MIDRANGE 02/2018

6 MIDRANGE AKTUELL MIDRANGE MAGAZIN · 02/2018 Zertifikate zur Cloud-Sicherheit Was sind C5 und TCDP? Mit dem passenden Zertifikat oder Testat können sich Cloud-Nutzer und -Anbieter in Deutschland rechtlich absichern: Anbieter können nachweisen, die gesetzlichen An­ forderungen an sichere Cloud-Dienste erfüllt zu haben und Nutzer kommen ihrer Sorgfaltspflicht nach. Doch welcher Prüfstandard ist der richtige – und was bedeuten C5 und TCDP eigentlich? M it dem Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue) zur Beurteilung der Informationssicherheit von Cloud- Diensten hat das Bundesamt für Sicher- heit in der Informationstechnik (BSI) eine Richtlinie für ein Mindestmaß an Sicherheit im Cloud Computing veröf- fentlicht. Aus der Perspektive des Daten- schutzes wurde das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie (BMWi) ent- wickelt. Aber was genau ist der Unter- schied zwischen TCDP und C5? Und wo liegen die Gemeinsamkeiten? C5 und TCDP – was ist was? Das Förderprogramm Trusted Cloud des BMWi und der daraus hervor­ gegangene Datenschutz-Prüfstandard TCDP richten sich an Cloud-Anbieter sowie an Cloud-Nutzer: Cloud-Anbieter können damit ihren Nutzern gegenüber Datenschutzkonformität nachweisen, während die Cloud-Nutzer den daten- schutzrechtlichen Stand eines Dienstes transparent einschätzen können. Das TCDP enthält neben Aspekten des Datenschutzes und der Datensi- cherheit auch Qualitäts- und Transpa- renzkriterien und geht darüber hinaus auf die Vertragsgestaltung ein. Der Anforderungskatalog C5 richtet sich in erster Linie an Cloud-Anbieter. Der C5 befasst sich fast ausschließlich mit Maßnahmen zum Schutz der Infor- mationssicherheit und Transparenz. In diesem Bereich ist der Anforderungs- katalog detaillierter als das TCDP. In Abgrenzung zum TCDP, so er- klärt das BSI online, erfordert ein C5- Testat aufwendigere Prüfungen als das Trusted Cloud Datenschutzprofil. Das liegt daran, dass das C5 eine Vor- gehensweise wie bei Wirtschaftsprü- fungsprozessen verlangt, die umfang- reicher sind als die von ISO-Prüfungs- prozessen. Eine Frage der Perspektive? Mit einem Testat nach C5 bzw. einem Zertifikat nach TCDP kann der Kunde jeweils die Erfüllung seiner gesetzlich vorgeschriebenen Sorgfaltspflicht für die Wahl eines geeigneten Dienstes nachweisen. Ein Testat nach C5 bezieht sich auf die Datensicherheit. Ein Zerti- fikat nach TCDP bezieht sich auf den Datenschutz als Ganzes. Datensicher- heit ist ein notwendiger Bestandteil des Datenschutzes. IT-Sicherheitsexperte und Uniscon CTO Dr. Hubert Jäger fasst das Verhält- nis so zusammen: „Wenn beispielswei- se durch ein TCDP-Zertifikat klar ist, dass ein Cloud-Dienst die Anforderun- gen des Datenschutzes entsprechend dem konkreten Schutzbedarf erfüllt, so trifft das theoretisch auch auf die Anforderungen bezüglich der Daten- sicherheit zu. Inwiefern ein solcher Dienst tatsächlich den Anforderungen des TCDP und auch des C5 genügt, zei- gen dann oft nur Prüfungen, die den Detaillierungsgrad des C5 zu Grunde legen.“ Er gibt zu bedenken, dass „der BSI- Katalog lediglich ein Mindestmaß für die Informationssicherheit unabhängig vom konkreten Schutzbedarf festlegt“ und fügt hinzu: „Das TCDP muss im Rahmen der Europäisierung für die Da- tenschutzgrundverordnung erweitert werden. Ein Aspekt werden die neuen Rechenschaftspflichten sein, zum Bei- spiel der Nachweis, ob der Stand der Technik für die Informationssicherheit tatsächlich zum Einsatz kommt.“ C5 zusätzlich zu TCDP nutzen Trotz der leicht unterschiedlichen Aus- richtung gibt es inhaltliche Gemein- samkeiten zwischen C5 und TCDP: So werden viele Anforderungen des TCDP – vor allem technische – vom C5 automatisch abgedeckt und dabei oft detaillierter formuliert; Anforde- rungen, die sich auf vertragliche und nichttechnische Fragen des Daten- schutzrechts beziehen sowie eine Diffe- renzierung nach Schutzklassen finden sich andererseits im C5 nicht. Der C5 ergänzt also das TCDP, da sich die Cloud-Nutzer auf eine größere Prüftiefe verlassen können, wenn zu- sätzlich zu einem TCDP-Zertifikat ein C5-Testat vorliegt. ó www.uniscon.de