Meldung

BSI überarbeitet Kriterien für Cloudsicherheit

Seit seiner Veröffentlichung 2016 hat sich der "Cloud Computing Compliance Criteria Catalogue" des BSI zum etablierten und vielfach national und international umgesetzten Standard der Cloudsicherheit entwickelt. Da Cloudtechniken schnellen Innovationen unterworfen sind, hat das BSI den C5 nun einer umfassenden Revision unterzogen.
Die Aktualisierungen des "Cloud Computing Compliance Criteria Catalogue"-Kriterienkatalogs (C5) [1] umfassen sowohl die formalen Regelungen als auch die Kriterien des C5, die an den aktuellen Stand der Technik angepasst wurden. Dabei sind die Erfahrungen von Cloudnutzern, -anbietern und -prüfern in die Revision eingeflossen. Der C5 enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloudanbieter – der Nachweisweg über die direkte Prüfung eröffnet.

Der "Cloud Computing Compliance Criteria Catalogue" (C5) richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss beziehungsweise auf welche Anforderungen der Cloudanbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloudanbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 beziehungsweise IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.
21.01.2020/dr

Tipps & Tools

Vorschau Oktober 2020: Berechtigungs- und Identitätsmanagement [21.09.2020]

Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität geben. Im Oktober-Heft zeigen wir, wie Zero-Trust-Strategien vom Identity- und Access-Management profitieren und was die quelloffene Software OpenIAM zu bieten hat. Auch erfahren Sie, wie Sie die Zwei-Faktor-Authentifizierung mit FIDO2 und Single-Sign-on mit VMware Workspace One einrichten. [mehr]

Professionelle Passwortmaschine [19.09.2020]

Wer mit einem Passwortgenerator für sichere Kennwörter sorgen will, sollte einen Blick auf die Website der Gibson Research Corporation werfen. Hier werden völlig zufällig und unknackbar auf wissenschaftlicher Basis extrem lange und sichere Passwörter generiert. [mehr]

Fachartikel

Missbrauch privilegierter Accounts verhindern (3) [21.09.2020]

IT-Administratoren genießen in der Regel das volle Vertrauen ihrer Vorgesetzten und auch der Mitarbeiter ihrer Organisation. Das muss auch so sein, denn bekanntermaßen haben Personen mit Systemadministrationsrechten Zugriff auf praktisch alle Informationen und Daten, die auf den von ihnen verwalteten Systemen gespeichert sind. Nun sind etliche Sicherheitsvorfälle der vergangenen Jahre gerade auf den Missbrauch solch privilegierter Zugänge zurückzuführen. Ein belastbares IT-Sicherheitskonzept muss diese Problematik berücksichtigen und Maßnahmen für eine sichere IT-Administration sicherstellen. Im dritten Teil des Workshops stellen wir nach einem kurzen Blick auf Privileged Access Management im AD einige Werkzeuge für die Überwachung administrativer Zugriffe vor. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen