Palo Alto Networks wurde das C5:2020-Testat basierend auf dem Anforderungskatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) erteilt. Grundsätzlich hat sich das C5 Testat zum deutschen Sicherheitsstandard für Cloud Computing entwickelt. Den Cloud Computing Compliance Criteria Catalogue (C5) hat das BSI im Februar 2016 eingeführt. Diese Kriterien helfen Cloud Service Providern dabei ihre Angebote unter dem Gesichtspunkt der Sicherheit zu erstellen und konkretisieren vor diesem Hintergrund die Prüfbarkeit von Cloud-Diensten.
Welche Strategie verfolgt Palo Alto Networks mit dem C5-Testat?
Mit dem C5-Testat bietet Palo Alto Networks seinen Kunden die Möglichkeit, sich über das interne Kontrollsystem von Cloud-Anbietern zu informieren. Das C5-Testat ist ein weiterer wichtiger Schritt, die Vision von Palo Alto Networks umzusetzen: eine Welt zu schaffen, in der jeder Tag sicherer ist als der vorherige.
Wie profitieren Kunden vom C5-Testat?
Der C5-Katalog deckt alle aktuellen IT-Sicherheitsbestimmungen für Cloud-Computing ab. Er dient als ein einheitliches Testat für Cloud-Dienstleistungen, das den Kunden dabei unterstützen kann, den eigenen Schutzbedarf zu überprüfen und sich ein Bild von der Informationssicherheit eines Cloud-Anbieters zu machen. Dabei erhält der Kunde auch Klarheit über die sicherheitsrelevante Aufgabenteilung zwischen Cloud-Anbieter und Kunde. Für Bundesbehörden wird das C5-Testat bei Auftragsvergaben bereits vorausgesetzt, und auch immer mehr Unternehmen berücksichtigen es bei der Evaluierung von Cloud-Diensten. Kunden profitieren somit von einer unabhängigen Bescheinigung von Dritten, dass die Sicherheitsmaßnahmen auf den grundlegenden Anforderungen des BSI IT-Grundschutzes und den zusätzlichen C5-Kriterien beruhen
Worin liegt der Unterschied zwischen dem C5-Testat und der Zertifizierung nach ISO 27001?
Eine Zertifizierung nach ISO 27001 basierend auf dem IT-Grundschutz erfolgt durch das BSI, das das Zertifikat ausstellt. Die Auditoren werden ausschließlich vom BSI akkreditiert. Das IT-Grundschutz-Kompendium des BSI definiert detailliert, wie auf welche Bedrohungslage zu reagieren ist. Der Auditor prüft bei der Zertifizierung für jedes zutreffende oder angenommene Risiko, ob die Vorgaben des BSI tatsächlich erfüllt werden. Im C5-Katalog hingegen zeigt das BSI einen Weg auf, die Einhaltung der C5-Kriterien für die Produkte des Cloud-Anbieters mit einem Testat eines Wirtschaftsprüfers zu belegen.
Welche Services von Palo Alto Networks erhalten das C5-Testat?
- Cortex XDR: Cortex XDR ist die branchenweit einzige Detection-and-Response-Plattform, die auf vollständig integrierten Endpunkt-, Netzwerk- und Cloud-Daten basiert. Sie vereinheitlicht Prävention, Erkennung, Untersuchung und Reaktion in einer einheitlichen Plattform-Erfahrung für konkurrenzlose Sicherheit und betriebliche Effizienz.
- WildFire: WildFire erweitert die Fähigkeiten der Next-Generation-Firewalls von Palo Alto Networks, um bekannte und unbekannte Malware zu identifizieren und zu blockieren, indem sie in einer sicheren, cloudbasierten virtuellen Umgebung aktiv analysiert wird. WildFire vergibt ein sogenanntes Verdict, also eine Einschätzung, ob es sich um etwas Bösartiges, Unerwünschtes, Gutartiges oder um Phishing handelt. Auf Basis dieser Einschätzung werden adäquate Schutzmaßnahmen werden auf den Firewalls selbst konfiguriert.
- Prisma Access: Die branchenweit umfassendste cloudbasierte Sicherheitsplattform ermöglicht sicheres Arbeiten von überall aus. Prisma Access bietet eine selbstwartende Infrastruktur für ein optimales Nutzererlebnis, ML-gestützte Sicherheit zur Verhinderung von Angriffen in Echtzeit, Cloud Secure Web Gateway (SWG)-Funktionen und ein modernes Cloud-Management.
- Strata Logging Service (formerly known as Cortex Data Lake): Im Strata Logging Service werden alle sicherheitsrelevanten Daten eines Unternehmens gesammelt, konvertiert und integriert, damit die Netzwerksicherheitslösungen von Palo Alto Networks darauf zugreifen können.
Welche Vorschriften beinhaltet der C5-Katalog?
Die vom BSI im C5-Katalog zusammengestellten Kriterien beinhalten die einschlägigen Vorschriften der Cloud Security Alliance (CSA), des American Institute of Certified Public Accountants (AICPA), der französischen Agence Nationale de la Sécurité des Systèmes d´Information (ANSSI) und der internationalen Norm ISO/IEC 27001. Weitere enthaltene Standards sind ISO/IEC 27001:2013 der International Organization for Standardization, IDW ERS FAIT 5 04.11.201 (Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud-Computing) sowie das IT-Grundschutz-Kompendium und SaaS-Sicherheitsprofile des BSI.
Was beinhaltet die Version C5:2020?
Durch die Einführung der Version C5:2020 bestätigt das BSI, dass sich C5 bei der Prüfung von Cloud-Diensten bewährt und international als Nachweis der Sicherheit von Cloud-Diensten etabliert hat. C5:2020 bietet einen der umfassendsten Kataloge von Sicherheits- und Qualitätskriterien für Cloud-Dienste. Es deckt praktisch alle Bereiche der Cloud-Umgebung ab. Dazu gehören unter anderem Zugangskontrolle, Änderungsmanagement, Asset Management, Geschäftskontinuität, Überwachung und Protokollierung, Backup & Restore, Lieferantenmanagement oder Umgang mit Ermittlungsanfragen staatlicher Stellen. Der C5-Katalog sieht vor, dass ein öffentlicher Wirtschaftsprüfer (z.B. PWC, E&Y) ein Testat für die geprüften Cloud-Dienste nach einem international anerkannten Verfahren erteilt. Grundlage für das Testat ist ein Prüfbericht, in dem der Prüfer darlegt, ob die Kriterien erfüllt und wirksam umgesetzt wurden. Das C5-Audit lehnt sich stark an den SOC-Standard an, beinhaltet aber auch 52 zusätzliche Prüfungen. Seit der erstmaligen Veröffentlichung von C5 hat der Standard sehr an Akzeptanz gewonnen. Das C5:2020-Testat von Palo Alto Networks als Sicherheitsanbieter ist ein weiterer bedeutender Meilenstein auf dem Weg zu besserer Cloud-Sicherheit. Weitere Informationen des BSI zu C5:2020 finden Sie hier.