Kennen Sie den Begriff C5? Wenn Sie mit oder in der Cloud arbeiten, sollten Sie wissen was er bedeutet. Er steht für die Sicherheit von Cloud-Dienstleistern und Services und wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als Standard definiert.
Das BSI hat einen Kriterienkatalog entwickelt, um Anforderungen an Dienstleister zu definieren, welche eine technisch und rechtlich sichere Cloud-Infrastruktur gewährleisten. Die Sicherheitsanforderungen an die Cloud-Produkte steigen kontinuierlich, nicht zuletzt durch die Zunahme von Cloud-Angriffsvektoren.
Dieser sogenannte C5 Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) ist inhaltlich angelehnt an die Anforderungen internationaler Richtlinien zur Informationssicherheit. Er geht jedoch darüber hinaus und möchte mit aktuellen Aspekten die erforderlichen Kriterien erweitern, beispielswiese indem mögliche Anwendungsfehler von Cloud-Kunden mitberücksichtigt werden.
Die C5 Kriterien des BSI für die sichere Cloud nach ISO 27001
Wer sich mit der Zertifizierung nach ISO 27001 schon befasst hat, den wird der C5-Katalog wenig überraschen. Er besteht aus 17 Bereichen, welche sich inhaltlich sehr stark an den Controls des Anhangs der ISO 27001 orientieren.
Hier werden beispielsweise die Aspekte von physischer Sicherheit, Personalsicherheit, Asset Management, Kryptographie, Lieferantenmanagement oder Compliance abgefragt. Eine ordentliche Zertifizierung der Deutsche Akkreditierungsstelle (DAkkS) für ISO 27001 ist daher schon quasi der Beleg für das hohe Sicherheitsniveau. Natürlich sollte hier darauf geachtet werden, dass die Cloud-Produkte als Teil des Geltungsbereichs des Zertifikates definiert sind.
Was ist die DAkkS?
Die DAkkS nimmt die hoheitliche Aufgabe aus dem Akkreditierungsstellengesetz wahr, sie arbeitet im Auftrage des deutschen Staates. Sie akkreditiert privatwirtschaftliche Unternehmen, welche die notwendigen Auditierungen bei Cloud-Dienstleistern und Rechenzentren durchführen, z. B. der TÜV, Dekra und einige andere.
Aber Achtung! In diesem Bereich treiben einige Anbieter ihr Unwesen, welche einen sicheren Betrieb nach ISO 27001 nur vorgaukeln und gar nicht über der DAkkS zertifiziert sind. Diese Unternehmen erfüllen NICHT die strengen Sicherheitsanforderungen!
So erkennen Sie echte ISO 27001 Zertifizierungen nach deutschen Recht!
Wie bereits erwähnt hat die DAkkS die hoheitliche Aufgabe die Akkreditierung von berechtigten Zertifizierungsstellen zu erlassen oder zu entziehen, um die Auditierungen von Unternehmen durchführen.
Aus diesem Grund ist jedes echte ISO 27001-Zertifikat mit dem Logo der DAkkS versehen sowie der jeweiligen DAkkS-Akkreditierungsnummer der Zertifizierungsstelle (siehe folgendes Bild).
In Deutschland berechtigte Zertifikate nach ISO 27001 weisen daher immer dieses Logo auf. Stoßen Sie auf einen IT-Dienstleister dessen Zertifikat nicht dieses Logo aufweist, können Sie davon ausgehen, dass dieses Zertifikat nicht nach den qualitativ hohen und sicheren Standards in Deutschland untersucht wurde. Wir raten dringend darauf zu achten!
Darüber hinaus, kann die DAkkS bereits akkreditierten Zertifizierungsstellen die erteilte Akkreditierung durchaus wieder entziehen, wenn diese nicht nach den gültigen Normen arbeiten. Dazu werden die Zertifizierungen regelmäßig kontrolliert.
Stößt die DAkkS hierbei auf Unregelmäßigkeiten, wird nicht nur die Akkreditierung entzogen, sondern gleichzeitig verlieren sämtliche ausgestellten Zertifikate der Zertifizierungsstelle ihre Gültigkeit.
Daher ist höchste Vorsicht geboten bei Cloud-Dienstleistern mit Zertifizierung, deren Zertifizierungsstellen nicht von der DAkkS akkreditiert sind.
Wir machen Ihre Cloud sicher!
Wir von VegaSystems sind sicherer Cloud-Dienstleister und setzen daher auf den etablierten und zuverlässigen TÜV Rheinland als Zertifizierungsstelle, der mit seinen hohen Anforderungen für ein Höchstmaß an Sicherheit und Professionalität steht.
Überlassen Sie Ihre Cloud und Ihre Daten nicht irgendwelchen Dienstleistern, sondern setzen Sie auf die TÜV-geprüfte und hoheitlich bestätigte Informationssicherheit von VegaSystems, nach den Kriterien der der Deutsche Akkreditierungsstelle (DAkkS).
Wir machen Ihre Cloud sicher und bieten gleichzeitig beste persönliche Beratung und direkte persönliche Ansprechpartner.
Wenn Cloud, dann mit VegaSystems!