Nützliche Brancheninformationen, aktuelle Presseartikel und Neuerungen zu unserem Cloud-Speicher & Datenraum-Dienst iDGARD erhalten Sie auch über RSS und unsere Seiten in den sozialen Netzwerken.
privacyblog newsletter Lieber das Neueste aus dem privacy blog per eMail erhalten? Melden Sie sich hier für unseren kostenlosen Newsletter an.
privacyblog rss feed Der privacy blog als RSS feed für Ihren Reader.
Folgen Sie uns: Uniscon on Twitter Uniscon on Facebook Uniscon on LinkedIn Uniscon on YouTube Uniscon on google+ Uniscon on Xing

Was soll ein sicherer Cloud-Dienst haben? TCDP oder C5

TCDP oder C5? Was glauben Sie, hilft ihnen am besten bei der Auswahl eines Cloud-Dienstes?

Mit einem Zertifikat oder Testat können Cloud-Anbieter ihren Kunden gegenüber nachweisen, die rechtlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben. Cloud-Nutzer wiederum können damit belegen, dass sie ihre per Gesetz geforderte Sorgfaltspflicht erfüllt  haben. Mit C5 und TCDP existieren zwei unterschiedliche Standards, so dass Sie erstmal eines klären müssen: Welcher ist denn nun der passende?

  • Mit dem Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue) zur Beurteilung der Informationssicherheit von Cloud-Diensten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Richtlinie für ein Mindestmaß an Sicherheit im Cloud Computing veröffentlicht.

Für Anbieter und Nutzer stellt sich nun entscheidende Frage: Worin unterscheiden sich TCDP und C5 und wo liegen die Gemeinsamkeiten?

C5 und TCDP – Was genau ist was?

1. TCDP

Das Förderprogramm Trusted Cloud des BMWi und der daraus hervorgegangene Datenschutz-Prüfstandard TCDP richtet sich sowohl an Cloud-Anbieter als auch an Cloud-Nutzer: Cloud-Anbieter können mit dem Zertifikat ihren Nutzern gegenüber Datenschutzkonformität nachweisen, während es Cloud-Nutzern erleichtert, den datenschutzrechtlichen Stand eines Dienstes transparent einzuschätzen.

Neben Aspekten des Datenschutzes und der Datensicherheit enthält das TCDP auch Transparenz- und Qualitätskriterien und macht darüber hinaus Vorgaben zur Vertragsgestaltung.

Hier erfahren Sie, wie ein TCDP-Zertifikat Datenschutz für Cloud-Nutzer einfach macht.

2. C5-Testat

Der Anforderungskatalog C5 des BSI richtet sich dagegen in erster Linie an Cloud-Anbieter. Der C5 befasst sich fast ausschließlich mit Maßnahmen zum Schutz der Transparenz und Informationssicherheit. In diesem Bereich ist der C5 sehr viel detaillierter als das TCDP.

Ein C5-Testat, so erklärt das BSI online, erfordert aufwändigere Prüfungen als das Trusted Cloud Datenschutzprofil. Dies liegt daran, dass das C5 im Gegensatz zum TCDP eine Vorgehensweise nach den Prozessen der Wirtschaftsprüfer, nicht der von ISO-Prüfern verlangt.

Datenschutz oder Datensicherheit?

Mit einem Zertifikat nach TCDP bzw. einem Testat nach C5 kann der Kunde jeweils die Erfüllung seiner gesetzlich vorgeschriebenen Sorgfaltspflicht für die Wahl eines geeigneten Dienstes nachweisen: Ein Testat nach C5 bezieht sich auf die Datensicherheit, ein Zertifikat nach TCDP dagegen bezieht sich auf den Datenschutz als Ganzes. Datensicherheit ist dabei ein notwendiger Bestandteil des Datenschutzes.

IT-Sicherheitsexperte und Uniscon-CTO Dr. Hubert Jäger fasst das Verhältnis zwischen TCDP und C5 so zusammen:

„Wenn beispielsweise durch ein TCDP-Zertifikat klar ist, dass ein Cloud-Dienst die Anforderungen des Datenschutzes entsprechend dem konkreten Schutzbedarf erfüllt, so trifft das theoretisch auch auf die Anforderungen bezüglich der Datensicherheit zu.“

Inwiefern ein solcher Dienst tatsächlich sowohl den Anforderungen des TCDP als auch des C5 genüge, würden dann oft nur Prüfungen zeigen, die den Detaillierungsgrad des C5 zu Grunde legen.

Weiter gibt Jäger zu bedenken, dass der BSI-Katalog „lediglich ein Mindestmaß für die Informationssicherheit unabhängig vom konkreten Schutzbedarf festlegt“ und fügt hinzu: „Das TCDP muss im Rahmen der Europäisierung für die Datenschutzgrundverordnung erweitert werden.  Ein Aspekt werden die neuen Rechenschaftspflichten sein, z.B. der Nachweis, ob der Stand der Technik für die Informationssicherheit tatsächlich zum Einsatz kommt.“

C5 und TCDP zusammen nutzen

Trotz der leicht unterschiedlichen Ausrichtung gibt es zahlreiche inhaltliche Gemeinsamkeiten zwischen C5 und TCDP: So werden viele – vor allem technische – Anforderungen des TCDP vom C5 automatisch mit abgedeckt und dabei oft detaillierter formuliert; Anforderungen, die sich auf vertragliche und nicht-technische Fragen des Datenschutzrechts beziehen finden sich im C5 allerdings nicht. Auch eine Differenzierung nach Schutzklassen für Cloud-Dienste, wie sie im TCDP vorgenommen wird, gibt es hier nicht.

Der Anforderungekatalog C5 des BSI ergänzt also das Trusted Cloud Datenschutzprofil des BMWi, da sich die Cloud-Nutzer auf eine größere Prüftiefe verlassen können, wenn zusätzlich zu einem TCDP-Zertifikat ein C5-Testat vorliegt.

Nutzen auch Sie Cloud-Dienste zu Unternehmenszwecken? Schützen Sie sich und ihr Unternehmen!

Dieser Schutzbedarfsrechner gibt Ihnen Hilfestellung, um zu entscheiden, welches Schutzniveau der Dienst haben muss, den Sie auswählen!

Leser dieses Artikels interessieren sich auch für folgende Inhalte:

Checkliste: Einführung eines Cloud Services

Das sagen andere Kunden über iDGARD

White Paper: Sealed Cloud für Berufsgeheimnisse