Cloud-Sicherheit
C5 und IT-Grundschutz: Nachweise für eine sichere Cloud
Foto: alice-photo - shutterstock.com
Die Attraktivität von Cloud Computing steigt weiter an. Gartner erwartet für dieses Jahr einen weltweiten Cloud-Umsatz von nahezu 700 Milliarden Dollar, das entspricht einem Plus von über 20 Prozent gegenüber 2023. Zwar ist laut Gartner-Analyst Sid Nag die Cloud inzwischen zu einem unverzichtbaren Bestandteil moderner IT geworden, doch der Aufbau und der Betrieb einer Cloud-Infrastruktur müssen sorgfältig geplant und umgesetzt werden.
Hierzu zählen vor allem die Beachtung des Datenschutzes, die Datensicherheit und die jeweiligen Compliance-Auflagen. Gerade in Deutschland, der Wiege der DSGVO, galt es lange als zweifelhaft, ob man überhaupt eine Public Cloud nutzen darf. Vor allem KMUs sind deshalb bei diesem Thema noch immer skeptisch – wohlwissend, dass sie damit wirtschaftliche Nachteile in Kauf nehmen müssen.
Cloud-Bedenken unbegründet
Doch diese Sorgen sind praktisch unbegründet, denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen umfangreichen Katalog erstellt, in dem festgelegt ist, welche Kriterien ein Cloud-Provider zu erfüllen hat, um nach dem aktuellen Stand der Technologie als sicher zu gelten. Der Kriterienkatalog heißt "C5" (Cloud Computing Compliance Criteria Catalogue) und spezifiziert die Mindestanforderungen an ein sicheres Cloud Computing.
"Der C5-Anforderungskatalog hat sich als höchster Standard für Cloud-Sicherheit auf dem Markt etabliert", sagt BSI-Präsidentin Claudia Plattner über diese Vorgabe. Insgesamt besteht der C5-Katalog aus 125 Kriterien, die sich auf 17 Themenbereiche verteilen. Inzwischen wurde der C5-Katalog auch in die Entwicklung eines EU-Zertifizierungsschemas für europäische Cloud-Dienste eingebracht und bildet hierfür eine wesentliche Grundlage. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und seine Aussagen zur Transparenz korrekt sind, wird gemäß dem Wirtschaftsprüferstandard ISAE 3402 beziehungsweise IDW PS 951 erbracht. Die Prüfung erfolgt nach dem Wirtschaftsprüferstandard International Standard on Assurance Engagements (ISAE).
Das BSI gibt Orientierung bei der Auswahl
Das BSI empfiehlt, nur Provider zu nutzen, die über ein C5-Testat verfügen, denn es bildet die Grundlage für ein eigenes wirksames Risikomanagement. Bei öffentlichen Einrichtungen und Behörden gilt schon seit 2020 die verpflichtende Vorgabe, dass nur C5-testierte Provider zum Einsatz kommen dürfen.
Ergänzt wird der C5-Katalog durch den "IT-Grundschutz". Dazu gehören unter anderem die Zugangskontrolle, Business Continuity, Backups und das Lieferantenmanagement.
IONOS als erster deutscher Provider sowohl mit C5 als auch mit IT-Grundschutz ausgezeichnet
Ende letzten Jahres erhielt IONOS, einer der führenden deutschen Cloud-Provider, das C5-Testat als Ergänzung zu dem schon seit längerem bestehenden IT-Grundschutz-Zertifikat. Das C5-Testat gilt für die Services Compute Engine, Cloud Cubes und S3 Object Storage. Hierbei wurde insbesondere überprüft, ob sich die Beschreibung der tatsächlichen Ausgestaltung und Einrichtung der internen Kontrollsysteme sachgerecht nachweisen lassen und die dargestellten Kontrollen angemessen erfolgt sind.
Für das IT-Grundschutz-Zertifikat wurde nachgeprüft, ob IONOS geeignete IT-Sicherheitsmaßnahmen gemäß ISO 27001-Standard implementiert hat und ein effektives "Managementsystem für Informationssicherheit" (Information Security Management System, ISMS) betreibt. IONOS steht als deutscher Anbieter für höchste Sicherheit, u.a. nachgewiesen durch C5-Testat und IT-Grundschutz-Zertifizierung. "Dass mit IONOS ein deutscher Cloud-Anbieter das Testat und das Zertifikat erhalten hat, freut uns sehr und ist ein weiterer Schritt für sichere Cloud-Services in Deutschland und Europa", bestätigt Claudia Plattner.
Fazit
Mit dem C5-Testat und der IT-Grundschutz-Zertifizierung unterstreicht IONOS einmal mehr sein Commitment als technologisch führender und zuverlässiger Cloud-Provider im deutschen Markt. Die IONOS Cloud bietet eine DSGVO-konforme Daten-Speicherung und -Archivierung sowie Schutzmaßnahmen gegenüber der Kompromittierung von Geschäftsgeheimnissen. Hinzu kommen die bekannten Cloud-Vorteile wie Flexibilität, Skalierbarkeit und Hochverfügbarkeit.
"IONOS war schon immer ein starker Partner, wenn es um die Digitalisierung sensibler Daten und Anwendungen geht. Mit dem Testat und der Zertifizierung stellen wir einmal mehr unter Beweis, dass wir höchste Anforderungen in Sachen Datenschutz und IT-Sicherheit erfüllen. Davon profitieren letztlich alle Unternehmen, denn Datenschutz, IT-Sicherheit und das Vertrauen der Kunden sind das höchste Gut eines Unternehmens, insbesondere in regulierten Branchen und im öffentlichen Sektor", sagt Achim Weiß, CEO von IONOS.