Goldstandard in der Cloud-Branche: Open Telekom Cloud nach BSI C5:2020 und SOC 1, SOC 2, SOC 3 
testiert

In diesem Artikel lesen Sie, 

• was das BSI C5:2020 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bescheinigt,
• wieso es als Goldstandard in der Cloud-Branche gilt,
• und welche Anforderungen die US-amerikanischen Prüfprotokolle SOC 1, SOC 2 und SOC 3 voraussetzen.

Es ist das wichtigste Testat im Bereich Public Cloud Computing: Der Anforderungskatalog BSI C5:2020 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bescheinigt Cloud-Anbietern ein Höchstmaß an Sicherheit. Die Open Telekom Cloud erfüllt seit 2018 mit dem BSI-C5-Testat Typ 2 sämtliche Anforderungen dieses Katalogs.

Zu den Anforderungen von BSI C5:2020 zählen unter anderem die so genannten Umfeldparameter: „Sie geben Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen und Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen und enthalten eine Systembeschreibung“, schreibt das BSI dazu auf seiner Webseite. „Die so geschaffene Transparenz erlaubt es potentiellen Cloud-Kunden zu entscheiden, ob gesetzliche Vorschriften (wie etwa Datenschutz), die eigenen Richtlinien oder auch die Gefährdungslage bezüglich Wirtschaftsspionage die Nutzung des jeweiligen Cloud-Dienstes als geeignet erscheinen lassen.“

BSI C5:2020 gilt als Goldstandard in der Cloud-Branche. Viele Unternehmen, die Public-Cloud-Angebote nutzen möchten, setzen die C5-Zertifizierung (eigentlich das C5-Testat) als Bedingung bei der Wahl ihres Anbieters voraus. Um das Testat zu erhalten, musste die Open Telekom Cloud Nachweise in 17 thematischen Bereichen von der Organisation der Informationssicherheit bis hin zur physischen Sicherheit nachweisen.

Während das BSI C5 Typ1-Testat recht einfach mit Eigenerklärungen des Cloud-Anbieters erreichbar ist, durchleuchtet beim BSI-C5-Typ2-Audit ein externer Wirtschaftsprüfer über Wochen hinweg Technik und Management der Cloud-Plattform. Das Typ2-Zertifikat ist daher wesentlich hochwertiger als Typ1.  

Darüber hinaus hat die Open Telekom Cloud mit dem Testat für BSI C5:2020 auch noch die Anforderungen des US-amerikanischen Prüfprotokolls SOC 2 erfüllt. SOC steht für Service Organization Control. Das Testat entspricht den Vorgaben des American Institutes of Certified Public Accountants (AICPA). Es soll Dienstleister hinsichtlich Sicherheit, Verfügbarkeit, Prozesse, Integrität, Vertraulichkeit und Datenschutz prüfen.

Aktuell erfüllt die Open Telekom Cloud den SOC 1-, SOC 2- und SOC 3-Anforderungskatalog nach Typ II. Die Auditoren haben die Plattform damit auf ihr Design mittels Richtlinien oder auch Prozessbeschreibungen geprüft.

„Entsprechend geprüfte Cloud-Anbieter können sich ohnehin nicht auf ihren Lorbeeren ausruhen: Sowohl der BSI-C5:2020-Anforderungskatalog als auch der für SOC 2 gilt nur dann als erfüllt, wenn Provider spätestens alle zwölf Monate den entsprechenden Nachweis erneuern“, sagt Daniel Fussy, IT-Security & Privacy Consultant bei T-Systems. „Wir sind stolz darauf, dass wir diese Audits seit 2018 kontinuierlich immer wieder erfolgreich durchlaufen haben.“

Die Open Telekom Cloud ist über BSI C5:2020 und der SOC-Familie hinaus umfassend zertifiziert, beispielsweise mit einer breiten Palette von ISO-Zertifikaten. Eine Übersicht der Zertifikate findet sich hier.