C5

Aus ISMS-Ratgeber WiKi
Version vom 13. April 2026, 18:21 Uhr von Dirk (Diskussion | Beiträge) (→‎Quellen)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen


Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Kriterienkatalog zur unabhängigen Prüfung von Cloud‑Diensten. C5 richtet sich primär an Cloud‑Anbietende und prüfende Organisationen, ist aber ebenso ein wichtiges Werkzeug für Cloud‑Kundschaft, die Sicherheitsanforderungen systematisch formulieren und C5‑Berichte bewerten möchte.

Mit C5:2026 liegt die zweite inhaltliche Überarbeitung des ursprünglichen Katalogs von 2016 vor. C5:2026 baut auf C5:2020 auf, erweitert ihn aber deutlich um neue technische und regulatorische Anforderungen und orientiert sich gleichzeitig am geplanten europäischen Cloud‑Zertifizierungsschema EUCS (Substantial).

Ziele und Einsatzszenarien von C5

C5 verfolgt mehrere Ziele:

  • Bereitstellung eines einheitlichen, nachvollziehbaren Anforderungskatalogs für Cloud‑Sicherheitsprüfungen (Assurance‑Engagements).
  • Schaffung von Transparenz über Sicherheits‑Eigenschaften von Cloud‑Diensten, insbesondere für Fach‑ und Compliance‑Verantwortliche auf Kundenseite.
  • Unterstützung von souveränen Entscheidungen zum Einsatz von Cloud‑Diensten, u. a. durch Informationen zu Datenlokation, Regionen/Zonen und Subservice‑Organisationen.
  • Harmonisierung mit europäischen und internationalen Vorgaben (EUCS, NIS2, ISO/IEC 27001:2022, CSA CCM v4).

Typische Einsatzszenarien:

  • Cloud‑Anbietende lassen ihre Dienste regelmäßig nach C5 prüfen und nutzen den Bericht als Nachweis gegenüber Kundschaft und Aufsichtsbehörden.
  • Cloud‑Kundschaft fordert von kritischen Cloud‑Diensten einen aktuellen C5‑Bericht und nutzt ihn zur Lieferantenbewertung und als Input für das eigene ISMS.
  • Prüfende Gesellschaften setzen C5 als Prüfstandard für Nicht‑Finanz‑Assurance‑Engagements auf Cloud‑Dienste ein (i. d. R. auf Basis von ISAE 3000/3402).

Einordnung zu anderen Standards

C5 ergänzt bestehende Standards, ersetzt sie aber nicht:

Aspekt C5:2026 ISO/IEC 27001:2022 BSI Grundschutz
Primäre Zielgruppe Cloud‑Dienste Organisationen allgemein Organisationen (insb. DE‑Verwaltung)
Fokus Kriterienkatalog für Cloud‑Prüfungen Managementsystem (ISMS) Methodik + Bausteine für ISMS
Ergebnis Assurance‑Bericht (Typ 1/Typ 2) Zertifikat Zertifikat (bzw. intern angewandte Methodik)
Abdeckung Cloud‑spezifischer Themen Ausführlich (Multi‑Tenancy, Regionen/Zonen, Subservice‑Org., Container, Confidential Computing) Nur generisch Teilweise über Bausteine, weniger spezifisch
Prüfgrundlage Detaillierte Kriterien + Subkriterien Anforderungen an ISMS‑Prozesse Anforderungen + Maßnahmenbündel

C5 nutzt u. a. ISO/IEC 27001:2022, ISO/IEC 22123, CSA CCM v4 und weitere Publikationen als inhaltliche Grundlage.

