C5-Testat des BSI für Microsoft Azure Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Microsoft ein Testat nach dem von der Behörde entworfenen Anforderungskatalog “Cloud Computing Compliance Controls Catalogue” (C5) ausgestellt. Der Anforderungskatalog C5 bezieht im Gegensatz zu anderen Sicherheitsstandards die sogenannten Umfeldparameter ein. Er gibt also auch Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen. Er soll so Unternehmen bei der Entscheidung helfen, ob Cloud-Dienste den gesetzlichen Vorschriften, den eigenen Richtlinien oder der Gefährdungslage bezüglich Wirtschaftsspionage entsprechen.

In einer Pressemitteilung erklärt BSI-Präsident Arne Schönbohm: “Die Erteilung des Testats an Microsoft Azure Deutschland ist ein erneuter Beleg dafür, dass der C5-Katalog vom Markt angenommen wird. Die Cloud-Anbieter haben erkannt, dass IT-Sicherheit ein Verkaufsargument ist, das den Anwendern immer wichtiger wird, um den Herausforderungen der Digitalisierung zu begegnen.”

AWS hatte das C5-Testat für seinen Standort Frankfurt am Main bereits im Dezember 2016 erhalten. Es war damals der erste international agierende Anbieter, der ein Testat nach dem C5-Katalog erhalten hat. Das BSI hatte den Anforderungskatalog im Februar 2016 veröffentlicht.

Im Rahmen des regelmäßigen Audits wurde für Azure Deutschland zudem die Einhaltung der Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA), bescheinigt. Die Cloud Security Alliance bietet Anbietern von Cloud-Diensten Tools, um ein Sicherheitskonzept umzusetzen, sowie die Möglichkeit, die Sicherheit auf Basis weiterer Zertifizierungen zu bewerten. Außerdem versorgt die CSA Prüfer, Zertifizierungsstellen und Sicherheitsberater mit Informationen und empfiehlt ihnen bewährte Vorgehensweisen.

Für seine Angebote im Rahmen der “Microsoft Cloud Deutschland” hat der US-Konzern mit dem Konzept des Datentreuhänders, dessen Rolle in Deutschland T-Systems übernimmt, einen etwas umständlichen, aber aus seiner Sicht wohl notwendigen Weg gewählt, um auch deutschen und europäischen Kunden seine Cloud-Dienste rechtssicher anbieten zu können. Andere Anbieter erkennen darin für sich und ihre Kunden keinen Mehrwert und fühlen sich nicht zur Nachahmung angeregt.

Beispielsweise erklärte Constantin Gonzalez, Principal Solutions Architect bei AWS, im Mai gegenüber silicon.de: “Wir glauben nicht, dass dieses Modell unseren Kunden einen Vorteil bieten würde.” Gonzalez gab zu bedenken, dass dabei mehrere Parteien an einem Tisch sitzen. “Das bedeutet: großer Aufwand für die Koordinierung der verschiedenen Player. Außerdem gibt es mehr potenzielle Angriffspunkte.” AWS weise Kunden immer darauf hin, ihre Daten zu verschlüsseln. “Und wir glauben, dass dies der beste Weg ist, die Informationen zu schützen. Dafür bieten wir auch viele verschiedene Verschlüsselungsservices an”, so Gonzalez weiter.