TCDP oder C5: Was soll ein sicherer Cloud-Dienst haben?
TCDP oder C5? Was glauben Sie, welches Zertifikat hilft ihnen am besten bei der Auswahl eines Cloud-Dienstes?
Mit dem passenden Zertifikat oder Testat können Cloud-Anbieter ihren Kunden gegenüber nachweisen, die rechtlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben. Cloud-Nutzer wiederum können damit belegen, dass sie ihre per Gesetz geforderte Sorgfaltspflicht erfüllt haben. Mit C5 und TCDP existieren zwei unterschiedliche Standards, so dass Sie erstmal eines klären müssen: Welcher ist denn nun der passende?
- Mit dem Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue) zur Beurteilung der Informationssicherheit von Cloud-Diensten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Richtlinie für ein Mindestmaß an Sicherheit im Cloud Computing veröffentlicht.
- Das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) hingegen wurde vom Bundesministerium für Wirtschaft und Energie (BMWi) aus der Perspektive des Datenschutzes entwickelt.
Für Anbieter und Nutzer stellt sich nun entscheidende Frage: Worin unterscheiden sich TCDP und C5 und wo liegen die Gemeinsamkeiten?
C5 und TCDP – Was genau ist was?
1. TCDP
Das Förderprogramm Trusted Cloud des BMWi und der daraus hervorgegangene Datenschutz-Prüfstandard TCDP richtet sich sowohl an Cloud-Anbieter als auch an Cloud-Nutzer: Cloud-Anbieter können mit dem Zertifikat ihren Nutzern gegenüber Datenschutzkonformität nachweisen, während es Cloud-Nutzern erleichtert, den datenschutzrechtlichen Stand eines Dienstes transparent einzuschätzen.
Neben Aspekten des Datenschutzes und der Datensicherheit enthält das TCDP auch Transparenz- und Qualitätskriterien und macht darüber hinaus Vorgaben zur Vertragsgestaltung.
2. C5-Testat
Der Anforderungskatalog C5 des BSI richtet sich dagegen in erster Linie an Cloud-Anbieter. Der C5 befasst sich fast ausschließlich mit Maßnahmen zum Schutz der Transparenz und Informationssicherheit. In diesem Bereich ist der C5 sehr viel detaillierter als das TCDP.
Ein C5-Testat, so erklärt das BSI online, erfordert aufwändigere Prüfungen als das Trusted Cloud Datenschutzprofil. Dies liegt daran, dass das C5 im Gegensatz zum TCDP eine Vorgehensweise nach den Prozessen der Wirtschaftsprüfer, nicht der von ISO-Prüfern verlangt.
Datenschutz oder Datensicherheit?
Mit einem Zertifikat nach TCDP bzw. einem Testat nach C5 kann der Kunde jeweils die Erfüllung seiner gesetzlich vorgeschriebenen Sorgfaltspflicht für die Wahl eines geeigneten Dienstes nachweisen. Ein Testat nach C5 bezieht sich auf die Datensicherheit, ein Zertifikat nach TCDP dagegen auf den Datenschutz als Ganzes. Datensicherheit ist dabei ein notwendiger Bestandteil des Datenschutzes.
IT-Sicherheitsexperte und Uniscon-CTO Dr. Hubert Jäger fasst das Verhältnis zwischen TCDP und C5 so zusammen:
„Wenn beispielsweise durch ein TCDP-Zertifikat klar ist, dass ein Cloud-Dienst die Anforderungen des Datenschutzes entsprechend dem konkreten Schutzbedarf erfüllt, so trifft das theoretisch auch auf die Anforderungen bezüglich der Datensicherheit zu.“
Inwiefern ein solcher Dienst tatsächlich sowohl den Anforderungen des TCDP als auch des C5 genüge, würden dann oft nur Prüfungen zeigen, die den Detaillierungsgrad des C5 zu Grunde legen.
Weiter gibt Jäger zu bedenken, dass der BSI-Katalog „lediglich ein Mindestmaß für die Informationssicherheit unabhängig vom konkreten Schutzbedarf festlegt“. Er fügt hinzu: „Das TCDP muss im Rahmen der Europäisierung für die Datenschutzgrundverordnung erweitert werden. Ein Aspekt werden die neuen Rechenschaftspflichten sein, z.B. der Nachweis, ob der Stand der Technik für die Informationssicherheit tatsächlich zum Einsatz kommt.“
C5 und TCDP zusammen nutzen
Trotz der leicht unterschiedlichen Ausrichtung gibt es zahlreiche inhaltliche Gemeinsamkeiten zwischen C5 und TCDP. So werden viele – vor allem technische – Anforderungen des TCDP vom C5 automatisch mit abgedeckt und dabei oft detaillierter formuliert; Anforderungen, die sich auf vertragliche und nicht-technische Fragen des Datenschutzrechts beziehen finden sich im C5 allerdings nicht. Auch eine Differenzierung nach Schutzklassen für Cloud-Dienste, wie sie im TCDP vorgenommen wird, gibt es hier nicht.
Der Anforderungekatalog C5 des BSI ergänzt also das Trusted Cloud Datenschutzprofil des BMWi, da sich die Cloud-Nutzer auf eine größere Prüftiefe verlassen können, wenn zusätzlich zu einem TCDP-Zertifikat ein C5-Testat vorliegt.
Nutzen auch Sie Cloud-Dienste zu Unternehmenszwecken? Schützen Sie sich und ihr Unternehmen!
Sie fanden diesen Beitrag hilfreich und wollen auf dem Laufenden bleiben? Dann melden Sie sich jetzt kostenlos zu unserem Newsletter an und erhalten Sie jeden Monat die neuesten Artikel, Blogbeiträge und Tutorials per Mail.
Sie kennen idgard® noch nicht? Dann testen Sie den hochsicheren Cloud-Dienst für Unternehmen jetzt kostenlos!