Deutschland steht als großes datenverarbeitendes Land hinsichtlich Sicherheits- und Datenschutzregulierung in Europa in der ersten Reihe und übernimmt eine federführende Rolle. Um sich in der deutschen Branche für Cloud-Sicherheit betätigen zu dürfen, müssen Anbieter internationale, regionale und länderspezifische Standards einhalten. Wir haben im Einklang mit der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) angemessene organisatorische und technische Vorkehrungen getroffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Cloudflare-Produktionssysteme zu verhindern. Die Prüfstelle TÜViT ist damit beauftragt, Cloudflare zu auditieren und dies alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. Mit dem erfolgreichen Abschluss dieser Prüfung können wir die Richtlinie zur Netzwerks- und Informationssicherheit (NIS) in Deutschland einhalten.
Warum müssen sich in Deutschland tätige Cloud-Unternehmen einer BSI-Auditierung unterziehen?
2019 hat sich Cloudflare als „Betreiber wesentlicher Dienste“ gemäß der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) registriert. Diese hat das Ziel, die Cybersicherheit in der gesamten Europäischen Union zu verbessern. Alle Mitgliedstaaten haben damit begonnen, nationale Rechtsvorschriften zur Umsetzung der NIS-Richtlinie zu erlassen, wobei die Einhaltungskriterien von jedem Land individuell festgelegt werden. Cloudflare unterliegt als „Betreiber wesentlicher Dienste“ in Deutschland der Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) und muss die von der Behörde festgelegten Auflagen erfüllen.
Was wird durch die Prüfung nachgewiesen?
Dieses Audit umfasst eine gründliche Überprüfung der Sicherheitskontrollen von Cloudflare in den folgenden Bereichen:
- Asset-Verwaltung
- Risikoanalyse
- Geschäftskontinuität und Notfallwiederherstellung
- Beschäftigten- und Unternehmens-bezogene Sicherheit
- Verschlüsselung
- Netzwerksicherheit
- Authentifizierungssicherheit
- Vorfallsreaktion
- Anbietersicherheit
- Physische Sicherheit
Neben der Auditierung der Sicherheitskontrollen von Cloudflare in den oben genannten Bereichen führte TÜViT auch eine gründliche Überprüfung unseres Verwaltungssystems für Informationssicherheit (Information Security Management System – ISMS) durch.
Damit können sich deutsche Kunden darauf verlassen, dass Cloudflare die Auflagen der für den Schutz ihrer Daten zuständigen Behörden einhält.
Sind weitere speziell Deutschland betreffende Prüfungen geplant?
Ja. Cloudflare unterzieht sich derzeit für die Zertifizierung nach dem Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalog) einer unabhängigen externen Überprüfung. Der C5 wurde 2016 vom BSI eingeführt und dient der Überprüfung der Betriebssicherheit von Cloud-Diensten. Ein hoher Stellenwert wird dem C5 unter anderem im Bereich Cloud Computing und bei deutschen Bundesbehörden beigemessen. Mehr erfahren Sie hier.
Welche weiteren Zertifizierungen belegen das Engagement für Datenschutz und Sicherheit von Cloudflare?
Verschiedene Zertifizierungen geben Auskunft über unterschiedliche Aspekte der Sicherheits- und Datenschutzmaßnahmen eines Unternehmens. Die Anforderungen der folgenden Standards werden von Cloudflare erfüllt:
- ISO 27001 – Cloudflare ist seit 2019 nach ISO 27001 zertifiziert. Kunden haben daher die Gewissheit, dass Cloudflare über ein formelles Managementprogramm für Informationssicherheit verfügt, das einem weltweit anerkannten Standard entspricht.
- SOC2 Typ II – Cloudflare lässt regelmäßig Service Organization Control (SOC)-Berichte erstellen, bei denen unter anderem die Einhaltung der Vertrauensgrundsätze Sicherheit, Vertraulichkeit und Verfügbarkeit geprüft wird.
- PCI DSS – Cloudflare arbeitet jährlich mit einem Auditor (Qualified Security Assessor – QSA) zusammen, der uns in unserer Eigenschaft als Level 1-Anbieter und Service-Provider bewertet.
- ISO 27701 – Cloudflare war eines der ersten Unternehmen in der Branche, das die ISO 27701-Zertifizierung sowohl als Auftragsverarbeiter als auch als Datenverantwortlicher erhalten hat. Die Zertifizierung gibt unseren Kunden die Sicherheit, dass wir über ein förmliches Datenschutzprogramm verfügen, das auf die DSGVO abgestimmt ist.
- FedRAMP In Process – Mit der Zuweisung des Status „In Process“ (in Bearbeitung) bei FedRAMP Marketplace bezüglich des Erhalts einer Genehmigung als Auftragnehmer für Behörden mit moderater Sicherheitssensibilität hat Cloudflare einen wichtigen Meilenstein erreicht. Sobald eine Betriebsgenehmigung (Authorization to Operate– ATO) erteilt wird, können Behörden und andere Cloud-Service-Anbieter unsere Produkte und Dienstleistungen im öffentlichen Sektor nutzen.
Pro-, Business- und Enterprise-Kunden können nun über das Cloudflare-Dashboard eine Kopie der Zertifizierungen, Berichte und Übersichten von Cloudflare anfordern. Die neuesten Informationen zu unseren Zertifizierungen und Berichten finden Sie im Trust-Hub.