C5-Testat

Banner Softwaretestat: IDW PS 880 in der Gesundheits- und Sozialwirtschaft

Cloud-Computing hat in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Unternehmen verlagern zunehmend Anwendungen und IT-Umgebungen in öffentliche, private oder hybride Cloud-Umgebungen.

Keine Auslagerung ohne C5-Testat!

Für Krankenhäuser war der Weg aufgrund der Sensibilität der verarbeiteten Daten bisher sehr riskant. § 393 SGB V definiert nun die Anforderungen, nach denen eine Auslagerung der Datenverarbeitung in die Cloud möglich ist.

Unter anderem benötigt der Anbieter eine aktuelle Zertifizierung nach dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten C5-Standard. Der "BSI Cloud Computing Compliance Criteria Catalogue" (kurz: BSI C5) ist ein Kriterienkatalog, der Mindestanforderungen an die Informationssicherheit für Cloud-Dienste spezifiziert.

Er richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Das Ziel des BSI C5 ist es, die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung zu ermöglichen. Durch die Anwendung des C5-Katalogs können Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Anbieters erhalten und ein kundeneigenes Risikomanagement durchführen.

Welche Arten von Prüfungen gibt es?

Die Prüfung kann durch Wirtschaftsprüfungsgesellschaften durchgeführt werden. Im Fokus der Prüfung steht nicht nur die Infrastruktur in der Cloud sondern auch die Anwendungsebene der Cloud-Dienste.

Der C5-Standard des BSI umfasst dabei eine Reihe von Kontrollen und Anforderungen, die Unternehmen erfüllen müssen, um Sicherheit, Datenschutz und Compliance in Cloud-Umgebungen zu gewährleisten. Der Standard enthält u.a. Richtlinien zu Themen wie Datenverschlüsselung, Zugriffskontrolle, Notfallmanagement und Compliance-Monitoring.

Die Cloud-Anbieter erhalten im Nachgang ein Zertifikat, welches sie den Kunden zur Verfügung stellen können. Dabei werden zwei Varianten unterschieden:

C5-Typ-1 (Angemessenheitsprüfung) und
C5-Typ-2 (Angemessenheitsprüfung mit Wirksamkeitsbetrachtung).

Typ-1 ist in der Regel der erste Schritt, da zunächst nur die Angemessenheit geprüft wird. Im Anschluss daran erfolgt eine zeitraumbezogene Wirksamkeitsprüfung. Das Zertifikat ist jährlich zu erneuern, damit sich die Kunden von der Einhaltung der Anforderungen überzeugen können, zu denen sie gesetzlich verpflichtet sind.

Darüber hinaus sind darin in der Regel korrespondierende Kriterien für Kunden enthalten, die auf Kundenseite umzusetzen sind. Nur wenn dies erfolgt ist, kann die Auslagerung als sicher gewertet werden.