BSI-Kriterienkatalog für Cloud-Computing C5 verlangt mehr

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am heutigen Dienstag seinen Kriterienkatalog für sicheres Cloud-Computing in einer aktualisierten Version veröffentlicht. Damit wird festgeschrieben, wo die Mindeststandards für den sicheren Betrieb liegen sollen.

C5:2026 löst zum einen die 2020er-Version ab und bringt zum anderen auch eine deutsche Interpretation des EU-Cloud-Certification-Schemas. Dabei gelten die BSI-Vorgaben für viele Dienstleister als gesetzlich vorgegebene Voraussetzung – für das digitale deutsche Gesundheitswesen wird etwa eine Typ-2-Zertifizierung vorausgesetzt, aber auch bei digitalen Finanzdienstleistungen und im Bankensektor, bei Passbildern oder bei staatlichen Stellen gilt C5 oft als maßgeblich.

Die Grundidee hinter dem Schema: eine verlässliche Definition aller Begrifflichkeiten und Betriebsabläufe sicherzustellen, damit auch das drin ist, was gemeint ist. Das fängt bei einfach wirkenden Dingen wie der Frage an, was eine gemeinsame Zone im Cloud-Betrieb ist, was eine Partition und was eine Location – gefolgt von den eigentlichen Kernkriterien und darüber hinausgehenden, ergänzenden Kriterien, wie die Dienste zu betreiben sind, um C5-konform zu sein.

Die C5-Kriterien verlangen dabei unter anderem darzulegen, welchem Recht der Anbieter selbst und seine gegebenenfalls vorhandenen Konzernmütter unterliegen, aber auch, wie etwa Zonen eingeteilt sind und wo die Daten der Kunden liegen. Auch umfangreiche Informationen zur Beantwortung von Anfragen offizieller Stellen zu Kunden-Cloud-Daten müssen beigebracht werden.

Neben organisatorischen und rechtlichen Vorgaben enthält auch die neue Version jede Menge klassischer Sicherheitsfragen, von der Absicherung der Kundendaten bis zum Vorfallmanagement. Mit C5:2026 ist längst nicht alles anders geworden, aber an einzelnen Aspekten wie dem Container-Management wurde kräftig geschraubt. Die neue Iteration enthält hierzu wesentlich genauere Vorgaben als bislang.

Post-Quanten-Krypto hält Einzug in C5

Das BSI gibt an, dass es bei der Entwicklung der neuen Version neben der Kompatibilität und Interoperabilität mit anderen Standards insbesondere darauf geachtet habe, was aus der Community seit der 2020er-Version an die Bonner IT-Sicherheitsbehörde herangetragen wurde. Angesichts der immer drängenderen Fragen der Post-Quanten-Kryptografie enthält Kapitel 5.8 auch umfangreiche Angaben zu den Kriterien, die Cloud-Anbieter nach C5 bei der wirksamen Verschlüsselung einhalten sollen. Unter anderem geht es dabei um den Einsatz von Hybridverfahren, um absehbar zu schwache Verfahren zu härten.

Als „zeitgemäßen und praxistauglichen Maßstab für alle, die Cloud-Dienste nutzen, prüfen, anbieten oder beschaffen“, will BSI-Präsidentin Claudia Plattner den aktualisierten Katalog deshalb verstanden wissen. Tatsächlich erinnern viele der Vorgaben an das, was in den vergangenen Monaten in gleich mehreren Cloud-Kooperationen des BSI mit unterschiedlichen Anbietern – darunter europäische genauso wie US-Unternehmen – bereits an Vorgaben für einen sicheren Betrieb benannt wurde.

BSI setzt auf Maschinenlesbarkeit

Für Anwender soll der neue C5-Katalog zudem eine bessere Nutzbarkeit mit sich bringen. „Die überarbeitete Struktur mit Unterkriterien und verschärfenden beziehungsweise ergänzenden Zusatzkriterien sorgt für mehr Klarheit bei Prüfung, Zuordnung und Auswertung“, erklärt BSI-Vizepräsident Thomas Caspers. Dafür werde der Katalog erstmals bald auch in einem maschinenlesbaren Format bereitgestellt. Das dürfte für die Automatisierung entsprechender Prozesse hilfreich sein.

Das Grundproblem, dass die offizielle Testierung umfangreich, somit kostenträchtig und damit vor allem für etabliertere Unternehmen zu stemmen ist, kann auch der neue Katalog nicht ändern. Und auch wer sich mit C5:2026 einrichtet, muss weiterhin die Debatten verfolgen. Ergänzend zu den im C5 beschriebenen Sicherheitskriterien für Cloud-Dienste wolle das BSI in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen, heißt es aus der IT-Sicherheitsbehörde des Bundes.

(axk)