Uptime Cloud erhält BSI C5 Testat

Der Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen und insbesondere der Gesundheitsbranche eine wertvolle Orientierungshilfe, um die Informationssicherheit bei der Nutzung von Cloud-Diensten zu gewährleisten. Gerade in Branchen, in denen sensible Daten wie Patienteninformationen oder geschäftskritische Prozesse geschützt werden müssen, ist ein verlässlicher Sicherheitsstandard essenziell.

C5 definiert Mindestanforderungen an die Informationssicherheit, die Cloud-Anbieter erfüllen sollten. Dazu gehören die drei zentralen Schutzziele:

• Verfügbarkeit: Sicherstellung, dass Informationen innerhalb eines vereinbarten Zeitrahmens zugänglich sind.
• Vertraulichkeit: Schutz vor unbefugtem Zugriff auf Daten.
• Integrität: Vermeidung unbefugter Änderungen, einschließlich Löschung oder Manipulation von Informationen.
   

Vorteile einer C5-Testierung

1. Transparenz und Vertrauen: Durch die C5-Testierung können wir als Cloud-Anbieter nachweisen, dass wir international anerkannte Sicherheitsstandards und die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik einhalten. Dies soll das Vertrauen bei Unternehmen stärken, die sensible Daten verarbeiten und vereinfacht den Konformitätsnachweis für unsere Kunden.
2. Risikomanagement: Der C5-Prüfbericht dient als Grundlage für eine strukturierte Risikoanalyse und unterstützt Unternehmen dabei, geeignete Anbieter auszuwählen.
3. Wettbewerbsvorteil: Für Anbieter von Cloud-Diensten ist die Erfüllung der C5-Kriterien nicht nur ein Nachweis für IT-Sicherheit, sondern auch ein Alleinstellungsmerkmal im Wettbewerb – insbesondere in regulierten Branchen wie dem Gesundheitswesen. Es gibt in Deutschland außer Uptime IT so gut wie keinen weiteren, unabhängigen und inhabergeführten Cloud-Provider, der seine Kunden nicht nur mit einer umfassenden ISO-Zertifizierung, sondern auch mit Testaten nach C5 und ISAE 3402 unterstützt. Eine persönliche Betreuung durch erfahrene und kompetente IT-Mitarbeiter ist bei uns selbstverständlich.
    

Prüfung und Auditierung

Die C5-Testierung erfolgt durch unabhängige Wirtschaftsprüfer und umfasst zwei Prüfungstypen:

• Typ 1 (Angemessenheit): Überprüfung, ob die Sicherheitsmaßnahmen des Anbieters aktuell den C5-Kriterien entsprechen.
• Typ 2 (Wirksamkeit): Zusätzlich wird geprüft, ob diese Maßnahmen über einen bestimmten Zeitraum hinweg konsequent umgesetzt wurden. Die Typ 2 Testierung strebt Uptime IT zu Mitte des Jahres 2025 an.

Der Auditbericht dokumentiert umfassend die Sicherheitsmaßnahmen, enthält Angaben zur geografischen Lage der Rechenzentren, eingesetzten Subdienstleistern und dem Umgang mit behördlichen Ermittlungsanfragen.
 

Relevanz für die Gesundheitsbranche

Die Gesundheitsbranche steht durch den zunehmenden Einsatz digitaler Technologien vor besonderen Herausforderungen im Bereich Datenschutz und IT-Sicherheit. Die Einhaltung der C5-Kriterien unterstützt den Schutz sensibler Patientendaten und ermöglicht eine Compliance-konforme Nutzung von Cloud-Diensten – ein entscheidender Faktor angesichts der strengen gesetzlichen Vorgaben durch SGB V und der DSGVO.

Der BSI-Anforderungskatalog Cloud Computing (C5) bietet Unternehmen der Gesundheitsbranche eine fundierte Grundlage, um sichere Cloud-Dienste auszuwählen. Der Katalog umfasst 121 Kriterien, die in 17 Themenbereiche gegliedert sind. Dazu zählen unter anderem:

• Organisation der Informationssicherheit  
• Richtlinien und Sicherheitsvorgaben 
• Asset Management  
• Kryptografie und Schlüsselmanagement  
• Identitäts- und Berechtigungsmanagement  
• Physische Sicherheit von Rechenzentren  
• Umgang mit Sicherheitsvorfällen (Incident Management)  
   

Nutzen für Unternehmen

Potenzielle Kunden können den C5-Prüfbericht direkt anfordern und als Entscheidungsgrundlage nutzen. Dabei hilft der Bericht, zentrale Fragen zu klären, wie beispielsweise: Erfüllt der Anbieter unsere spezifischen Cloud-Anforderungen? Für Unternehmen der Gesundheitsbranche ist dies von besonderer Bedeutung, da hier der Schutz sensibler Patientendaten oberste Priorität hat.
 

Transparenz und Risikomanagement

Der C5-Katalog unterstützt Unternehmen dabei, ein effektives Risikomanagement aufzubauen. Er bietet Transparenz über die Sicherheitsmaßnahmen des Anbieters und klärt die Aufteilung von Verantwortlichkeiten zwischen Anbieter und Kunde gemäß dem „Shared Responsibility Model“. So können Unternehmen sicherstellen, dass zusätzliche Sicherheitsmaßnahmen ergriffen werden, falls dies für ihren Anwendungsfall erforderlich ist.
 

Europäische und deutsche Anbieter

Unternehmen, die so sensible Daten verarbeiten, dass der C5-Kriterienkatalog für sie eine wichtige Rolle spielt, sollten darauf achten, dass sie nur unabhängige deutsche bzw. europäische Cloud-Anbieter beauftragen.

Provider mit US-amerikanischen Muttergesellschaften unterliegen dem US Cloud Act. Weiterhin greifen für sie der Foreign Intelligence Surveillance Act (FISA) Section 702 oder die Executive Order 12333. Dadurch kann es zu unbemerkten Datenzugriffen seitens der US-Behörden kommen. Chinesische Cloud-Provider unterliegen den ebenfalls weitgehenden chinesischen Gesetzen, die Zugriffsrechte auf die Datenspeicherung chinesischer Cloud-Provider ermöglichen können, beispielsweise das National Intelligence Law.
 

Fazit

Der C5-Katalog ist ein unverzichtbares Werkzeug für verantwortungsbewusste Unternehmen und Organisationen im Gesundheitssektor, um fundierte Entscheidungen bei der Auswahl von Cloud-Diensten zu treffen.

Mit seiner klaren Struktur und den umfassenden Prüfkriterien bietet er nicht nur Orientierung, sondern auch Sicherheit – sowohl für Anbieter als auch für Kunden.

Wer die Sicherheit und Sensibilität seiner Daten ernst nimmt, bucht ausschließlich unabhängige deutsche oder europäische Cloud-Provider wie Uptime IT.