Der C5-Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) ist ein Regelwerk, das Mindestanforderungen für sicheres Cloud Computing festlegt. Er wurde 2016 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht. Der Katalog richtet sich vor allem an professionelle Cloud-Anbieter sowie deren Prüfer und Kunden.
Ziel des C5-Kriterienkatalogs ist es, Standards und Richtlinien für die Sicherheit von Cloud-Diensten bereitzustellen. Er hilft dabei, sicherzustellen, dass Cloud-Anbieter Mindestanforderungen erfüllen, um Vertraulichkeit, Integrität und Verfügbarkeit von Daten in der Cloud zu gewährleisten.
Der C5-Kriterienkatalog wird als Leitfaden für die Auswahl von Cloud-Dienstleistern genutzt. Er unterstützt Kunden dabei, die Sicherheitspraktiken von Cloud-Anbietern zu bewerten. Er bildet die Grundlage für ein kundenspezifisches Risikomanagement im Umgang mit Cloud-Services.
Der Katalog wurde im Jahr 2019 grundlegend überarbeitet.
Beispiele
- Informationssicherheitsmanagement: Der Cloud-Anbieter muss ein wirksames Informationssicherheitsmanagement implementieren und aufrechterhalten.
- Datenschutz: Es müssen Maßnahmen ergriffen werden, um personenbezogene Daten in der Cloud angemessen zu schützen.
- Compliance: Der Cloud-Anbieter muss sicherstellen, dass seine Dienste den relevanten gesetzlichen Anforderungen entsprechen.
- Sicherheitsarchitektur: Die Cloud-Infrastruktur muss sicher und widerstandsfähig gegenüber Angriffen sein. Es müssen Sicherheitsmaßnahmen für den Schutz von Netzwerken und Systemen implementiert werden.
- Notfallmanagement: Der Cloud-Anbieter muss Notfallpläne haben, um auf schwerwiegende Vorfälle reagieren zu können. Es müssen regelmäßige Notfallübungen durchgeführt werden, um die Wirksamkeit der Pläne zu überprüfen.
Quellen
https://www.bsi.bund.de/dok/7685384
https://aws.amazon.com/de/compliance/bsi-c5/
