CommunityDEENDEENProdukteCore ServicesRoadmapRelease NotesLeistungsbeschreibungZertifikate und TestatePrivate CloudManaged ServicesVorteileSicherheit/DSGVONachhaltigkeitOpenStackMarktführerPreisePreismodelleComputing & ContainerSpeicherNetzwerkDatenbank & AnalyseSicherheitManagement & ApplikationPreisrechnerLösungenBranchenGesundheitswesenÖffentlicher SektorWissenschaft & ForschungAutomotiveMedienunternehmenEinzelhandelAnwendungsfälleKünstliche IntelligenzHigh Performance ComputingBig Data & AnalyticsInternet of ThingsDisaster RecoveryData StorageKomplettlösungenCloud-Lösungen TelekomCloud-Lösungen PartnerSwiss Open Telekom CloudReferenzkundenPartnerCIRCLE PartnerTECH PartnerPartner werdenAcademyTrainings & ZertifizierungenEssentials TrainingFundamentals TrainingPractitioner Online-TrainingArchitect TrainingZertifizierungenCommunityCommunity BlogsCommunity EventsBibliothekStudien und WhitepaperWebinareBusiness NavigatorSupportExperten-SupportKI-ChatbotShared ResponsibilityRichtlinien für Sicherheitstests (Penetrationstests)Open Telekom Cloud AppTools zur SelbsthilfeErste SchritteTutorialStatus DashboardFAQTechnische DokumentationNewsBlogMessen & EventsFachartikelPresseanfragenCommunity

0800 3304477 24 Stunden am Tag, 7 Tage die Woche

E-Mail schreiben

Jetzt starten und 250 € Startguthaben sichern
ProdukteCore ServicesPrivate CloudManaged ServicesVorteilePreisePreismodellePreisrechnerLösungenBranchenAnwendungsfälleKomplettlösungenSwiss Open Telekom CloudReferenzkundenPartnerCIRCLE PartnerTECH PartnerPartner werdenAcademyTrainings & ZertifizierungenCommunityBibliothekBusiness NavigatorSupportExperten-SupportTools zur SelbsthilfeTechnische DokumentationNewsBlogMessen & EventsFachartikelPresseanfragen
  • 0800 330447724 Stunden am Tag, 7 Tage die Woche
  • E-Mail schreiben
Jetzt starten und 250 € Startguthaben sichern

Cloud für die Gesundheitsbranche – BSI C5:2020 ist der Maßstab

von Redaktion
Illustration zu Cloud für Health – BSI C5:2020 ist der Maßstab
Mit dem Digital-Gesetz wird die Nutzung der Cloud für die Gesundheitsbranche möglich. 
 

In diesem Artikel lesen Sie,

  • wie das Digital-Gesetz (DigiG) Unternehmen in der Gesundheitsbranche den Cloud-Einsatz ermöglicht,
  • auf was Unternehmen beim Einsatz der Cloud achten müssen
  • und warum die Open Telekom Cloud eine gute Wahl für die Gesundheitsbranche ist.


Die Cloud kommt immer mehr in regulierten Sektoren an. Im Dezember 2022 machte das BSI (Bundesamt für Sicherheit in der Informationstechnik) Vorgaben für die Nutzung von externen Cloud-Diensten innerhalb der öffentlichen Verwaltung, im ersten Quartal 2024, folgte der Gesundheitssektor: Der Gesetzesentwurf „zur Beschleunigung der Digitalisierung des Gesundheitswesens“ (Digital-Gesetz, DigiG) erlaubt nun explizit die Nutzung der Cloud für Organisationen in Health (die zuvor verboten war). 

Mindeststandards oder BSI C5:2020?

Während im öffentlichen Bereich die „Mindeststandards des BSI“ maßgeblich sind, hat sich der Gesetzgeber im Gesundheitsumfeld für den C5-Kriterienkatalog entschieden. Eine Zertifizierung nach BSI C5:2020 wird dort zum entscheidenden Kriterium. Es scheint, als ob zwei verschiedene Maßstäbe für die unterschiedlichen Sektoren etabliert werden. Welche Zertifizierung bzw. Auditierung aber ist besser?

Die Antwort ist einfacher, als es zunächst den Anschein hat. Daniel Fussy, der Sicherheitsexperte der Open Telekom Cloud: „Schaut man sich die entsprechenden Dokumente an, wird klar: BSI C5:2020 ist das Maß der Dinge“.

Tatsächlich fordern die Mindeststandards des BSI für den öffentlichen Sektor keine IT-Grundschutzzertifizierung, sondern referenzieren auf BSI C5:2020. So beispielsweise in den Ausführungen zur Planungs- und zur Beschaffungsphase. Die „Sicherheitsrichtlinie für externe Cloud-Dienste“ (NCD.2.1.02) erläutert: „Die (Anm.: Cloud-nutzende) Einrichtung MUSS in dieser Sicherheitsrichtlinie mindestens die Umsetzung und Einhaltung der Basiskriterien nach dem Cloud Computing Compliance Criteria Catalogue – C5 (Kriterienkatalog Cloud Computing) als spezielle Sicherheitsanforderungen an den Cloud-Diensteanbieter festlegen“. Die Beschaffungsphase fordert: „Diese Sicherheitsnachweise SOLLTEN mindestens die angemessene und wirksame Erfüllung der Basiskriterien nach C5 … umfassen und KÖNNEN vom Cloud-Diensteanbieter durch die regelmäßige Bereitstellung einer aktuellen C5-Berichterstattung vom Typ 2 erbracht werden“.

