
Der sichere Datenaustausch in der Cloud erfordert von Entscheidern ein umfangreiches Fachwissen bei der Auswahl des passenden Cloud-Anbieters. Dieser Beitrag erläutert, worauf Sie achten müssen und welche Rolle das BSI C5-Testat dabei spielt.
Immer mehr Unternehmen nutzen Cloud-Dienste, um produktiver und effizienter im Team arbeiten zu können. Doch Cloud ist nicht gleich Cloud: Mit unabhängigen Zertifizierungen und Testaten weisen Cloudanbieter ein hohes Sicherheitsniveau und einen optimalen Datenschutz nach. In zunehmendem Maße sind solche Nachweise daher obligatorisch oder gar gesetzlich vorgeschrieben.
Deshalb sollten Entscheider bei der Auswahl eines entsprechenden Anbieters genau prüfen, welche technischen und sicherheitsspezifischen Qualifikationen dieser vorweisen kann. Der aktuell wohl wichtigste Baustein: ein BSI C5-Testat.
BSI C5-Testat – umfangreiches Gütesiegel
Neben zahlreichen anderen, international etablierten Zertifizierungen hat sich in den letzten Jahren in Deutschland das BSI C5-Testat durchgesetzt. Es weist bei Cloud-Anbietern die Effizienz des implementierten Sicherheitsmanagementsystems nach. Dieser vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 erstmals publizierte und regelmäßig aktualisierte C5-Anforderungskatalog an Managementsysteme für Informationssicherheit (ISMS) gliedert sich in zwei unterschiedliche Testate.
Während das Typ 1-Testat das Vorhandensein eines angemessenen Sicherheitsmanagementsystems zum Prüfzeitpunkt bescheinigt und sich damit nicht wesentlich von anderen Zertifizierungen unterscheidet, weist das Typ 2-Testat die fortlaufende Wirksamkeit des Sicherheitsmanagementsystems während des gesamten Prüfungszeitraums nach. Der Prüfungszeitraum reicht dabei über sechs bis zwölf Monate. Ein initial erhaltenes C5-Testat des Typs 1 ist Voraussetzung, um ein Typ 2-Testat zu erlangen.
Die Auditierung beschäftigt sich beim C5-Testat nicht nur mit dem Management der internen Sicherheitsmaßnahmen für Informationssysteme, sondern bezieht externe Faktoren wie Subunternehmen ebenfalls mit ein. Für C5-Testate, die extern verwendet werden sollen, also beispielsweise von Cloud-Anbietern als Referenz für Kunden, ist die Auditierung zwingend von einem unabhängigen Wirtschaftsprüfer vorzunehmen. Dieser muss zudem eine besondere Qualifikation nachweisen, um die Auditierung vornehmen und das Testat ausstellen zu können. Die Qualifikationsanforderungen an den Wirtschaftsprüfer beschreibt der C5-Kriterienkatalog ebenfalls.
BSI C5 im Gesundheitswesen
Der BSI C5-Standard gewinnt in Deutschland zunehmend an Bedeutung. So müssen beispielsweise Cloud-Anbieter, die im Gesundheitswesen ihre Dienstleistungen erbringen möchten, ab dem 1. Juli 2024 ein gültiges C5-Testat vorweisen können.
Bis zum 30. Juni 2025 ist dabei ein C5-Testat des Typs 1 ausreichend. Ab dem 1. Juli 2025 ist jedoch für solche Anbieter von Cloud-Dienstleistungen ein Testat des Typs 2 obligatorisch. Diese Normen werden durch das am 26. März 2024 in Kraft getretene Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens – kurz Digital-Gesetz (DigiG) – festgeschrieben.
