Partner
CISA, Diplom-Kaufmann, ISO 27001 Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager, Zertifizierter IT-Security-Auditor, Zertifizierter IT-Sicherheitsbeauftragter
C5-Testat nach ISAE 3000
Cloud-Computing hat in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Unternehmen verlagern zunehmend Anwendungen und IT-Umgebungen in öffentliche, private oder hybride Cloud-Umgebungen.
Jonas Buckel
Manager
B.A. Wirtschaftsinformatik, IT-Auditor IDW, Zert. ITSiBe / CISO
Kontaktieren Sie uns:
Jetzt Kontakt aufnehmen
Keine Auslagerung ohne C5-Testat!
Für Leistungserbringer im Sinne des Vierten Kapitels (z.B. Krankenhäuser) und Kranken- und Pflegekassen war der Weg aufgrund der Sensibilität der verarbeiteten Daten bisher sehr riskant. § 393 SGB V definiert nun die Anforderungen, nach denen eine Auslagerung der Datenverarbeitung von Gesundheits- und Sozialdaten in die Cloud möglich ist.
Unter anderem benötigt der Anbieter eine aktuelle Testierung nach dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten C5-Standard. Der „BSI Cloud Computing Compliance Criteria Catalogue“ (kurz: BSI C5) ist ein Kriterienkatalog, der Mindestanforderungen an die Informationssicherheit für Cloud-Dienste spezifiziert.
Er richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Das Ziel des BSI C5 ist es, die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung zu ermöglichen. Durch die Anwendung des C5-Katalogs können Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Anbieters erhalten und ein kundeneigenes Risikomanagement durchführen.
Die C5-Testierung darf ausschließlich durch Wirtschaftsprüferinnen, Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften durchgeführt werden.
Welche Arten von Prüfungen gibt es?
Im Fokus der Prüfung steht nicht nur die Infrastruktur in der Cloud sondern auch die Anwendungsebene der Cloud-Dienste (z.B. SaaS). Der C5-Standard des BSI umfasst dabei eine Reihe von Kontrollen und Anforderungen, die Unternehmen erfüllen müssen, um Sicherheit, Datenschutz und Compliance in Cloud-Umgebungen zu gewährleisten. Der Standard enthält u.a. Richtlinien zu Themen wie Datenverschlüsselung, Zugriffskontrolle, Notfallmanagement und Compliance-Monitoring.
Die Cloud-Anbieter erhalten im Nachgang ein Testat, welches sie den Kunden zur Verfügung stellen können. Dabei werden zwei Varianten unterschieden:
- C5-Typ-1 (Angemessenheitsprüfung) und
- C5-Typ-2 (Angemessenheitsprüfung mit Wirksamkeitsbetrachtung).
Typ-1 ist in der Regel der erste Schritt, da zunächst nur die Angemessenheit geprüft wird. Im Anschluss daran erfolgt eine zeitraumbezogene Wirksamkeitsprüfung. Das Zertifikat ist jährlich zu erneuern, damit sich die Kunden von der Einhaltung der Anforderungen überzeugen können, zu denen sie gesetzlich verpflichtet sind.
Darüber hinaus sind darin in der Regel korrespondierende Kriterien für Kunden enthalten, die auf Kundenseite umzusetzen sind. Nur wenn dies erfolgt ist, kann die Auslagerung als sicher gewertet werden.
Newsletter
Mit unserem „Newsletter Gesundheits- und Sozialwirtschaft“ erhalten Sie monatlich aktuelle und praxisnahe Informationen zu den relevanten Themen aus den Bereichen Wirtschaft, Steuern, Recht und IT – speziell für die Gesundheits- und Sozialwirtschaft.