News

IBM: Infrastructure-as-a-Service Cloud erhält C5-Testat

Hinter dem Kürzel C5 verbirgt sich der "Cloud Computing Compliance Controls Catalogue" des Bundesamtes für Sicherheit in der Informationstechnik (BSI). C5 beschreibt allgemein anerkannte Sicherheits-anforderungen für Cloud-Dienste. IBM hat ihr Cloud Infrastructure-as-a-Service Angebot mit Rechenzentren auf allen Kontinenten für C5 und im Hinblick auf das Design der zugrundeliegenden Kontrollen attestiert. In Deutschland ist ein C5 Attestat verpflichtend für die Nutzung von Cloud-Diensten in Behörden und öffentlichen Einrichtungen, generell empfiehlt das BSI allen Unternehmen, sich an die C5-Sicherheitsvorgaben zu halten – hierzulande und weltweit.

 

 

 

Hierzu erklärt BSI-Präsident Arne Schönbohm: "In Zeiten der Digitalisierung ist Cyber-Sicherheit eine globale Herausforderung, der wir uns auch als nationale Cyber-Sicherheitsbehörde stellen. Mit den bisherigen C5-Testaten und nun für IBM haben wir im IaaS-Bereich international eine sehr hohe Marktabdeckung erreicht. Mit dem C5-Katalog leistet das BSI somit weltweit einen wesentlichen Beitrag für mehr Sicherheit in der Cloud und damit für mehr Vertrauen in die Digitalisierung. Auch andere nationale und internationale Cloud-Anbieter sind aufgerufen, ihren Kunden auf Basis des C5-Katalogs des BSI einen testierbaren Mehrwert an IT-Sicherheit anzubieten."

Das BSI definiert über seinen C5 Anforderungskatalog "Cloud Computing Compliance Controls Catalogue" die Anforderungen für den Einsatz externer Cloud-Services. Über einen Mindeststandard ist die Nutzung von C5 attestierten Cloud-Diensten in Deutschland für Bundesbehörden verpflichtend. In anderen Organisationen und Unternehmen ist der C5 sehr anerkannt und genießt hohes Ansehen. Der C5 stellt umfassende Sicherheitsanforderungen auf, deren Einhaltung über Kontrollen nachgewiesen wird. Durch ein Attestation Audit erhielt IBM für die Cloud Infrastructure-as-a-Service Dienste ein C5-Testat, wodurch das Design der dem C5 zugrundeliegenden Kontrollen durch einen unabhängigen Wirtschaftsprüfer bestätigt wurde. Im Rahmen des Audits sind auch die so genannten Umfeld-Parameter, die Auskunft über wichtige Aspekte der Cloud-Dienste geben wie Datenstandort, Servicevorgaben, Rechtsprechung, Zertifizierungen sowie Ermittlungs- und Offenlegungspflichten gegenüber Behörden validiert worden.

Mit der C5-Testierung baut IBM das eigene Bekenntnis zur Informationssicherheit weiter aus. Zu den bisherigen Vereinbarungen und Kontrollen gehören unter anderem der EU Datenschutz-Verhaltenskodex für Cloud-Anbieter (Data Protection Code of Conduct for Cloud Service Providers), das EU-US-Privacy Shield-Abkommen, die IBM Zertifizierung für TRUSTe Standards oder auch die "Charter of Trust" für mehr Cybersicherheit. Zudem erfüllt IBM Cloud die EU-DSGVO (Datenschutz-Grundverordnung), die detailliert vorgibt, welche regulatorischen Vorgaben und Compliance-Anforderungen Unternehmen beim Datenschutz erfüllen müssen. Dabei geht es nicht nur um eine einmalige Umsetzung der Richtlinie, sondern einen dauerhaften Schutz und den sicheren Umgang mit personenbezogenen Daten, die gespeichert und verarbeitet werden.

"Mit dem Anforderungskatalog C5 hat das BSI den Cloud-Einsatz auf ein sicheres Fundament gestellt, das wir bei IBM weltweit zugrunde legen – unabhängig ob für Behörden oder Unternehmen", sagt Yasser Eissa, Vice President Watson & Cloud Platform, IBM Europa. "C5 ist der bisher umfassendste Katalog für den sicheren Betrieb von Cloud-Umgebungen. Er schafft Transparenz für Kunden, die diese nutzen können, um Cloud-Services entsprechend gesetzlicher Vorschriften und eigenen Richtlinien einzusetzen. Zudem dokumentiert die C5-Attestierung, ob ein Cloud-Dienst den allgemein anerkannten Anforderungen für Informationssicherheit genügt."

Über das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. Als neutrale Stelle befasst sich das BSI mit allen Fragen zur IT-Sicherheit in der Informationsgesellschaft. Neben der IT-Sicherheit der Bundesverwaltung bilden insbesondere die Beratung, Sensibilisierung und Aufklärung der Bürgerinnen und Bürger sowie die Kooperation mit Wirtschaft und Wissenschaft die Arbeitsschwerpunkte.

Weiterführende Links

www.ibm.com