Neue Prüfungsstandards für Anbieter von Cloud-Diensten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) mit den Mindestanforderungen an ein sicheres Cloud Computing angepasst. Nach der vorherigen Version C5:2016 ist nunmehr der C5:2020 als Prüfungsgrundlage für das Risikomanagement eines Cloud-Anbieters eine wichtige Orientierungshilfe für die Anbieter selbst, aber auch für die Kunden bei der Auswahl ihres Dienstleisters.

Mit dem C5 wurden die bestehenden Sicherheitskriterien nicht nur überarbeitet, sondern auch um zwei neue Bereiche ergänzt. Mit dem neuen C5 werden in Zukunft auch die Produktsicherheit, also die Sicherheit des Cloud-Dienstes selbst und der Umgang mit Ermittlungsanfragen staatlicher Stellen fokussiert. Bei den überarbeiteten Kriterien sind besonders die korrespondierenden Kriterien, mit denen die transparente Teilung der Aufgaben und Verantwortlichkeiten zwischen dem Cloud-Anbieter und dem Kunden sichergestellt werden sollen, hervorzuheben. Es wird deutlicher, dass die Sicherheit in der Cloud nur gewährleistet werden kann, wenn beide Parteien sich ihrer Verantwortung bewusst sind.

Der neue C5 wurde auch bereits durch das Institut der Wirtschaftsprüfer (IDW) in einen neuen Prüfungshinweis IDW PH 9.860.3 umgesetzt, der auf dem Prüfungsstandard IDW PS 860 basiert, mit dem IT-Prüfungen außerhalb der Abschlussprüfung durchzuführen sind.

Gerne nehmen wir bei Ihnen eine Prüfung nach diesem Prüfungshinweis vor, wenn Sie selbst Cloud-Anbieter sind oder unterstützen Sie als Cloud-Kunde bei der richtigen Wahl Ihres Anbieters.