C5-Vertrauensbildung in der Cloud
Mit dem C5-Testat beweist Trend Micro, dass seine Umgebung Compliance-Kriterien des BSI für Cloud Computing erfüllt. Anwender können somit vertrauensvoll die Bedrohungs- und Verwaltungsdaten mit dem Anbieter teilen. Was heißt das wirklich?
„C5, was bringt uns das?“ ist eine absolut berechtigte Frage, die nicht nur Firmen an Hersteller stellen, sondern auch Geschäftsleitungen an ihre Mitarbeiter. Man will teure Fehlinvestitionen vermeiden und nicht jeder Spleen ist wertvoll. „Cloud Computing Compliance Criteria Catalogue“ (kurz C5) wurde vom BSI ins Leben gerufen und als „…Grundlage eines kundeneigenen Risikomanagements…“ deklariert. Aber allein anhand dieser Aussage kann man weder den Geschäftsführer eines internationalen Cloud-Anbieters noch dessen Kunden überzeugen – sollte man meinen. Und doch ist es gelungen. Denn es geht um mehr, um viel mehr.
Cloud Computing – Ja oder Nein?
Daten in die Cloud zu legen, war von Anfang an umstritten. Speziell in Deutschland, in dem Land, das seine Ideen von Datenschutz mit in die EU eingebracht hat, galt es lange als zweifelhaft, ob man überhaupt in die Cloud gehen durfte. Turbulente politische Diskussionen rund um den österreichischen Anwalt und Datenschutzspezialisten Max Schrems sorgten darüber hinaus für eine unklare Rechtslage. Viele Unternehmen hielt dieses Chaos davon ab, die Cloud – hier ist vor allem die Public Cloud gemeint – zu nutzen, und das oft zum eigenen ökonomischen Nachteil. In diese Atmosphäre hinein brachte das BSI 2016 das C5-Testat (alle Einzelheiten dazu finden Sie bei Trend Micro). Es als technische Neuerung zu bezeichnen, wäre falsch. Tatsächlich unterscheidet es sich kaum von anderen Zertifikaten.
Es ist deshalb auch eher als symbolische Geste zu betrachten, die „vertrauensbildend“ ist, wie es das BSI selbst ausdrückt. Mit C5 wird vor allem eine sehr banale aber deshalb oft nicht weniger umstrittene Frage beantwortet: Ist es nach deutscher Rechtslage grundsätzlich möglich, Daten in die Cloud zu legen? Ja, ist es!
Vorsicht ist besser
Bei jeder Art von Datenlagerung gibt es Risiken. Die Daten können verloren gehen, z.B. durch Katastrophenereignisse oder Diebstahl. Unternehmen müssen diese Risiken bewerten und wenn nötig entsprechende Maßnahmen ergreifen. Das unterscheidet die Cloud nicht vom eigenen Rechenzentrum. Das BSI empfiehlt deshalb im IT-Grundschutz, wie eigene Daten verwaltet werden sollten, und hat mit dem C5 einen Katalog an Mindestanforderungen an eine Cloud-Umgebung definiert, der es Unternehmen einfacher macht, einen Anbieter von Cloud-Diensten dahingehend zu prüfen. Die Kriterien umfassen dabei sowohl die physikalische Sicherheit, wie auch den „Schutz der Daten“ nach IT-Security-Verständnis. Dadurch können Kunden einschätzen, welche Risiken durch den jeweiligen Cloud Provider abgedeckt sind und welche durch eigene Maßnahmen ergänzt werden müssen.
Aber was bringt’s denn nun?
Diese Frage muss differenziert betrachtet werden. Als Kunde haben Sie sehr wahrscheinlich ein internes Risikomanagement. Je nach Größe und/oder Branche bzw. Geschäftsprinzip sind Sie unter anderem dazu verpflichtet. Im Risikomanagement geht es darum zu dokumentieren, zu bewerten und aus der Bewertung Maßnahmen abzuleiten. C5 unterstützt bei allen diesen Aufgaben und erleichtert es darüber hinaus, einen Cloud Anbieter in diese Bewertung einzubeziehen. Eine kleine Ausnahme sind Regierungsbehörden, für diese ist die Einhaltung von C5 als Mindeststandard sogar gesetzlich vorgeschrieben. Dennoch ist das Testat nicht bei jedem Cloud-Diensteanbieter vorhanden. Auch Trend Micro musste sich intern die Frage nach dem „was bringt es“ beantworten.
C5 aus Trend Micro Sicht
Als japanisches Unternehmen haben wir möglicherweise den Vorteil, dass dort ebenfalls ein starkes Bewusstsein für Datenschutz und Compliance vorhanden ist und man speziell innerhalb von Trend Micro dem deutschen Markt im Besonderen zugetan ist. Dennoch mussten wir rechtfertigen, warum wir mit einem „nationalem Standard“ auf Compliance testen wollten. Die Antwort hierauf war relativ einfach. C5 ist eine vertrauensbildende Maßnahme, die es Unternehmen erlaubt, die Cloud-Diskussion auf einer faktenbasierten Ebene zu führen. Wir erleichtern unseren Kunden damit, unsere Dienstleistungen speziell im SaaS-Kontext zu nutzen. Nachdem unsere Lösungen ohnehin bereits nach ISO Standard zertifiziert sind, ist die Erweiterung um C5 nicht schwierig, so dass bei geringem Aufwand ein hoher Mehrwert für Kunden und auch Partner erzeugt werden kann. Und deshalb lohnt es sich für uns alle in einer echten dreifachen Win-Situation.
Dürfen denn jetzt alle Daten in die Cloud?
Nein! Das C5-Testat ist kein Persilschein für alle Daten. Jedes Unternehmen muss die Risiken einschätzen, und zweifellos gibt es solche, die nach Betrachtung nicht ausgelagert werden können. Dies betrifft einen verhältnismäßig kleinen Teil, aber nicht die, die für Trend Micro-Lösungen relevant sind. Die Daten, von denen wir als Trend Micro sprechen, sind Verwaltungs- und Bedrohungsdaten. Daten, bei denen der Gesetzgeber sogar feststellt, dass es im „besonderen Interesse“ eines Unternehmens liegt, diese mit einem Security-Anbieter zu teilen. Diese dürfen, ja teilweise müssen aus funktionstechnischen Gründen in die Cloud ausgelagert werden. Mit dem C5-Testat erleichtern wir unseren Kunden die Dokumentationspflicht und Risikodiskussion. Aber selbst wenn dies für Ihr Unternehmen nicht relevant ist, bedeutet es, dass wir unsere SaaS Umgebung nach den vom BSI vorgegebenen und in einem Katalog zusammengestellten Compliance-Kriterien für Cloud Computing prüfen ließen. Oder halt einfach C5-testiert sind.