C5-Testat für AWS Irland

Erfolgsmodell C5 expandiert nach Europa

| Autor / Redakteur: Gerald Boyne / Peter Schmitz

Die C5-Prüfung der AWS Region Irland als zweite Region nach Frankfurt zeigt die Vorteile des Prüfschemas, auch mit Blick auf die DSGVO.
Die C5-Prüfung der AWS Region Irland als zweite Region nach Frankfurt zeigt die Vorteile des Prüfschemas, auch mit Blick auf die DSGVO. (Bild: gemeinfrei)

Der BSI Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue oder kurz C5) ist ein großer Schritt hin zu einer besseren Nachweisbarkeit der Einhaltung von Compliance-Richtlinien für Cloud-Dienste. Nach der AWS Region Frankfurt ist jetzt auch die AWS Region Irland nach C5 geprüft worden.

Der Cloud Computing Compliance Controls Catalogue (C5) hat sich als umfassender Referenztest in Sachen Cloud-Sicherheit etabliert. Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Prüfschema umfasst dabei von der Administrationsebene bis zur Zugriffskontrolle sämtliche Bereiche einer Cloud-Umgebung.

Nach der AWS Region Frankfurt ist jetzt auch die AWS Region Irland durch Ernst & Young gemäß C5 testiert worden. Damit können nun alle AWS-Kunden, die ihre Dienste und Daten dort hosten, den Prüfnachweis nutzen, um die Konformität mit den strengen europäischen Datenschutzanforderungen zu erfüllen. Davon profitieren auch deutsche Kunden, die eine zweite europäische Region nutzen wollen. Im Prüfungsumfang gemäß C5 waren 71 Services von AWS enthalten. Dabei wurden 29 neue Services dem bestehenden Prüfungsumfang hinzugefügt, darunter Angebote wie Amazon Athena, Amazon Polly, AWS IoT Device Management und AWS Snowball.

Compliance für die Cloud mit BSI C5

BSI Anforderungskatalog Cloud Computing (C5)

Compliance für die Cloud mit BSI C5

03.05.17 - Geht es um die Cloud, ist das Pflichtenheft so lang wie bei kaum einem anderen IT-Bereich. Mit dem Anforderungskatalog C5 adressiert das BSI (Bundesamt für Sicherheit in der Informationstechnologie) die großen Themen, von der Administrationsebene bis zur Zugriffskontrolle. C5 steht für Cloud Computing Compliance Controls Catalogue und richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und natürlich auch die Kunden. lesen

Vorteile mit Blick auf die DSGVO

Bei der Testierung gemäß C5 gibt es einige Überschneidungen mit der Datenschutz-Grundverordnung (DSGVO). So hat AWS den erweiterten C5-Prüfungsaspekt „Vertraulichkeit“ in die Testierung aufnehmen lassen. Dabei wurden die technischen und organisatorischen Maßnahmen (TOM) geprüft, die sich mit den entsprechenden DSGVO-Anforderungen größtenteils decken.

Eine weiterhin relevante Rolle spielt dabei das Trusted Cloud Datenschutz Profil (TCDP), ein Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes – als Quasi-Vorgänger der DSGVO – entspricht. Das BSI spricht ausdrücklich von einer großen Übereinstimmung zwischen TCDP und C5 und schreibt auf seiner Webseite „So kann bei einem Audit nach C5 auf effiziente Weise eine Datenschutzzertifizierung nach TCDP mit durchgeführt werden.“ Der Prüfstandard TCDP wird derzeit mit Blick auf die DSGVO aktualisiert, bleibt jedoch als TCDP V1 weiterhin als Datenschutznachweis relevant. Da es derzeit nämlich noch keine explizite DSGVO-Cloud-Zertifizierung gibt, ist die Testierung gemäß C5 ein guter Indikator dafür, dass die notwendigen TOM implementiert sind. Zugleich können AWS-Kunden eine eigene C5-Testierung für ihre Cloud-Anwendungen durchführen lassen, die als Software as a Service (SaaS) und Platform as a Service (PaaS) bereitgestellt werden, ohne dass die physische Sicherheit von Rechenzentren oder die Infrastruktur der Cloud erneut überprüft werden müssen.

Ein weiterer Bereich, bei dem AWS eine erweiterte Prüfung nach C5 durchführen ließ, waren die Prozesse und Maßnahmen rund um „Verfügbarkeit“. Damit erhalten Kunden eine unabhängige Bestätigung für die Performance der AWS-Lösungen auf diesem Gebiet. Außerdem wird C5 mittlerweile von der ISACA für Zwecke der internen Prüfung empfohlen. Die ISACA ist die Information Systems Audit and Control Association (ISACA), ein unabhängiger, globaler Berufsverband für IT-Revisoren, Wirtschaftsprüfer und Experten der Informationssicherheit und IT-Governance.

Cloud Zertifikate - Was sind C5 und TCDP?

Sicherheit in der Cloud

Cloud Zertifikate - Was sind C5 und TCDP?

11.01.18 - Mit dem passenden Zertifikat oder Testat können sich Cloud-Nutzer und -Anbieter in Deutschland rechtlich absichern: Anbieter können nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben und Nutzer kommen ihrer Sorgfaltspflicht nach. lesen

AWS-Kunde Box profitiert vom C5-Testat

Ein Unternehmen, das von den Vorteilen der C5-Testierung profitiert ist „Box“, eine Plattform zum einfachen und sicheren Verwalten von Inhalten in der Cloud. Dabei werden alle Inhalte der Kunden des Dienstes bei Übertragung und Speicherung verschlüsselt. Auf Wunsch können Unternehmen die dafür genutzten Schlüssel auch selbst verwalten. Box nutzt die Basis Services Amazon Elastic Compute Cloud (Amazon EC2) und Amazon Simple Storage Service (Amazon S3). Damit lassen sich Inhalte lokal in den Regionen speichern. Außerdem arbeitet Box mit AWS Key Management Service (KMS) und AWS CloudHSM – einem Hardwaresicherheitsmodul.

Gerald Boyne ist Head of Security Assurance bei der Amazon Web Services Germany GmbH.
Gerald Boyne ist Head of Security Assurance bei der Amazon Web Services Germany GmbH. (Bild: AWS)

Weil AWS als Public Cloud Provider gemäß des C5 Standards geprüft ist, konnte Box sich bei seiner eigenen C5-Prüfung ganz auf die Software-Ebene (SaaS) konzentrieren. Das erleichterte die Einführung des Produktes „Box Zones“ in Deutschland. Auch Finanzdienstleister und der öffentliche Sektor haben durch das Zertifikat die Möglichkeit, ihre Inhalte mit Hilfe von Box in der Cloud zu verwalten. Für Box spielte die C5-Prüfung eine große Rolle, um seinem eigenen Anspruch gerecht zu werden, weltweit die Bestmarke für Sicherheit und Compliance in allen Branchen zu setzen. „In Deutschland war es wichtig für uns, C5 zu erfüllen. Das müssen Cloud-Anbieter leisten, insbesondere wenn sie im öffentlichen Sektor Leistungen verkaufen wollen. AWS war der erste Anbieter, der den C5-Prüfungsnachweis besaß“, sagt Tom Cowles, Director Compliance bei Box.

Über den Autor: Gerald Boyne ist Head of Security Assurance bei AWS Deutschland.

Sicherheit hat bei AWS aktuell Vorrang

Interview mit Glenn Gore zu Development und Open Source

Sicherheit hat bei AWS aktuell Vorrang

02.04.19 - Wie unterstützt AWS die Open-Source-Community und Entwickler im Allgemeinen? Welche Dienste, Tools und Blaupausen helfen bei Security-by-Design-Strategien? Diese Fragen beantwortet Glenn Gore, Lead Architect bei Amazon Web Services, im Interview mit unserem Autor Michael Matzer im Auftrag von Dev-Insider. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45882097 / Lösungsansätze )