Globales CDN Made in Germany erlangt BSI-C5-Testat

Warum investiert Myra in aufwendige Testate wie C5?

Sascha Schumann: Prinzipiell profitieren sowohl unsere Kunden als auch potenzielle Neukunden, wenn ein Dienstleister über ein C5-Testat verfügt, da es transparent die Einhaltung höchster Vorgaben an IT-Sicherheit und Datenschutz sicherstellt. Diese hohen Standards demonstrieren wir mit dem Testat aufs Neue.

Wir haben mit Myra einen starken Fokus auf Unternehmen aus hochregulierten Bereichen wie Banken, Versicherungen, dem Gesundheitswesen oder Public Services. Diesen bieten wir neben einem hohen Maß an Rechtssicherheit auch die Möglichkeit, das C5-Testat für ihr eigenes Risikomanagement zu nutzen. Besondere Relevanz genießt das Testat darüber hinaus bei Behörden, da diese laut EVB-IT teils verpflichtet sind, Cloud-Dienstleister mit C5-Testat einzusetzen.

Auf diesen Standards basiert BSI C5

• AICPA Trust Services Principles Criteria 2014 (SOC 2)

• ANSSI Référentiel Secure Cloud v2.0

• ISO/IEC 27001:2013

• CSA – Cloud Controls Matrix 3.01 (CSA CCM)

• IDW ERS FAIT 5

• BSI IT-Grundschutz 14. EL 2014

• BSI SaaS Sicherheitsprofile 2014

Welche Bedeutung hat das C5-Testat im Cloud-Geschäft?

Sascha Schumann: BSI C5 ist als Cloud-spezifischer Anforderungskatalog einer der strengsten IT-Sicherheitsstandards weltweit. Das Testat führt die etabliertesten internationalen Standards zusammen, ist weltweit anerkannt und zahlt entsprechend auf unsere Strategie ein, Myra als einen der wenigen DSGVO-konformen Anbieter am Markt auch zunehmend europäisch aufzustellen.

Was wird für C5 geprüft?

Sascha Schumann: Die Besonderheit an C5 ist, dass sich der Anforderungskatalog nicht rein auf technisch-prozessuale Vorgaben beschränkt. Hier wird viel mehr der Cloud-Provider als Ganzes unter die Lupe genommen. Neben Cybersicherheit, Compliance und Datenschutz spielen daher auch Themen wie Personalanforderungen, physische Sicherheit oder Beschaffung und Entwicklung eine Rolle. Insgesamt werden 17 Anforderungsbereiche geprüft, die 125 Basisanforderungen mit teilweise optionalen Zusatzanforderungen definieren.

Wie umfangreich fällt der C5-Audit aus?

Sascha Schumann: Myra hat ein C5-Testat nach Typ 2 abgelegt. Das heißt, dass neben der Prüfung der Angemessenheit auch die Wirksamkeit der vorgegebenen Kriterien untersucht wird – und das über einen Zeitraum von zwölf Monaten. Bei dem C5-Audit von Myra waren mit IT-Operations, IT-Development, Human Ressources und unserem Information Security & Compliance Management nahezu alle Unternehmensbereiche beteiligt. Insgesamt summierte sich der Aufwand für den Audit über alle Abteilungen hinweg auf deutlich über 500 Arbeitsstunden. Allein im Rahmen der rund dreimonatigen Nachbereitung mussten zusätzlich diverse Leistungsnachweise und Prüfdokumente für den gesamten Prüfungszeitraum angefertigt werden.

Ich bin stolz auf die Leistung unserer Teams und sehr glücklich, einmal mehr unser hohes Maß an Qualität und Sicherheit in Richtung Kunden und Markt formell bestätigt zu wissen.

Das sind die Anforderungsbereiche von BSI C5

• Organisation der Informationssicherheit

• Sicherheitsrichtlinien und Arbeitsanweisungen

• Anforderungen an das Personal

• Asset Management

• Physische Sicherheit

• Maßnahmen für den Regelbetrieb

• Identitäts- und Berechtigungsmanagement

• Kryptografie und Schlüsselmanagement

• Kommunikationssicherheit

• Portabilität und Interoperabilität

• Beschaffung, Entwicklung und Änderung von Informationssystemen

• Steuerung und Überwachung von Dienstleistern und Lieferanten

• Security Incident Management

• Sicherstellung des Geschäftsbetriebs und Notfallmanagement

• Sicherheitsprüfung und -nachweis

• Compliance und Datenschutz

• Mobile Device Management