Interesse?

News-Feed

Datensicherheit bei Cloud Anbietern /

Markus Vehlow im Interview über den BSI C5 Anforderungskatalog

Informationssicherheit spielt in Zeiten der Digitalisierung eine zunehmend relevante Rolle, denn immer wieder kursieren Nachrichten über den Missbrauch oder Diebstahl sensibler Daten. Diese Problematik erweist sich nicht nur für Privatpersonen als kritisch, sondern insbesondere auch für Unternehmen, die ihre Daten im Rahmen der Digitalisierung in Cloud-Dienste auslagern. In diesem Zusammenhang hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) PwC mit der Erstellung eines Anforderungskatalogs für Cloud-Dienste beauftragt. Im Interview spricht PwC Partner Markus Vehlow über die Entwicklung und die heutige Bedeutung des BSI C5.

Markus, du hast mit deinem Team den Auftrag des BSI bearbeitet. Wie seid ihr bei der Entwicklung des Anforderungskatalogs vorgegangen?

Wir haben im ersten Schritt viel Wert darauf gelegt, Anforderungen zu verwenden, die auch in anderen Standards existieren. Danach galt es, die Anforderungen zu identifizieren, die es bisher nicht gab und auf die der Auftraggeber besonders viel Wert legte. Die Cloud Anbieter sollten auch die Möglichkeit bekommen, das, was bereits an Zertifizierungen und Attestierungen existiert, so gut es geht wiederzuverwenden. Um dies zu unterstützen, haben wir dem Anforderungskatalog sogenannte “Mapping Tabellen” beigelegt. Durch die mögliche Wiederverwendbarkeit steigt bei den Cloud Anbietern die Effizienz und gleichzeitig die Akzeptanz.   

 

Was unterscheidet den C5 von anderen Sicherheitsstandards und welche Rolle spielt der C5 mittlerweile für Cloud Anbieter?

Er ist zu 100% auf Cloud Computing ausgerichtet. Andere Sicherheitsstandards wie beispielsweise ISO sind im Vergleich hierzu eher allgemein oder haben einen anderen Fokus. Der BSI C5 hat aus mehreren Gründen sehr große Bedeutung im Markt. Er ist aufgrund seines Charakters als BSI Mindestanforderung und dem dahinterstehenden BSI Gesetz der einzige Weg, um aus Sicht des Cloud Anbieters Services der öffentlichen Hand anzubieten. Gerade deswegen wird er auch von CIO’s immer mehr gefordert. Außerdem nutzen Verbände der Wirtschaftsprüfer sowie der Internen Revision den BSI C5 immer mehr – was auch zu einem erhöhten Interesse im hoch regulierten Bereich der Banken und Versicherungen sowie deren Aufsichtsorganen geführt hat.  

 

Kürzlich hat sich mit Alibaba Cloud der erste asiatische Kunde für die deutsche C5-Testierung entschieden. Welche Bedeutung hat dies heute im internationalen Markt?

Er bietet asiatischen Cloud Anbietern die Möglichkeit, sich für den deutschen bzw. europäischen Markt zu qualifizieren. Um die Anforderungen des BSI C5 zu erfüllen, muss ein Cloud Anbieter über sehr hohe Hürden hinweg. Alibaba ist übrigens nicht mehr der einzige asiatische Anbieter, den wir erfolgreich geprüft haben. Zusätzlich gibt es mittlerweile eine Vielzahl von Cloud Anbietern aus den USA die von uns einen BSI C5 Audit bekommen haben. Der BSI C5 hat somit globale Bedeutung erlangt. Noch nie zuvor sind wir in meinem Team so international unterwegs gewesen.

 

Warum hat Alibaba Cloud gerade PwC mit der C5-Testierung beauftragt?

PwC ist der Wirtschaftsprüfer der Alibaba Group. In diesem Kontext wurden bereits zuvor Cloud Prüfungen durch unsere chinesischen Kollegen durchgeführt. Im Falle des BSI C5 war Alibaba nicht nur von unserer Cloud Expertise und unseren Referenzkunden überzeugt, sondern wollte bewusst auf die Entwickler des BSI C5 setzen. Dieser Umstand, verbunden mit unserem individuellen Projektansatz, haben das Projekt so erfolgreich gemacht.

 

Abseits von C5 gesprochen welche Aufgaben fallen als PwC Partner im Bereich IT und Process Solutions noch in deinen Tätigkeitsbereich?

Wir beschäftigen uns zusätzlich noch mit weiteren modernen Technologien wie Artificial Intelligence oder Blockchain. Auch hier gibt es im Bereich von Beratung und Prüfung sehr spannende Herausforderungen. Zudem überlegen wir im Rahmen unserer Mitgliedschaft und Vorstandsrolle bei der International Data Space Association (IDSA), wie Unternehmen Daten so miteinander kombinieren, dass dabei neue Geschäftsmodelle oder Prozessverbesserungen entstehen. Ein Thema, zu dem wir auch politisch auf europäischer Ebene in Brüssel und lokaler Ebene in Berlin sehr aktiv sind. Des Weiteren beschäftigen wir uns natürlich mit der Entwicklung von neuen Cloud Standards, die in Sachen Sicherheit und Datenschutz auf europäischen Ebene verbindlich sein sollen. Hier arbeiten wir international mit vielen Partnern und Gremien sowie Forschungsorganisationen zusammen.