Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am heutigen Dienstag seinen Kriterienkatalog für sicheres Cloud-Computing in einer aktualisierten Version veröffentlicht. Damit wird festgeschrieben, wo die Mindeststandards für den sicheren Betrieb liegen sollen.

C5:2026 löst zum einen die 2020er-Version ab und bringt zum anderen auch eine deutsche Interpretation des EU-Cloud-Certification-Schemas. Dabei gelten die BSI-Vorgaben für viele Dienstleister als gesetzlich vorgegebene Voraussetzung – für das digitale deutsche Gesundheitswesen wird etwa eine Typ-2-Zertifizierung vorausgesetzt, aber auch bei digitalen Finanzdienstleistungen und im Bankensektor, bei Passbildern oder bei staatlichen Stellen gilt C5 oft als maßgeblich.

Die Grundidee hinter dem Schema: eine verlässliche Definition aller Begrifflichkeiten und Betriebsabläufe sicherzustellen, damit auch das drin ist, was gemeint ist. Das fängt bei einfach wirkenden Dingen wie der Frage an, was eine gemeinsame Zone im Cloud-Betrieb ist, was eine Partition und was eine Location – gefolgt von den eigentlichen Kernkriterien und darüber hinausgehenden, ergänzenden Kriterien, wie die Dienste zu betreiben sind, um C5-konform zu sein.

Die C5-Kriterien verlangen dabei unter anderem darzulegen, welchem Recht der Anbieter selbst und seine gegebenenfalls vorhandenen Konzernmütter unterliegen, aber auch, wie etwa Zonen eingeteilt sind und wo die Daten der Kunden liegen. Auch umfangreiche Informationen zur Beantwortung von Anfragen offizieller Stellen zu Kunden-Cloud-Daten müssen beigebracht werden.

Neben organisatorischen und rechtlichen Vorgaben enthält auch die neue Version jede Menge klassischer Sicherheitsfragen, von der Absicherung der Kundendaten bis zum Vorfallmanagement. Mit C5:2026 ist längst nicht alles anders geworden, aber an einzelnen Aspekten wie dem Container-Management wurde kräftig geschraubt. Die neue Iteration enthält hierzu wesentlich genauere Vorgaben als bislang.

Post-Quanten-Krypto hält Einzug in C5

Das BSI gibt an, dass es bei der Entwicklung der neuen Version neben der Kompatibilität und Interoperabilität mit anderen Standards insbesondere darauf geachtet habe, was aus der Community seit der 2020er-Version an die Bonner IT-Sicherheitsbehörde herangetragen wurde. Angesichts der immer drängenderen Fragen der Post-Quanten-Kryptografie enthält Kapitel 5.8 auch umfangreiche Angaben zu den Kriterien, die Cloud-Anbieter nach C5 bei der wirksamen Verschlüsselung einhalten sollen. Unter anderem geht es dabei um den Einsatz von Hybridverfahren, um absehbar zu schwache Verfahren zu härten.

Als „zeitgemäßen und praxistauglichen Maßstab für alle, die Cloud-Dienste nutzen, prüfen, anbieten oder beschaffen“, will BSI-Präsidentin Claudia Plattner den aktualisierten Katalog deshalb verstanden wissen. Tatsächlich erinnern viele der Vorgaben an das, was in den vergangenen Monaten in gleich mehreren Cloud-Kooperationen des BSI mit unterschiedlichen Anbietern – darunter europäische genauso wie US-Unternehmen – bereits an Vorgaben für einen sicheren Betrieb benannt wurde.

BSI setzt auf Maschinenlesbarkeit

Für Anwender soll der neue C5-Katalog zudem eine bessere Nutzbarkeit mit sich bringen. „Die überarbeitete Struktur mit Unterkriterien und verschärfenden beziehungsweise ergänzenden Zusatzkriterien sorgt für mehr Klarheit bei Prüfung, Zuordnung und Auswertung“, erklärt BSI-Vizepräsident Thomas Caspers. Dafür werde der Katalog erstmals bald auch in einem maschinenlesbaren Format bereitgestellt. Das dürfte für die Automatisierung entsprechender Prozesse hilfreich sein.

Das Grundproblem, dass die offizielle Testierung umfangreich, somit kostenträchtig und damit vor allem für etabliertere Unternehmen zu stemmen ist, kann auch der neue Katalog nicht ändern. Und auch wer sich mit C5:2026 einrichtet, muss weiterhin die Debatten verfolgen. Ergänzend zu den im C5 beschriebenen Sicherheitskriterien für Cloud-Dienste wolle das BSI in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen, heißt es aus der IT-Sicherheitsbehörde des Bundes.

(axk)

Eine PV-Anlage auf dem Dach, eine Wärmepumpe im Technikraum, ein E-Auto im Carport: Michael B. aus Norddeutschland zählt zu den Menschen, die die Energiewende im Privaten schon vollzogen haben. Um sein Auto gezielt dann zu laden, wenn der Strom gerade günstig ist, entschied sich der c’t- Leser außerdem für einen dynamischen Stromtarif.

Bevor B. diesen Tarif nutzen konnte, musste erst einmal sein alter Stromvertrag auslaufen, obendrein brauchte er ein Smart Meter. Diese Kombination aus digitalem Stromzähler („moderne Messeinrichtung“) und Kommunikationsmodul („Smart-Meter-Gateway“) ist mittlerweile die Voraussetzung für die Abrechnung zu dynamisch wechselnden Strompreisen.

Das Gateway erfasst viertelstündlich den Stromverbrauch des Haushalts und übermittelt die Daten einmal täglich an den sogenannten Messstellenbetreiber. Dieser gibt sie dann an den örtlichen Stromnetzbetreiber weiter, der sie wiederum an den Stromanbieter leitet. Im Fall von B. ist das Unternehmen EWE Netz mit Hauptsitz in Oldenburg gleichzeitig der zuständige Messstellen- und Stromnetzbetreiber.

Das war die Leseprobe unseres heise-Plus-Artikels „Vorsicht, Kunde: Wie EWE Netz einen Smart-Meter-Nutzer zur Verzweiflung treibt“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

JSON Alexander, eine neue Extension für Firefox und Chrome, formatiert automatisch JSON-Daten, die beispielsweise von einer API gesendet wurden. Das Add-on erweitert die rudimentären Darstellungen der Browser insbesondere um Syntax-Highlighting und eine Baum-Ansicht.

Das Add-on bietet eine Reihe von Komfortfunktionen, die über die Standarddarstellung der Browser hinausgehen. Neben dem Syntax-Highlighting und den ausklappbaren Strukturbäumen sind das zum Beispiel Zusatzinfos beim Hover über ein Feld oder eine parallele Daten-Ansicht als windows.data in der Konsole.

JS-Autor und Podcaster Wes Bos hat JSON Alexander unter MIT-Lizenz veröffentlicht. Zuvor waren ihm Zweifel am Add-on „Heads Up“ gekommen, das ähnliche Funktionen bietet, weil es laut Bos Webtracking in Webseiten implementiert. Die Redaktion konnte das nicht überprüfen.

Das Add-on ist noch nicht in den Stores der Browser vorhanden, sondern Anwenderinnen und Anwender müssen es von Hand installieren. Bei Firefox müssen sie zusätzlich den JSON-Standardmechanismus deaktivieren. Anleitungen finden sich im Repository. Der Name des Tools spielt auf den US-amerikanischen Schauspieler Jason Alexander an.

(who)