2013, der Cloud Security Alliance Cloud Controls Matrix 3.0.1 und den BSI-eigenen IT-Grundschutzkatalogen. Der Katalog besteht aus 114 Anforderungen in 17 Bereichen – z. B. der Organisation von Informationssicherheit und physischer Sicherheit – mit Sicherheitsanforderungen, die für alle Clouddienstanbieter gelten, und andere Anforderungen für die Verarbeitung streng vertraulicher Daten und für Situationen, die hohe Verfügbarkeit erfordern.
Das BSI legt auch großen Wert auf Transparenz. Als Teil einer Prüfung muss der Cloudanbieter eine detaillierte Systembeschreibung beifügen und Umgebungsparameter wie Gerichtsbarkeit und Datenverarbeitungsstandort, Bereitstellung von Diensten und andere für die Clouddienste ausgestellte Zertifizierungen sowie Informationen über die Offenlegungspflichten des Cloudanbieters gegenüber Behörden offenlegen. Dieses System hilft potenziellen Cloudkunden zu entscheiden, ob die Clouddienste ihre wesentlichen Anforderungen erfüllen, z. B. die Einhaltung gesetzlicher Anforderungen wie Datenschutz, Unternehmensrichtlinien oder die Fähigkeit, der Bedrohung durch Wirtschaftsspionage zu begegnen.
Microsoft und C5
Microsoft Cloud Services werden mindestens einmal jährlich anhand des Standards SOC 2 (AT Section 101) überprüft. Laut BSI kann eine C5-Prüfung mit einer SOC 2-Prüfung kombiniert werden, um Teile der Systembeschreibung und Prüfergebnisse für überlappende Kontrollen wiederzuverwenden. Microsoft Azure, Azure Government und Azure Deutschland unterhält einen kombinierten Bericht (C5, SOC 2 Typ 2, CSA STAR-Bescheinigung) auf der Grundlage der von einem unabhängigen Prüfer durchgeführten Prüfungsbewertung, welche die Einhaltung von C5 nachweist.
In Microsoft eingeschlossene Cloudplattformen und -Dienste
- Azure, Azure Government und Azure Deutschland
- Office 365 Deutschland
Azure, Dynamics 365 und C5
Weitere Informationen zur Compliance von Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Angebot Deutschland C5:2020.
Häufig gestellte Fragen
Kann ich die Compliance von Microsoft mit dem C5 nutzen, damit meine Organisation ihre eigene C5-Bescheinigung erhält?
Ja. Sie können die Bescheinigung der Microsoft Cloud Services als Grundlage für Programme oder Initiativen nutzen, für die der C5 erforderlich ist. Für Komponenten außerhalb dieser Dienste oder Komponenten, die auf diesen Diensten basieren, müssen Sie jedoch eine eigene C5-Bescheinigung einholen.
Was ist der Unterschied zwischen C5 und den IT-Grundschutzkatalogen?
Der IT-Grundschutz bietet die spezifische Methodik, um Organisationen dabei zu unterstützen, Sicherheitsmaßnahmen für IT-Systeme zu erkennen und umzusetzen. Außerdem stellt er eines der Elemente dar, auf denen die C5-Standards basieren. Der C5 umfasst eine Reihe von Prüfungsstandards für Clouddienstanbieter. Die Einzelheiten der Umsetzung bleiben jedoch dem Clouddienstanbieter selbst überlassen.
Was ist die Microsoft Cloud Deutschland?
Microsoft Cloud Deutschland ist physisch in Deutschland ansässig und erfüllt die Anforderungen des deutschen Datenschutzrechts, das die Übermittlung personenbezogener Daten an andere Nationen einschränkt und Schutz vor dem Zugriff durch Behörden aus anderen Ländern bietet, die gegen nationale Gesetze verstoßen könnten. Über ein einzigartiges Datentreuhändermodell nach deutschem Recht bietet Azure Deutschland entsprechend Azure-Dienste aus deutschen Rechenzentren mit Datenhaltung in Deutschland sowie strengen Datenzugriff- und Kontrollmaßnahmen.
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal , mit dem Sie den Compliancestatus Ihrer Organisation besser verstehen und Maßnahmen ergreifen können, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.
Ressourcen
- Cloud Computing Compliance Criteria Catalog (C5:2020) (Englisch) (Deutsch)
- Sicherheitsempfehlungen für Cloud Computing-Anbieter (Englisch) (Deutsch)
- Azure + Dynamics 365 + Online Services – Public & Government – SOC 2 Type II + C5 + CSA Star Report
- Microsoft 365 – C5 Worldwide Type 1 Report
- IT-Grundschutz Arbeitsmappe für Microsoft Azure Deutschland
- IT-Grundschutz-Arbeitsmappe (Englisch) für Office 365 Deutschland
- IT-Grundschutz-Arbeitsmappe für Office 365 Deutschland
- Compliance im Microsoft Trust Center