Compliance in der Cloud: ISO 27001, SOC 2 & BSI C5

7 Dezember 2023

Das Wichtigste in Kürze

  • ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS).
  • SOC 2 Type II ist der De-facto-Standard für US-Kunden und SaaS-Unternehmen.
  • BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist der deutsche Cloud-Sicherheitsstandard.
  • Shared Responsibility: Der Cloud-Provider sichert die Infrastruktur, der Kunde seine Anwendungen.
  • Compliance-Zertifizierungen sind zunehmend Voraussetzung für Enterprise-Kunden, nicht Differenzierung.

Compliance in der Cloud ist kein einmaliges Audit, sondern ein kontinuierlicher Prozess. ISO 27001, SOC 2 und BSI C5 setzen unterschiedliche Schwerpunkte und adressieren unterschiedliche Märkte. Welcher Standard für welches Unternehmen relevant ist und wie man die Zertifizierung effizient erreicht.

ISO 27001: Der globale Standard

ISO 27001 definiert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Der Standard ist branchenunabhängig, global anerkannt und deckt den gesamten Sicherheitslebenszyklus ab: Risikoanalyse, Maßnahmenplanung, Implementierung, Monitoring und kontinuierliche Verbesserung.

Für Cloud-Nutzer relevant: Alle Hyperscaler (AWS, Azure, GCP) sind ISO 27001-zertifiziert. Die Zertifizierung des Providers entbindet den Kunden aber nicht — im Shared-Responsibility-Modell muss der Kunde seine eigene Konfiguration, Zugriffskontrolle und Datenverarbeitung absichern.

Der Weg zur Zertifizierung dauert typischerweise 6-12 Monate. Kosten: 15.000-50.000 Euro für die externe Zertifizierung, deutlich mehr für die interne Implementierung (Policies, Prozesse, technische Maßnahmen).

SOC 2: Der SaaS-Standard

SOC 2 (Service Organization Control 2) ist ein Prüfungsstandard des AICPA, der speziell für Service-Provider entwickelt wurde. Er prüft fünf Trust Service Criteria: Security, Availability, Processing Integrity, Confidentiality und Privacy.

SOC 2 Type I bestätigt, dass die Kontrollen zu einem bestimmten Zeitpunkt implementiert sind. SOC 2 Type II bestätigt, dass die Kontrollen über einen Zeitraum (typisch 6-12 Monate) effektiv funktionieren. Type II ist der Standard für Enterprise-Kunden.

SOC 2 ist besonders relevant für SaaS-Unternehmen, die US-Kunden bedienen oder in den US-Markt expandieren. In Europa gewinnt SOC 2 zunehmend an Bedeutung als Ergänzung zu ISO 27001.

BSI C5: Der deutsche Cloud-Standard

Der BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist der Sicherheitsstandard des Bundesamts für Sicherheit in der Informationstechnik. C5 wurde speziell für Cloud-Dienste entwickelt und ist in Deutschland für den öffentlichen Sektor und regulierte Branchen zunehmend verpflichtend.

C5 definiert 114 Anforderungen in 17 Kategorien: Organisation, Personal, Asset Management, Kryptographie, Kommunikationssicherheit, Identitäts- und Rechtemanagement, und mehr. Die Anforderungen sind oft konkreter als ISO 27001 — insbesondere bei Cloud-spezifischen Themen wie Mandantentrennung und Datenlokalisierung.

Alle großen Cloud-Provider haben C5-Testierung: AWS, Azure, GCP, Deutsche Telekom und IONOS. Für deutsche Unternehmen, die öffentliche Aufträge anstreben, ist C5-Compliance zunehmend ein Muss.

Shared Responsibility: Wer ist wofür verantwortlich?

Das Shared-Responsibility-Modell ist das Fundament jeder Cloud-Compliance: Der Provider sichert die Infrastruktur (physische Sicherheit, Netzwerk, Hypervisor). Der Kunde sichert alles darüber: Betriebssystem-Konfiguration, Zugriffskontrolle, Datenverschlüsselung, Anwendungs-Security.

Bei IaaS ist der Kunde für mehr verantwortlich (OS, Middleware, Anwendung). Bei PaaS übernimmt der Provider das OS. Bei SaaS ist der Kunde nur für Zugriffskontrolle und Datenkonfiguration verantwortlich. Die Compliance-Anforderungen an den Kunden sinken also mit steigendem Abstraktionsgrad.

Pragmatischer Weg zur Cloud-Compliance

Der häufigste Fehler: Compliance als einmaliges Projekt behandeln. Der pragmatische Weg:

Phase 1: Gap-Analyse — wo steht das Unternehmen heute? Welche Controls fehlen? Ein erfahrener Auditor kann das in 2-3 Tagen bewerten.

Phase 2: Quick Wins implementieren — MFA, Logging, Zugriffskontrolle, Verschlüsselung. Diese Maßnahmen adressieren die häufigsten Audit-Findings und verbessern die Sicherheit sofort.

Phase 3: Formale Zertifizierung — mit einem Auditor, der die Cloud-Umgebung versteht. Cloud-native Compliance-Tools (AWS Config, Azure Policy, GCP Organization Policies) automatisieren die Nachweisführung.

Continuous Compliance: Automatisierte Checks (CSPM-Tools) stellen sicher, dass die Compliance nicht nach dem Audit wieder verfällt.

Häufige Fragen

Braucht man ISO 27001 und SOC 2?

Kommt auf den Markt an. Für europäische Kunden reicht ISO 27001 oft aus. Für US-Kunden ist SOC 2 Type II quasi Pflicht. Viele internationale SaaS-Unternehmen haben beide — der Overlap in den Controls ist erheblich, der Mehraufwand für die zweite Zertifizierung daher überschaubar.

Wie viel kostet eine ISO 27001-Zertifizierung?

Externe Audit-Kosten: 15.000-50.000 Euro (abhängig von Unternehmensgröße und Scope). Interne Vorbereitungskosten: 50.000-200.000 Euro (Beratung, Tool-Einführung, Prozesse). Jährliche Überwachungsaudits: 10.000-25.000 Euro. Für Startups gibt es schlankere Ansätze mit ISO 27001 „Light“.

Ist BSI C5 nur für den öffentlichen Sektor relevant?

Primär ja, aber zunehmend auch für regulierte Branchen (Finanz, Gesundheit) und als Qualitätsmerkmal im deutschen Markt. Die Deutsche Bundesregierung fordert C5 für Cloud-Dienste in der Bundesverwaltung. Unternehmen, die öffentliche Kunden bedienen, brauchen C5 de facto.

Wie automatisiert man Compliance in der Cloud?

Cloud Security Posture Management (CSPM) Tools wie Prisma Cloud, Wiz und native Services (AWS Config, Azure Policy) prüfen automatisch gegen Compliance-Frameworks und melden Abweichungen. Infrastructure as Code mit Policy-as-Code (OPA, Sentinel) verhindert non-compliant Deployments proaktiv.

Was ist der Unterschied zwischen Zertifizierung und Testierung?

Zertifizierung (ISO 27001) bestätigt die Konformität mit einem Standard durch eine akkreditierte Stelle. Testierung (BSI C5) bestätigt durch einen Wirtschaftsprüfer, dass die Anforderungen erfüllt sind. Beide sind extern geprüft, der formale Rahmen unterscheidet sich.

Quelle des Titelbildes: Pexels / Heather Green

Cloud Cloud Sicherheit Datenschutz So wird die Cloud sicher
pArtikel drucken
Ein Magazin der Evernine Media GmbH