Die entsprechenden Vorschriften betreffen dabei nicht nur Dienstleister, die ausschließlich Speicherplatz in der Cloud zur Verfügung stellen, sondern auch Anbieter anderer Lösungen, beispielsweise von SaaS-Plattformen im Gesundheitswesen, deren Anwendungen cloudbasiert verwendet werden. Dadurch sind faktisch alle Organisationen, die im medizinischen Sektor tätig sind und IT-Systeme mit Cloudanbindung betreiben, verpflichtet, die entsprechende C5-Testierung ihrer Dienstleister zu überprüfen. Im Zweifelsfall müssen sie den Cloud-Anbieter wechseln, wenn dieser kein BSI C5-Testat vorweisen kann.
BSI C5 im öffentlichen Dienst
Darüber hinaus entfaltet der BSI C5-Standard inzwischen auch im öffentlichen Dienst Wirkung: Nutzen Institutionen des Bundes externe Cloud-Dienste, so müssen diese vom Cloud-Anbieter Nachweise über die Erfüllung des C5-Standards einfordern. Anbieter, die dieses Kriterium nicht erfüllen, können also ihre Dienstleistungen nicht mehr für Bundesbehörden erbringen.

Im Bereich der öffentlichen Auftragsvergabe hat der beim Bundesministerium des Innern und für Heimat ansässige Beauftragte der Bundesregierung für Informationstechnik (Bundes-CIO) bereits zum 1. März 2022 ergänzende Vertragsbestimmungen für den Beschaffungsprozess von Cloud-Dienstleistungen (EVB-IT Cloud) herausgebracht. Mit ihnen werden neben Bundes- auch Landes- und einige kommunale Behörden verpflichtet, bei der Beschaffung von Cloud-Services ein entsprechendes BSI C5-Testat des Anbieters zu berücksichtigen.
Im Rahmen des Managements für Informationssicherheit wird das C5-Testat auch bei Subunternehmen, die cloudbasierte Dienste für Auftragnehmer der öffentlichen Hand erbringen, immer wichtiger. Das betrifft beispielsweise Rechenzentren, da kleinere Cloud-Dienstleister in aller Regel ihre Services nicht im eigenen Rechenzentrum hosten, sondern auf entsprechende Drittanbieter zurückgreifen. Auch für diese ist das C5-Testat zunehmend verpflichtend.
BSI C5 in der Praxis
Während sich der C5-Kriterienkatalog mit organisatorischen und technischen Maßnahmen zur Gewährleistung eines Mindeststandards in der IT-Sicherheit bei Cloud-Diensten und den entsprechenden Monitoring-Systemen beschäftigt, treten für Entscheider in Unternehmen bei der Auswahl eines externen Cloud-Anbieters konkrete Selektionskriterien in den Vordergrund:
➢ Hat der Cloud-Anbieter ein BSI C5-Testat erlangt oder verfügt er lediglich über eine Zertifizierung nach den verschiedenen ISO 27000-Spezifikationen (hier vornehmlich ISO 27001/ISO 27002/ISO 27017/ISO 27018-Norm)?
➢ Wurde das BSI C5-Testat von einem renommierten Wirtschaftsprüfer ausgestellt?
➢ Handelt es sich um ein Testat des Typs 1 oder des Typs 2?
➢ Greift der Cloud-Dienstleister beim Hosting seiner Services auf Drittanbieter (z.B. externe Rechenzentren) zurück oder betreibt er die technische Infrastruktur komplett in eigener Regie?
➢ Falls externe Hosting-Partner involviert sind: Verfügen diese ebenfalls über ein BSI C5-Testat?
➢ Werden die Datenbestände der Kunden georedundant gesichert, so dass zwei oder mehrere Rechenzentren in deutlicher geographischer Trennung voneinander die Services unabhängig gewährleisten können?
➢ Gewährleistet der Anbieter eine Ende-zu-Ende-Verschlüsselung, die auf quelloffenen Methoden und Algorithmen beruht, so dass keine Hintertüren vorhanden sein können wie bei proprietären Verschlüsselungsmethoden möglich?
Standortfrage: Cloud-Anbieter aus den USA bergen Risiken
Ein nicht zu unterschätzendes Kriterium bei der Auswahl eines externen Cloud-Dienstleisters stellt dessen Standort dar.