Struktur von C5:2026

Aufbau des Kriterienkatalogs

C5:2026 ist in mehrere Hauptabschnitte gegliedert:

  1. Einführung und Definitionen (Kapitel 1): Begriffe aus Cloud‑Sicherheit und Audit‑Umfeld, z. B. Cloud‑Kunde, Cloud‑Dienst, Multi‑Tenancy, Partition/Region/Zone, Security Incident, MTPD, RTO, RPO, Significant Change.
  2. Struktur und Inhalt der Kriterien (Kapitel 2): Erläuterung der Kriterienlogik, Zielbereiche und Art der Subkriterien.
  3. Bereitstellung von Konformität durch unabhängige Audits (Kapitel 3): Anforderungen an Prüfstandard, Qualifikation der Prüfenden, Aufbau des Prüfberichts, Umgang mit Abweichungen.
  4. General Conditions (GC‑01 bis GC‑06): Transparenzanforderungen zu rechtlichem Rahmen, Regionen/Zonen, Verfügbarkeit, Zertifizierungen etc.
  5. Kriterienkatalog (Kapitel 5) mit 17 Zielbereichen:
    • OIS – Organisation der Informationssicherheit
    • SP – Security Policies and Procedures
    • HR – Personal
    • AM – Asset Management
    • PS – Physische Sicherheit
    • OPS – Betrieb
    • IAM – Identity and Access Management
    • CRY – Kryptographie und Schlüsselmanagement
    • COS – Kommunikationssicherheit
    • PI – Portabilität und Interoperabilität
    • DEV – Beschaffung, Entwicklung und Änderung von Systemen
    • SSO – Steuerung und Überwachung von Dienstleistern
    • SIM – Security Incident Management
    • BCM – Business Continuity Management
    • COM – Compliance
    • INQ – Umgang mit behördlichen Ermittlungsanfragen
    • PSS – Produktsicherheit und ‑sicherheit für Cloud‑Kundschaft

Jeder Zielbereich enthält Kriterien, die wiederum in Subkriterien unterteilt sind.

Basis- und Zusatzkriterien

C5 unterscheidet:

  • Basis‑Subkriterien:
    • Mindestumfang, den ein C5‑konformer Cloud‑Dienst erfüllen muss.
    • Decken generische Cloud‑Sicherheitsanforderungen ab (z. B. ISMS, Zugriffskontrolle, Backup, Logging, Schwachstellenmanagement).
  • Zusätzliche Subkriterien:
    • Additional sharpening: verschärfen bestehende Basis‑Kriterien (z. B. strengere Anforderungen für höher schutzbedürftige Daten).
    • Additional complementing: ergänzen Basis‑Kriterien um zusätzliche Anforderungen (z. B. spezifische technische Mechanismen).

In der Praxis definieren Cloud‑Anbietende und Prüfende, welche zusätzlichen Subkriterien im Scope sind; Basis‑Subkriterien bilden den Kern.

Wichtige Neuerungen in C5:2026

Im Vergleich zu C5:2020 wurden insbesondere folgende Themen erweitert oder neu aufgenommen:

  • Container‑Management
    • Eigene Kriterien für Container‑Policies und ‑Implementierung (OPS‑34, OPS‑35).
    • Anforderungen an sichere Images, Deployment‑Pipelines, Isolierung zwischen Containern und Mandanten.
  • Confidential Computing
    • Kriterien OPS‑32 (Policies/Prozesse) und OPS‑33 (Remote Attestation).
    • Fokus auf hardwaregestützte Vertraulichkeit von Verarbeitungsprozessen (z. B. TEEs) und nachweisbare Integrität der Ausführungsumgebung.
  • Supply‑Chain‑Sicherheit und Service Provider Steuerung
    • Zielbereich SSO (SSO‑01 bis SSO‑08) stark ausgebaut.
    • Risikobewertung und Überwachung von Dienstleistern und Subservice‑Organisationen, vertragliche Regelungen, Transparenzpflichten, Exit‑Strategien.
  • Kryptographie / Post‑Quanten‑Kontext
    • Erweiterte Kryptographie‑Kriterien (CRY‑01 bis CRY‑19), inkl. Schlüssel‑Lifecycle, Rotation, Kompromittierung.
    • Bezug auf aktuelle Kryptostandards und Notwendigkeit, künftige Entwicklungen (z. B. Post‑Quanten‑Algorithmen) in der Kryptostrategie zu berücksichtigen.
  • Multi‑Tenancy, Partitionen, Regionen, Zonen und Datenresidenz
    • Präzise Definitionen von Partition, Region, Zone und Location sowie Anforderungen an physische und logische Trennung.
    • Anforderungen an Transparenz zu Datenlokation (GC‑01, PSS‑12) und technische Umsetzung von Souveränitätsanforderungen.
  • Schärfung der Datenkategorien
    • Klare Unterscheidung von:
      • Cloud Service Customer Data
      • Cloud Service Derived Data
      • Cloud Service Provider Data
      • Account Data
    • Kriterien geben expliziter an, auf welche Datenarten sie sich beziehen.
  • Harmonisierung mit EU‑ und internationalen Vorgaben
    • Inhaltliche Ausrichtung auf EUCS Substantial, NIS2, CSA CCM v4 und ISO/IEC 27001:2022.

C5-Audit: Vorgehen nach Best Practice

Audittyp und Prüfstandard

C5‑Prüfungen erfolgen als Assurance‑Engagements nach internationalen Prüfstandards:

  • In der Regel auf Basis von ISAE 3000 (Revised) bzw. ISAE 3402.
  • Das BSI formuliert zusätzliche Anforderungen an die Prüfenden (Qualifikation, Unabhängigkeit, Erfahrung mit IT‑/Cloud‑Prüfungen).

Es gibt zwei Berichtstypen:

  • Typ 1: Beurteilung der Angemessenheit des Designs der Kontrollen zu einem bestimmten Stichtag.
  • Typ 2: Beurteilung von Design und Wirksamkeit der Kontrollen über einen Zeitraum (mindestens 3, höchstens 12 Monate).

Für Cloud‑Kundschaft mit hohem Schutzbedarf ist ein Typ‑2‑Bericht in der Regel deutlich aussagekräftiger, da er die tatsächliche Wirksamkeit über einen Zeitraum abdeckt.

Rollen und Prüfgegenstand

  • Cloud‑Anbietende (Management)
    • Verantwortlich für Design, Implementierung und Betrieb der Kontrollen.
    • Erstellen die Systembeschreibung („Description“) und das Management‑Statement.
  • Prüfende Organisation
    • Bewertet, ob die Beschreibung angemessen ist und ob die Kontrollen die C5‑Kriterien erfüllen.
    • Führt Stichproben, Interviews, technische Tests, Walkthroughs etc. durch und erstellt den C5‑Bericht.
  • Cloud‑Kundschaft
    • Nutzt den Bericht zur Bewertung des Dienstes, zur Ergänzung des eigenen Risikomanagements und zur Dokumentation gegenüber Aufsicht/Revision.

Praktischer Best-Practice-Ansatz für Cloud-Anbietende

Für Cloud‑Anbietende, die C5:2026 erstmals oder erneuert umsetzen wollen, bietet sich folgendes Vorgehen an (kein offizieller Teil des Katalogs, aber best practice im Sinne des Dokuments):

1. Scope und Rahmen festlegen

  • Auswahl der Cloud‑Services, die im Scope des C5‑Audits sein sollen (z. B. bestimmtes IaaS‑/PaaS‑/SaaS‑Angebot).
  • Definition der Systemkomponenten (Infrastruktur, Software, Personen, Prozesse, Daten) in der Verantwortung des Providers.
  • Klarstellung, welche Subservice‑Organisationen (z. B. Rechenzentren, spezialisierte Dienste) einbezogen werden (inclusive) oder als carve‑out behandelt werden.

2. Systembeschreibung und General Conditions erstellen

  • Erstellen einer Systembeschreibung gemäß C5, insbesondere:
    • Beschreibung der angebotenen Cloud‑Services.
    • Architektur, Partitionen, Regionen, Zonen, Locations.
    • Beschreibung der relevanten Systemkomponenten.
    • Darstellung der Mandantentrennung und Datenflüsse.
  • Erfüllung der General Conditions (GC‑01 bis GC‑06), z. B.:
    • GC‑01: Angaben zu anwendbarem Recht, Gerichtsstand, Ländern/Regionen/Zonen/Locations.
    • GC‑02/03/04: Informationen zu Verfügbarkeits‑ und Wiederherstellungsparametern und zum Verfügbarkeitskonzept.
    • GC‑05/06: Umgang mit behördlichen Ermittlungsanfragen und bestehende Zertifizierungen/Attestierungen.