Typ 1 oder Typ 2?

Klar wird: Organisationen, die die Cloud einsetzen wollen, sollten auf eine Auditierung nach BSI C5:2020 achten. Doch BSI C5 ist nicht BSI C5. Wichtig ist ein zweiter Blick: Wie auch bei vielen anderen Audits und Zertifizierungen gibt es das BSI-C5-Testat eines Wirtschaftsprüfers in zwei Varianten: Typ 1 und Typ 2. Für das Gesundheitswesen ist momentan (bis zum Juli 2025) lediglich ein Typ-1-Testat erforderlich. Mit diesem Kniff gibt der Gesetzgeber den Health-Unternehmen vor dem Hintergrund der kurzen Umsetzungsfrist noch eine Verschnaufpause. Das Typ-1-Testat umfasst im Wesentlichen eine Eigenerklärung des Cloud-Anbieters. Darin stellt er dar, dass er Konzepte, Vereinbarungen und Prozesse hat, die die Anforderungen an IT-Sicherheit erfüllen.

„Sehr viel aussagekräftiger bezüglich der Wirksamkeit der Sicherheitsmaßnahmen und -kontrollen ist das Typ-2-Testat. Während Typ 1 PowerPoint-Niveau hat, durchleuchtet der Wirtschaftsprüfer bei einem Typ-2-Audit alle diese Aussagen und prüft ihre Implementierung“, weiß Fussy. Eine derartige Überprüfung dauert in der Regel drei Monate und mündet in einem 200-seitigen Prüfbericht. Die tiefgreifenden Stichprobenkontrollen umfassen die Technik, aber auch Managementprozesse und Personal.

 
Daniel Fussy, Security & Privacy Consultant bei T-Systems
 

Der Bericht nach BSI C5:2020 Typ 2 ist derzeit der höchstwertige Test und beste Nachweis für ein effektives und effizientes Sicherheitsmanagement der Cloud. Es wird nur erteilt, wenn der Cloud-Anbieter in allen geprüften Kriterien erfolgreich ist.

– Daniel Fussy, Security & Privacy Consultant bei T-Systems

Langfristig planen: auf BSI C5:2020 Typ 2 Wert legen

Wenngleich das Digital-Gesetz (DigiG) aktuell nur das entsprechende Typ-1-Zertifikat fordert, so werden die Ansprüche 2025 steigen: Dann wird eine Zertifizierung nach Typ 2 obligat. Cloud-Nutzer im Gesundheitsumfeld sollten daher in die Zukunft denken und schon jetzt einen Cloud-Anbieter wählen, der die Anforderungen nach BSI C5:2020 Typ 2 erfüllt und belegen kann, dass er das Testat jährlich erneuert. So erhalten sie langfristig Planungssicherheit.

„Die Open Telekom Cloud ist seit 2018 nach C5 Typ 2 auditiert“, erläutert Fussy, „dies war nötig, um als Betriebsplattform für die Corona Warn App zugelassen zu werden. Seither haben wir uns jedes Jahr den aktuellen Anforderungen gestellt und das Testat erhalten“. Über diesen starken Standard hinaus erfüllt die Open Telekom Cloud die Anforderungen von Berufsgeheimnisträgern nach §203 StGB und die Anforderungen an Sozialdatenverarbeitung nach §35 SGB I.


Diese Inhalte könnten Sie auch interessieren
 

Eine Frau und eine Mann halten gemeinsam ein Tablet auf dem eine Auswertung angezeigt wird

Verpflichtung auf das Sozialgeheimnis

Sozialleistungsträger können in der Open Telekom Cloud standardmäßig Daten hosten, die unter das Sozialgeheimnis fallen

 
Darstellung einer Europa-Flagge mit Schloss-Icon im Zentrum der Sterne

Souverän mit einer europäischen Cloud

Europäische Unternehmen, die sich für die digitale Zukunft aufstellen wollen, beziehen Souveränitätsaspekte vermehrt in ihre Entscheidungsfindung ein. 

 
Digitale Wolke symbolisiert IT-Sicherheit dank BSI C5-Zertifizierung

BSI-Mindestanforderungen für externen Cloud-Einsatz

IT-Sicherheit für öffentliche Institutionen: Die Open Telekom Cloud erfüllt die Mindestanforderungen des BSI für externe Cloud-Provider in der öffentlichen Verwaltung. 

Die Open Telekom Cloud Community

Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

Jetzt entdecken  

Kostenfreie Experten-Hotline

Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

 0800 3304477 (aus Deutschland)

 +800 33044770 (aus dem Ausland)

 24 Stunden am Tag, 7 Tage die Woche

E-Mail schreiben

Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

E-Mail schreiben 

AIssistant

Unsere KI-gestützte Suche hilft bei Ihrem Cloud-Anliegen.