Compliance: Jetzt kommt die sichere Cloud

Die sichere Cloud kommt

Anbieter können nun belegen, dass sie vertrauenswürdig sind – ein echter Wettbewerbsfaktor

Keyfacts über C5-Anforderungen

  • Neuer Sicherheitsstandard des BSI
  • Norm ISAE 3000 dient als Grundlage
  • Ziel: Stärkung des europäischen Cloud-Markts
Zusammenfassung lesen

Die Cloud spart Zeit und Geld. Mittlerweile setzen zwei von drei Unternehmen in Deutschland bereits auf die Onlinelösung. Doch die Skepsis bleibt: Viele zweifeln weiterhin an ihrer Sicherheit.

Zwar gibt es bereits diverse Sicherheitszertifikate für Cloud-Anbieter, doch diese seien uneinheitlich und wenig transparent, so Jan-Hendrik Gnändiger, Partner bei KPMG und IT-Sicherheitsexperte.

Deshalb hat das Bundesamt für Sicherheit- und Informationstechnik (BSI) jetzt nachgeholfen, und zwar mit einem einheitlichen Standard, dem C5-Anforderungskatalog.

Jährliche Prüfung geplant
Dieser Standard legt konkrete und vergleichbare Anforderungen an Personal, Governance und Compliance fest. Dazu gehört etwa, dass der Zutritt zum Rechenzentrum korrekt geschützt ist und Mitarbeiter ausreichend geschult sind. Themen wie Verschlüsselung, Kommunikations- und Datensicherheit bekommen mit dem neuen Katalog noch mehr Gewicht. Außerdem verlangt er Auskunft darüber, wo Daten gespeichert werden oder auch wo der Gerichtsstandort des Unternehmens liegt. Das Ziel des BSI ist eine jährlich wiederkehrende, vergleichbare und qualitativ hochwertige Prüfung und Bescheinigung durch einen Wirtschaftsprüfer.

17

thematische Bereiche umfasst der C5-Katalog.

Heißt also: Anbieter, die nach dem C5-Standard geprüft sind, versprechen deutlich mehr Sicherheit – und das dürfte die Cloud für viele deutsche Unternehmen deutlich attraktiver machen.

Was gut für die deutsche Wirtschaft ist, könnte für einige Cloud-Anbieter allerdings erst einmal problematisch werden. Denn nur rund zehn Prozent der Anbieter am Markt erfüllen bereits diese Mindestanforderungen, schätzt Andreas Steffens, ebenfalls IT-Sicherheitsexperte bei KPMG.

BSI-Empfehlungen beeinflussen den Markt erheblich
Die allermeisten müssten also nachrüsten. Und das dürfte für einige einen gewissen Rüstaufwand bedeuten. „Zwar sind die Kontrollen selbst kein Hexenwerk“, erklärt Andreas Steffens. „Doch die Arbeit liegt im sogenannten „Maping“, also im eigenen Unternehmen zu prüfen: Wann können wir schon jetzt – und was fehlt noch?“

„Aus diesem Grund wird die C5-Zertifizierung in der Cloud-Industrie zu einem ernsten Wettbewerbsvorteil werden“, vermutet Andreas Steffens. „Denn die Empfehlungen der BSI haben meist hohe Strahlkraft für den gesamten Markt. C5 wird sich überall durchsetzen, nicht nur in Deutschland“, vermutet er. Daher sei tatsächlich allen Cloud-Anbietern zu raten, schnell auf C5 umzustellen, empfehlen beide Experten. Und es gibt auch noch eine gute Nachricht, ergänzt Jan-Hendrik Gnändiger: „Die Prüfung nach C5 kann im Rahmen der Abschlussprüfung mit Ergänzung um die entsprechenden Experten direkt mit durchgeführt werden.“

29. März 2017
Zusammengefasst

»Die Empfehlungen der BSI haben meist hohe Strahlkraft für den gesamten Markt. C5 wird sich daher überall durchsetzen.«

Zwar gibt es bereits diverse Sicherheitszertifikate für Cloud-Anbieter, doch diese seien uneinheitlich und unseriös, so Jan-Hendrik Gnändiger, Partner bei KPMG und IT-Sicherheitsexperte. Deshalb will das Bundesamt für Sicherheit- und Informationstechnik (BSI) jetzt nachhelfen, und zwar mit dem sogenannten C5-Anforderungskatalog.

Dr. Jan-Hendrik Gnändiger Partner, Audit
Ganzen Artikel lesen

Kommentare

Sind Ihnen die C5-Anforderungen bereits bekannt?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen