IBM Infrastructure-as-a-Service Cloud erhält C5-Testat
Durch ein „Attestation Audit“ erhielt IBM für die Cloud Infrastructure-as-a-Service Dienste ein C5-Testat, wodurch das Design der dem C5 zugrundeliegenden Kontrollen durch einen unabhängigen Wirtschaftsprüfer bestätigt wurde. Bild: IBM
Hinter dem Kürzel C5 verbirgt sich der „Cloud Computing Compliance Controls Catalogue“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). C5 beschreibt allgemein anerkannte Sicherheitsanforderungen für Cloud-Dienste. IBM hat ihr Cloud Infrastructure-as-a-Service-Angebot mit Rechenzentren auf allen Kontinenten für C5 und im Hinblick auf das Design der zugrundeliegenden Kontrollen attestiert. In Deutschland ist ein C5 Attestat verpflichtend für die Nutzung von Cloud-Diensten in Behörden und öffentlichen Einrichtungen, generell empfiehlt das BSI allen Unternehmen, sich an die C5-Sicherheitsvorgaben zu halten – hierzulande und weltweit.
„In Zeiten der Digitalisierung ist Cyber-Sicherheit eine globale Herausforderung, der wir uns auch als nationale Cyber-Sicherheitsbehörde stellen“, erklärt BSI-Präsident Arne Schönbohm. Mit den bisherigen C5-Testaten und nun für IBM haben man im IaaS-Bereich international eine sehr hohe Marktabdeckung erreicht. Mit dem C5-Katalog leiste das BSI somit weltweit einen wesentlichen Beitrag für mehr Sicherheit in der Cloud und damit für mehr Vertrauen in die Digitalisierung. Auch andere nationale und internationale Cloud-Anbieter seien aufgerufen, ihren Kunden auf Basis des C5-Katalogs des BSI einen testierbaren Mehrwert an IT-Sicherheit anzubieten.
Anforderungen für den Einsatz externer Cloud-Services
Das BSI definiert über seinen C5 Anforderungskatalog „Cloud Computing Compliance Controls Catalogue“ die Anforderungen für den Einsatz externer Cloud-Services. Über einen Mindeststandard ist die Nutzung von C5 attestierten Cloud-Diensten in Deutschland für Bundesbehörden verpflichtend. In anderen Organisationen und Unternehmen ist der C5 sehr anerkannt und genießt hohes Ansehen. Der Katalog stellt umfassende Sicherheitsanforderungen auf, deren Einhaltung über Kontrollen nachgewiesen wird.
Durch ein „Attestation Audit“ erhielt IBM für die Cloud Infrastructure-as-a-Service Dienste ein C5-Testat, wodurch das Design der dem C5 zugrundeliegenden Kontrollen durch einen unabhängigen Wirtschaftsprüfer bestätigt wurde. Im Rahmen des Audits sind auch die so genannten Umfeld-Parameter, die Auskunft über wichtige Aspekte der Cloud-Dienste geben wie Datenstandort, Servicevorgaben, Rechtsprechung, Zertifizierungen sowie Ermittlungs- und Offenlegungspflichten gegenüber Behörden validiert worden. (ig)