Das Bundesamt für Sicherheit in der Informationstechnik hat im Anforderungskatalog Cloud Computing (C5) verschiedene Anforderungen für Cloud-Anbieter zusammengefasst. Nach diesen Anforderungen wurde nun auch DRACOON testiert. Das Testat wurde letzte Woche auf der it-sa übergeben.
Vor allem für Behörden und öffentliche Einrichtungen spielen die Vorgaben, die durch den Katalog abgefragt werden, in der Entscheidungsfindung eine große Rolle. Im C5 legt das BSI fest, welchen Verpflichtungen und Anforderungen Cloud-Anbieter in Bezug auf die Informationssicherheit nachkommen müssen.
Die Testierung darf ausschließlich von einem Wirtschaftsprüfer als unabhängigem Dritten durchgeführt werden. DRACOON wurde in diesem Zusammenhang von der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PwC) geprüft.
„Wir haben mit DRACOON einen deutschen Cloud-Anbieter nach BSI C5 geprüft. Es erfreut uns, dass DRACOON dabei auf das Know-how von PwC vertraut hat, das wir als Entwickler des BSI C5 in die entsprechenden Projekte einbringen“, bewertet Markus Vehlow, Partner bei PwC Deutschland die zurückliegende Prüfung.
Bei der Beurteilung legt das BSI großen Wert auf Transparenz. Bei der Prüfung musste DRACOON eine umfangreiche Systembeschreibung abgeben und darüber hinaus auch sogenannte Umfeldparameter darstellen, die eine Auskunft über alle Zertifizierungen, Offenbarungs- und Ermittlungspflichten gegenüber staatlichen Stellen, die Diensterbringung, die Datenlokation und den Gerichtsstandort geben.
„Jedes Unternehmen und jede Einrichtung steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. Mit DRACOON möchten wir der Welt die Souveränität über ihre Daten zurückgeben. Für uns ist die BSI C5 Testierung ein wichtiger Schritt, um gerade Einrichtungen aus dem Behördenumfeld die Entscheidungsfindung deutlich zu erleichtern“, unterstreicht Marc Schieder, CIO von DRACOON, die Bedeutung des abgeschlossenen Testverfahrens.
„So können Kunden schnell und vereinfacht feststellen, ob ein Cloud-Dienst den gesetzlichen Vorschriften, insbesondere auch der DSGVO, den eigenen Richtlinien oder auch der Gefährdungslage in Bezug auf eine Wirtschaftsspionage entspricht“, führt Schieder weiter aus.