In der gesamten EU gilt im Kontext mit der Gewährleistung eines umfassenden Datenschutzes die Datenschutz-Grundverordnung (DSGVO). Cloud-Anbieter, die ihren Firmensitz in den USA haben oder auch Anbieter, die ihre Rechenzentren oder Server in den USA beheimaten, können ihre Cloud-Services nicht datenschutzkonform innerhalb der EU anbieten.
US PATRIOT Act und CLOUD Act
Grund dafür sind die US-amerikanischen Gesetze des Patriot Act und des CLOUD Act, die es US-Behörden auch ohne richterlichen Beschluss ermöglichen, auf Datenbestände Dritter zuzugreifen, wenn das betreffende Unternehmen entweder seinen Sitz in den USA hat oder Server in den Vereinigten Staaten betreibt. Dabei können auch Daten von Servern ausgespäht werden, wenn diese in Rechenzentren in Europa verteilt sind, jedoch der Cloud-Anbieter seinen Firmensitz in den USA hat.
Es sollte jedem Entscheider daher bewusst sein, dass aufgrund der geheimgehaltenen Befugnisse und Aktivitäten der US-Behörden unter Umständen Geschäftsgeheimnisse oder auch geschäftsrelevantes geistiges Eigentum ausgespäht und verwertet werden können, wenn Datenbestände in der Cloud in den Einflussbereich der Vereinigten Staaten von Amerika gelangen. Zudem lauern weitere juristische Stolpersteine, wenn Daten von Dritten in der Cloud auf Servern außerhalb der EU verwaltet werden.
Um einen Ausgleich zwischen der EU-weit gültigen Datenschutzgrundverordnung und dem US Cloud Act herbeizuführen, wäre ein entsprechendes Rechtshilfeabkommen nötig. Nur mit einer solchen vertraglich fixierten Anpassung der beiden unterschiedlichen Rechtsauffassungen wäre es möglich, Datenbestände in der Cloud datenschutzkonform auch auf Servern zu verwalten, die der US-Jurisdiktion unterliegen. Die EU hat es bislang versäumt, ein solches Abkommen auszuhandeln.
Mit SecureCloud auf der sicheren Seite
Die technische Infrastruktur, aber auch die organisatorischen Maßnahmen von SecureCloud tragen all diesen Anforderungen Rechnung und sorgen für rechtliche Planbarkeit und Sicherheit:
➢ Die Rechenzentren, bei denen SecureCloud seine Server und Dienste hostet, liegen allesamt in Deutschland. Sie werden von deutschen Unternehmen betrieben, wobei wir Datenbestände georedundant speichern.
➢ SecureCloud ist ein deutsches Unternehmen ohne Verbindungen zu US-amerikanischen Organisationen.
➢ Die Rechenzentren sind vielfach nach verschiedensten international anerkannten Sicherheitsstandards zertifiziert. SecureCloud durchlief erfolgreich den Auditierungsprozess für das BSI C5-Testat. Die Auditierung nahm eine renommierte deutsche Wirtschaftsprüfungsgesellschaft vor.
➢ Die Datenbestände unserer Kunden werden bei uns ohne Wenn und Aber Ende-zu-Ende-verschlüsselt und anhand offen zugänglicher Spezifikationen verwaltet.
➢ Mit unserem Schwesterunternehmen Exabackup GmbH bieten wir zusätzlich eine Backup-Plattform für Datensicherungen von Cloud-Anwendungen an. Die Exabackup GmbH unterliegt dabei natürlich denselben strengen Anforderungen wie SecureCloud.
Entscheider, die eine zuverlässige Produktivitäts-Cloud für den sicheren Datenaustausch im Unternehmen suchen, sind bei SecureCloud daher bestens aufgehoben. Wir bieten Ihnen in alle relevanten Dienstleistungen für online Kooperation und Datenaustausch aus einer Hand an – unabhängig testiert und daher mit Sicherheit sicher.