TCDP oder C5?

TCDP oder C5: Was soll ein sicherer Cloud-Dienst haben?

TCDP oder C5? Was glauben Sie, welches Zertifikat hilft ihnen am besten bei der Auswahl eines Cloud-Dienstes?

Mit dem passenden Zertifikat oder Testat können Cloud-Anbieter ihren Kunden gegenüber nachweisen, die rechtlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben. Cloud-Nutzer wiederum können damit belegen, dass sie ihre per Gesetz geforderte Sorgfaltspflicht erfüllt  haben. Mit C5 und TCDP existieren zwei unterschiedliche Standards, so dass Sie erstmal eines klären müssen: Welcher ist denn nun der passende?

  • Mit dem Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue) zur Beurteilung der Informationssicherheit von Cloud-Diensten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Richtlinie für ein Mindestmaß an Sicherheit im Cloud Computing veröffentlicht.

Für Anbieter und Nutzer stellt sich nun entscheidende Frage: Worin unterscheiden sich TCDP und C5 und wo liegen die Gemeinsamkeiten?

C5 und TCDP – Was genau ist was?

1. TCDP

Das Förderprogramm Trusted Cloud des BMWi und der daraus hervorgegangene Datenschutz-Prüfstandard TCDP richtet sich sowohl an Cloud-Anbieter als auch an Cloud-Nutzer: Cloud-Anbieter können mit dem Zertifikat ihren Nutzern gegenüber Datenschutzkonformität nachweisen, während es Cloud-Nutzern erleichtert, den datenschutzrechtlichen Stand eines Dienstes transparent einzuschätzen.

Neben Aspekten des Datenschutzes und der Datensicherheit enthält das TCDP auch Transparenz- und Qualitätskriterien und macht darüber hinaus Vorgaben zur Vertragsgestaltung.

2. C5-Testat

Der Anforderungskatalog C5 des BSI richtet sich dagegen in erster Linie an Cloud-Anbieter. Der C5 befasst sich fast ausschließlich mit Maßnahmen zum Schutz der Transparenz und Informationssicherheit. In diesem Bereich ist der C5 sehr viel detaillierter als das TCDP.

Ein C5-Testat, so erklärt das BSI online, erfordert aufwändigere Prüfungen als das Trusted Cloud Datenschutzprofil. Dies liegt daran, dass das C5 im Gegensatz zum TCDP eine Vorgehensweise nach den Prozessen der Wirtschaftsprüfer, nicht der von ISO-Prüfern verlangt.

Datenschutz oder Datensicherheit?

Mit einem Zertifikat nach TCDP bzw. einem Testat nach C5 kann der Kunde jeweils die Erfüllung seiner gesetzlich vorgeschriebenen Sorgfaltspflicht für die Wahl eines geeigneten Dienstes nachweisen. Ein Testat nach C5 bezieht sich auf die Datensicherheit, ein Zertifikat nach TCDP dagegen auf den Datenschutz als Ganzes. Datensicherheit ist dabei ein notwendiger Bestandteil des Datenschutzes.

IT-Sicherheitsexperte und Uniscon-CTO Dr. Hubert Jäger fasst das Verhältnis zwischen TCDP und C5 so zusammen:

„Wenn beispielsweise durch ein TCDP-Zertifikat klar ist, dass ein Cloud-Dienst die Anforderungen des Datenschutzes entsprechend dem konkreten Schutzbedarf erfüllt, so trifft das theoretisch auch auf die Anforderungen bezüglich der Datensicherheit zu.“

Inwiefern ein solcher Dienst tatsächlich sowohl den Anforderungen des TCDP als auch des C5 genüge, würden dann oft nur Prüfungen zeigen, die den Detaillierungsgrad des C5 zu Grunde legen.

Weiter gibt Jäger zu bedenken, dass der BSI-Katalog „lediglich ein Mindestmaß für die Informationssicherheit unabhängig vom konkreten Schutzbedarf festlegt“. Er fügt hinzu: „Das TCDP muss im Rahmen der Europäisierung für die Datenschutzgrundverordnung erweitert werden. Ein Aspekt werden die neuen Rechenschaftspflichten sein, z.B. der Nachweis, ob der Stand der Technik für die Informationssicherheit tatsächlich zum Einsatz kommt.“

C5 und TCDP zusammen nutzen

Trotz der leicht unterschiedlichen Ausrichtung gibt es zahlreiche inhaltliche Gemeinsamkeiten zwischen C5 und TCDP. So werden viele – vor allem technische – Anforderungen des TCDP vom C5 automatisch mit abgedeckt und dabei oft detaillierter formuliert; Anforderungen, die sich auf vertragliche und nicht-technische Fragen des Datenschutzrechts beziehen finden sich im C5 allerdings nicht. Auch eine Differenzierung nach Schutzklassen für Cloud-Dienste, wie sie im TCDP vorgenommen wird, gibt es hier nicht.

Der Anforderungekatalog C5 des BSI ergänzt also das Trusted Cloud Datenschutzprofil des BMWi, da sich die Cloud-Nutzer auf eine größere Prüftiefe verlassen können, wenn zusätzlich zu einem TCDP-Zertifikat ein C5-Testat vorliegt.

Nutzen auch Sie Cloud-Dienste zu Unternehmenszwecken? Schützen Sie sich und ihr Unternehmen!

Dieser Schutzbedarfsrechner gibt Ihnen Hilfestellung, um zu entscheiden, welches Schutzniveau der Dienst haben muss, den Sie auswählen!

Sie fanden diesen Beitrag hilfreich und wollen auf dem Laufenden bleiben? Dann melden Sie sich jetzt kostenlos zu unserem Newsletter an und erhalten Sie jeden Monat die neuesten Artikel, Blogbeiträge und Tutorials per Mail.

Sie kennen idgard® noch nicht? Dann testen Sie den hochsicheren Cloud-Dienst für Unternehmen jetzt kostenlos!

5 Datenschutz-Maßnahmen für Unternehmen, idgard Blog
DSGVO-Hilfe: 5 Datenschutz-Maßnahmen für Unternehmen Die Digitalisierung hat Hackern und anderen Cyberkriminellen zahlreiche neue Einfallstore geöffnet. Wir stellen Ihnen fünf essentielle Datenschutz-Maßnahmen für Unternehmen vor. Weiterlesen »
So vermeiden Sie eine saftige DSGVO Strafe
DSGVO: So vermeiden Sie Strafen Die EU-Datenschutzgrundverordnung (DSGVO) sieht für Datenschutzverstöße sehr viel drastischere Strafen vor als das Bundesdatenschutzgesetz (BDSG): Künftig können Bußgelder in Höhe von bis zu 20 Millionen [...] Weiterlesen »
Sicherer Datentransfer: So sichern Sie Mails und Anhänge
Secure Mail: So schützen Sie E-Mails und Anhänge In diesem Beitrag zeigen wir Ihnen, wie Sie ihren Mailverkehr verschlüsseln, wie Sie sensible Daten sicher mit idgard® versenden und wie Sie sich und Ihre Mitarbeiter gegen Phishing-Angriffe schützen. Außerdem haben wir noch ein paar weitere Tipps für Sie. Weiterlesen »
Wir halten Sie sicher auf dem Laufenden.