3. Gap-Analyse gegen C5:2026-Kriterien

  • Systematischer Abgleich der bestehenden Kontrollen mit:
    • Basis‑Subkriterien aller relevanten Zielbereiche (z. B. OIS‑01 ISMS, OPS‑18 Vulnerability Management, IAM‑08 Authentifizierung, CRY‑05 Verschlüsselung at Rest).
    • Ausgewählten zusätzlichen Kriterien (z. B. OPS‑32/33 Confidential Computing, OPS‑34/35 Container‑Management, SSO‑xx für Dienstleistungssteuerung).
  • Dokumentation von Gaps, z. B.:
    • Fehlende oder unzureichend dokumentierte Richtlinien.
    • Technische Kontrollen ohne hinreichende Nachweisbarkeit (Logging, Monitoring, Nachweise für Wirksamkeit).

4. Maßnahmen umsetzen und Nachweisfähigkeit herstellen

  • Schließen der identifizierten Lücken durch:
    • Ergänzung oder Überarbeitung von Richtlinien, Prozessen, Rollen.
    • Technische Maßnahmen (z. B. Härtung, zusätzliche Logs, SIEM‑Anbindung, Schlüsselmanagement).
    • Verbesserte Dokumentation und Nachweisführung (z. B. Protokolle, Reports, Tickets, Auswertungen).
  • Speziell für neue Themen wie Container‑Security und Confidential Computing frühzeitig end‑to‑end‑Prozesse definieren (von Architektur über Betrieb bis Incident‑Handling).

5. Auditvorbereitung und Durchführung

  • Auswahl einer geeigneten prüfenden Organisation mit Erfahrung in Cloud‑Assurance und C5.
  • Abstimmung des Auditzeitraums (Typ 1 vs. Typ 2) und der anwendbaren Kriterien.
  • Bereitstellung der Systembeschreibung, Management‑Statement und der relevanten Nachweise.
  • Begleitung der Prüfung (Interviews, technische Nachweise, Walkthroughs, ggf. Site‑Visits).
  • Nach dem Audit: Auswertung der Feststellungen und Ableitung weiterer Verbesserungsmaßnahmen.

Nutzung von C5-Berichten durch Cloud-Kundschaft (Best Practice)

Auch wenn C5 primär an Cloud‑Anbietende und Prüfende gerichtet ist, profitieren Cloud‑Kundschaft stark von den Berichten:

  • Sicherheits- und Compliance‑Bewertung:
    • Prüfung, ob die für das eigene Schutzbedarfsniveau relevanten Kriterien erfüllt sind (z. B. Verschlüsselung, Incident‑Handling, BCM, Datenlokation).
    • Bewertung von Abweichungen und Einschränkungen im Bericht.
  • Integration ins ISMS/Risikomanagement:
    • Nutzung der C5‑Informationen als Input für Lieferanten‑Risikoanalysen.
    • Ableitung eigener zusätzlicher Anforderungen oder Kontrollen (z. B. ergänzende Logging‑Vorgaben, anbieterübergreifende Redundanz).
  • Nachweis gegenüber Aufsicht/Revision:
    • C5‑Berichte dienen als nachvollziehbares Prüfungsartefakt und können z. B. im Kontext von NIS2, DORA oder branchenspezifischen Regulierungen als Teil der Nachweisführung eingesetzt werden.

Quellen

BSI: Cloud Computing Kriterienkatalog C5 (allgemeine Themenseite)

Cloud Computing Compliance Criteria Catalogue (C5:2026 - englisch)

Fazit

C5:2026 ist kein Reifegradmodell, sondern ein technisch und prozessual detaillierter Prüfstandard für Cloud‑Dienste, der auf Basis anerkannter Assurance‑Standards umgesetzt wird. Durch die klar strukturierte Kriterienlogik, die Einbindung aktueller Technologien (Container, Confidential Computing) und die Harmonisierung mit EUCS, NIS2 und ISO/IEC 27001:2022 ist er ein praxisnahes Werkzeug für Cloud‑Anbietende, Prüfende und Cloud‑Kundschaft gleichermaßen.

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=C5&oldid=2061