Microsoft erfüllt die neutralen BSI-Kriterien in über 100 weltweit geprüften Rechenzentren

Aktuelle Microsoft technical News
Aktuelle Microsoft technical News

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat als nationale Cybersicherheitsbehörde einen Anforderungskatalog für professionelle Cloud-Anbieter entwickelt: der C5 (Cloud Computing Compliance Controls Catalogue). Hier sind die Anforderungen, die Cloud-Anbieter erfüllen müssen bzw. zumindest verpflichtet werden sollten, klar festgelegt.
Mit dem C5 legt das BSI eine allgemein anerkannte Basis-Richtlinie für Sicherheitsstandards fest und bietet Cloud-Anbietern zusätzlich mit dem SOC 2-Bericht ein Verfahren an, mit dem sie den Nachweis erbringen können, die Anforderungen des Katalogs einzuhalten. Bei der sogenannten SOC-2-Typ-2-Prüfung kann künftig auch die Wirksamkeit der implementierten Maßnahmen für einen bestimmten Berichtszeitraum geprüft werden.

Microsoft erfüllt alle Anforderungen des C5-Katalogs
Im Rahmen der letzten Prüfung von Microsoft Azure und Azure Government wurden mehr als 100 internationale Microsoft-Rechenzentren durch unabhängige Prüfer von Deloitte untersucht und in allen wurde stets die Erfüllung der C5-Anforderungen festgestellt.

Im Rahmen des Testats haben die unabhängigen Deloitte-Prüfer Microsoft auch die Einhaltung der Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA) sowie der Trust-Prinzipien Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit von SOC (Service Organization Controls) bestätigt. Die CSA ist eine weitere neutrale Instanz, die Cloud-Kunden die Cloud Controls Matrix (CCM), also Informationen zu Sicherheitsverfahren von Cloud-Anbietern, liefert, damit diese die allgemeinen Sicherheitsrisiken besser einschätzen können. Microsoft bestand die neutrale Prüfung sofort, da die zu prüfenden Trust-Prinzipien mit den bereits seit langem bestehenden Zusagen von Microsoft im Hinblick auf Sicherheit, Datenschutz und Transparenz übereineinstimmen.

Technische Details zum C5-Katalog

Insgesamt besteht der C5-Katalog aus 114 Anforderungen in 17 Bereichen. Er basiert auf etablierten Standards wie ISO/IEC 27001:2013, CSA CCM 3.01, ANSSI Référentiel secure cloud v. 2.0, AICPA – Trust Service Principles Criteria 2014, IDW ERS FAIT 5 (4.11.2014) und auf den Anforderungen des BSI etwa aus dem IT-Grundschutz (15. EL) sowie den SaaS-Sicherheitsprofilen.
Nach eigenen Angaben legt der BSI bei der Beurteilung von Cloud-Anbietern großen Wert auf Transparenz: Im Rahmen einer Prüfung muss der Anbieter daher eine detaillierte Systembeschreibung abgeben und im Vergleich zu anderen Sicherheitsstandards die Umfeldparameter übermitteln, die Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen geben. Diese Transparenz erleichtert möglichen Kunden die Entscheidung, ob Cloud-Dienste den gesetzlichen Vorschriften, zum Beispiel in Bezug auf den Datenschutz, den eigenen Unternehmensrichtlinien oder auch der Gefährdungslage bezüglich Wirtschaftsspionage entsprechen.

Sie haben noch weitere Fragen C5-Anforderungskatalog der BSI oder zum Thema Sicherheit und Datenschutz? Wir helfen Ihnen gerne. 089 600 87 860

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Sicherheitscode eingeben * Time limit is exhausted. Please reload CAPTCHA.