Seite wählen
Zurück zur Übersicht

Lesezeit: .

Myra Security zählt zu den wenigen Security-as-a-Service-Dienstleistern weltweit, die über ein BSI-C5-Testat verfügen. Der Cloud Computing Compliance Criteria Catalogue (C5) verfolgt einen holistischen Ansatz, um eine optimale Absicherung aller Prozesse und Systeme nach dem Stand der Technik nachzuweisen.
Das BSI-C5-Testat dient Unternehmen als Nachweis für die Einhaltung höchster Anforderungen und Standards an Informationssicherheit, Datenschutz und Transparenz. Während die Anforderungen für C5 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert sind, erfolgen Audit und Testat-Erteilung durch Wirtschaftsprüfer.

Sascha Schumann, Gründer und Geschäftsführer von Myra Security, erläutert, welche Herausforderungen, aber auch Chancen das C5-Testat mit sich bringt.

Warum investiert Myra in aufwendige Testate wie C5?

Sascha Schumann: Prinzipiell profitieren sowohl unsere Kunden als auch potenzielle Neukunden, wenn ein Dienstleister über ein C5-Testat verfügt, da es transparent die Einhaltung höchster Vorgaben an IT-Sicherheit und Datenschutz sicherstellt. Diese hohen Standards demonstrieren wir mit dem Testat aufs Neue.

Wir haben mit Myra einen starken Fokus auf Unternehmen aus hochregulierten Bereichen wie Banken, Versicherungen, dem Gesundheitswesen oder Public Services. Diesen bieten wir neben einem hohen Maß an Rechtssicherheit auch die Möglichkeit, das C5-Testat für ihr eigenes Risikomanagement zu nutzen. Besondere Relevanz genießt das Testat darüber hinaus bei Behörden, da diese laut EVB-IT teils verpflichtet sind, Cloud-Dienstleister mit C5-Testat einzusetzen.


Auf diesen Standards basiert BSI C5
  • AICPA Trust Services Principles Criteria 2014 (SOC 2)
  • ANSSI Référentiel Secure Cloud v2.0
  • ISO/IEC 27001:2013
  • CSA – Cloud Controls Matrix 3.01 (CSA CCM)
  • IDW ERS FAIT 5
  • BSI IT-Grundschutz 14. EL 2014
  • BSI SaaS Sicherheitsprofile 2014

Welche Bedeutung hat das C5-Testat im Cloud-Geschäft?

Sascha Schumann: BSI C5 ist als Cloud-spezifischer Anforderungskatalog einer der strengsten IT-Sicherheitsstandards weltweit. Das Testat führt die etabliertesten internationalen Standards zusammen, ist weltweit anerkannt und zahlt entsprechend auf unsere Strategie ein, Myra als einen der wenigen DSGVO-konformen Anbieter am Markt auch zunehmend europäisch aufzustellen.

Was wird für C5 geprüft?
Sascha Schumann: Die Besonderheit an C5 ist, dass sich der Anforderungskatalog nicht rein auf technisch-prozessuale Vorgaben beschränkt. Hier wird viel mehr der Cloud-Provider als Ganzes unter die Lupe genommen. Neben Cybersicherheit, Compliance und Datenschutz spielen daher auch Themen wie Personalanforderungen, physische Sicherheit oder Beschaffung und Entwicklung eine Rolle. Insgesamt werden 17 Anforderungsbereiche geprüft, die 125 Basisanforderungen mit teilweise optionalen Zusatzanforderungen definieren.
Wie umfangreich fällt der C5-Audit aus?

Sascha Schumann: Myra hat ein C5-Testat nach Typ 2 abgelegt. Das heißt, dass neben der Prüfung der Angemessenheit auch die Wirksamkeit der vorgegebenen Kriterien untersucht wird – und das über einen Zeitraum von zwölf Monaten. Bei dem C5-Audit von Myra waren mit IT-Operations, IT-Development, Human Ressources und unserem Information Security & Compliance Management nahezu alle Unternehmensbereiche beteiligt. Insgesamt summierte sich der Aufwand für den Audit über alle Abteilungen hinweg auf deutlich über 500 Arbeitsstunden. Allein im Rahmen der rund dreimonatigen Nachbereitung mussten zusätzlich diverse Leistungsnachweise und Prüfdokumente für den gesamten Prüfungszeitraum angefertigt werden.

Ich bin stolz auf die Leistung unserer Teams und sehr glücklich, einmal mehr unser hohes Maß an Qualität und Sicherheit in Richtung Kunden und Markt formell bestätigt zu wissen.


Das sind die Anforderungsbereiche von BSI C5
  • Organisation der Informationssicherheit
  • Sicherheitsrichtlinien und Arbeitsanweisungen
  • Anforderungen an das Personal
  • Asset Management
  • Physische Sicherheit
  • Maßnahmen für den Regelbetrieb
  • Identitäts- und Berechtigungsmanagement
  • Kryptografie und Schlüsselmanagement
  • Kommunikationssicherheit
  • Portabilität und Interoperabilität
  • Beschaffung, Entwicklung und Änderung von Informationssystemen
  • Steuerung und Überwachung von Dienstleistern und Lieferanten
  • Security Incident Management
  • Sicherstellung des Geschäftsbetriebs und Notfallmanagement
  • Sicherheitsprüfung und -nachweis
  • Compliance und Datenschutz
  • Mobile Device Management

Diesen Artikel teilen