Alibaba Cloud erhält C5-Testat des BSI

Alibaba Cloud hat von Wirtschaftsprüfern ein Testat nach den Anforderungen des Cloud Computing Compliance Controls Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten. Der Anforderungskatalog C5 bezieht im Gegensatz zu anderen Sicherheitsstandards auch sogenannte Umfeldparameter ein. Damit gibt er auch Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen sowie Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen.

Unternehmen bekommen damit Hilfestellung bei der Entscheidung, ob Cloud-Dienste den gesetzlichen Vorschriften, den eigenen Richtlinien oder der Gefährdungslage bezüglich Wirtschaftsspionage entsprechen. Das Testat haben bislang nur fünf Firmen für jeweils bestimmte Angebote erhalten: AWS, Box, Dropbox, Fabasoft und Microsoft.

Bei Alibaba Cloud wurden für das Testat die Cloud-Dienste Elastic Compute Service (“ECS”), Relational Database Service (“RDS”), Object Storage Service (“OSS”), Content Delivery Network (“CDN”), Server Load Balancer (“SLB”), Virtual Private Cloud (“VPC”) und Alibaba Cloud Security aus den Regionen Singapur und Deutschland geprüft. Alibaba Cloud ist laut BSI der erste Cloud-Anbieter, bei dem das Testat teilweise auch “die höherwertigen Anforderungen des C5” umfasst. Das erste Rechenzentrum in Deutschland hatte der chinesische Anbieter im November 2016 eingerichtet.

Der Anforderungskatalog für das C5-Testat basiert auf mehreren etablierten Standards: Darunter ISO/IEC 27001:2013, CSA CCM 3.01, ANSSI Référentiel secure cloud v. 2.0, AICPA – Trust Service Principles Criteria 2014, IDW ERS FAIT 5 (4.11.2014) und den Anforderungen des BSI aus dem IT-Grundschutz (15. EL) und den SaaS-Sicherheitsprofilen. Insgesamt umfasst er 114 Anforderungen in 17 Themengebieten. Neben den Standardanforderungen sind darin teilweise auch “höherwertige Anforderungen” enthalten.

Simon Hu, Senior Vice President bei der Alibaba Group und Präsident bei Alibaba Cloud, erklärt dazu: “Alibaba Cloud hat sich zum Ziel gesetzt, in allen Aspekten den höchsten Standards zu entsprechen, weltweit. Wir sind stolz darauf, das erste Unternehmen zu sein, das die C5-Anforderungen mit höherwertigen Anforderungen erfüllt. Das wird das Vertrauen, das Unternehmen in uns setzen, noch weiter stärken und unsere Kundenbasis wachsen lassen – in Deutschland, aber auch in ganz Europa.”

Um Vertrauen wirbt Alibaba Cloud auch als Mitglied der Trusted Cloud, einem vom Bundesministeriums für Wirtschaft und Energie (BMWi) initiierten Programm. Als Anbieter ist es dort aber noch nicht gelistet. Aufgeführt sind unter anderem 1&1, Claranet, Nexinto, Profihost, die Deutsche Telekom mit der Open Telekom Cloud, die QSC AG mit ihrer Pure Enterprise Cloud und Fabasoft.

Der Kriterienkatalog von Trusted Cloud umfasst neben Aspekten der Datensicherheit auch Qualitäts- und Transparenzkriterien, Datenschutz und die Vertragsgestaltung. C5 befasst sich dagegen nahezu ausschließlich mit der Informationssicherheit und Transparenz. Im Vergleich zum Kriterienkatalog von Trusted Cloud geht C5in den abgedeckten Bereichen jedoch wesentlich tiefer und setzt bei seinen Mindestanforderungen ein höheres Sicherheitsniveau voraus.

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.