Veröffentlicht in: Datacenter-Insider 02/2022
C5 als Grundlage für Risikomanagement in regulierten Branchen
Informationssicherheit und Cloud Services: ein potenzielles Minenfeld? Viele Unternehmen, insbesondere auch in sicherheitskritischen und regulierten Branchen, brauchen Gewissheit, bevor sie sich auf eine konkrete Cloud-Lösung verlassen. Um hier eine Leitlinie und einen Konsens zu schaffen, hat das BSI schon 2016 den Kriterienkatalog C5 veröffentlicht, der heute in der weitgehend überarbeiteten Version von 2020 vorliegt. Er spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Dieser Katalog setzt sich am Markt zunehmend durch – sowohl auf der Anbieterseite als Qualitätsmerkmal als auch als Auswahlkriterium für Anwenderunternehmen: C5 definiert nämlich Anforderungen für beide Seiten, also Anbieter und Anwender. Genauso wichtig aber, speziell für regulierte Branchen: C5 bildet die Grundlage, um ein kundeneigenes Risikomanagement durchführen zu können.
Tatsächlich sind zum Beispiel Banken und Versicherungen verpflichtet, für jeden Anwendungsfall umfangreiche Risikoanalysen bezüglich Informationssicherheit, Datenschutz und Compliance vorzunehmen. Das ist zeitraubend und teuer und einer der wesentlichen Hinderungsgründe im Hinblick auf den Einsatz von Cloud-Diensten.
Gleichzeitig ist das schnelle "Onboarding" von Cloud-Diensten aber eines der zentralen Argumente für den Weg in die Cloud. Der Weg aus diesem Dilemma liegt – überraschenderweise – in der Cloud: In einem zentralen Cloud-Use-Case-Register, das eine einheitliche Erfassung und Bewertung sämtlicher neuer Cloud Use Cases (Anwendungsfälle, Lösungen, Dienste). Ein solches Tool, wie es zum Beispiel unter dem Namen CloudGate angeboten wird, unterstützt die Durchführung (regulatorisch) erforderlicher Risikoanalysen mit digitalen Checklisten, die als Vorlagen inklusive Antwortoptionen bereits hinterlegt sind und die von allen Entscheidern parallel bearbeitet werden können. Es strukturiert zudem die Freigabe-Workflows, stellt volle Transparenz beim Fortschritt von Prüfung und Freigabe dar und gewährleistet durch kontinuierliche Protokollierung der einzelnen Prüf- und Freigabeaktivitäten Revisionssicherheit.
Ziel: Maximale Transparenz
Fehlende Transparenz ist bisher der größte Bremsklotz bei Anwendung der C5-Kriterien im Rahmen von Cloud-Einführungen – und gleichzeitig selbst ein Risiko. Zu leicht ist es, die Übersicht über alle Cloud-Anwendungen und ihren Status zu verlieren – oder zu groß der Aufwand, diesen Überblick zu behalten, insbesondere wenn Fachabteilungen eigene Cloud-Projekte ohne den Weg über die IT anstoßen. Die Steuerung über eine zentrale, herstellerunabhängige Plattform stellt diese Übersicht her und beschleunigt allein schon dadurch das Onboarding die Nutzung neuer Cloud-Dienste erheblich.
Aber auch nach der Einführung ist ein Register wie CloudGate für den revisionssicheren Betrieb und zum Beispiel das Risikoreporting eine wertvolle Entlastung. Denn Risikoanalysen und Reportings werden workflow-basiert unterstützt, bekannte Risiken werden dokumentiert und können aktiv kontrolliert und minimiert werden. Hier lauert eine Lücke, die oft übersehen wird und deren Beseitigung dem Ressourcenmangel zum Opfer fällt: Wenn Risiken identifiziert wurden, muss die Umsetzung von Mitigationsmaßnahmen lückenlos begleitet und durch Erinnerungsfunktionen in der Wahrnehmung gehalten werden.
Wichtig für Provider und Kunden
Es gibt also gute Gründe für Anwender, die Einhaltung von Standards aus dem C5-Katalog ernst zu nehmen und – mithilfe eines geeigneten Tools – strukturiert zu steuern. Erheblich erleichtert wird das, wenn sich bereits Provider an diesen Kriterien orientieren. Deshalb ist C5-Compliance auf Anbieterseite ein überzeugendes Verkaufsargument – und auch Provider tun ebenfalls gut daran, ihre Konformität tool-gestützt sicherzustellen und nachzuhalten. Tatsächlich hat sich schon eine ganze Reihe von globalen und regionalen Anbietern wie etwa die Deutsche Telekom ihre C5-Compliance bescheinigen lassen. Die Inhalte und Ergebnisse solcher Testate werden in Kürze für CloudGate-Kunden zugeordnet zu den einzelnen C5-Kriterien über CloudGate abrufbar sein. Das erleichtert den Kunden dann insbesondere die Bewertung der eigenen C5-Kritierien im Zusammenhang mit einem dedizierten Cloud-Dienst.
Gerade für Banken und Versicherungen sind solche Anforderungen aus der Regulatorik bekannt. Ein Register wie CloudGate lässt sich deshalb nicht nur für einen Prüfkatalog wie C5 einsetzen – auch Prüflisten nach EIOPA, VAIT, KWG, BAIT und MaRisk sind verfügbar, um nur einige Beispiele zu nennen.
Ihnen allen gemeinsam ist: Cloud Services sollen weder Treibsand noch Minenfeld sein, also keine unkontrollierbaren Risiken produzieren, auch wenn diese sich über die Zeit verändern. Gleichzeitig muss die Risikosteuerung durch Automatisierung so effizient sein, dass sie nicht den Tempo-Vorteil der Cloud untergräbt. Ein digitales "Zentrales Cloud Register" erleichtert diesen Spagat erheblich.