Sicher in der Digitalisierung

C5-Testat schützt Kommunen in der Cloud 

Clou
LinkedInRedditWhatsAppPocket

Das C5-Testat des BSI stellt die Mindestanforderungen an die Informationssicherheit von Cloud-Diensten. Wie können Behörden davon profitieren?

Städte und Gemeinden stehen zunehmend im Visier von Cyberangriffen, die die öffentliche Sicherheit gefährden. Zwar eröffnet die Digitalisierung Kommunen große Chancen: Sie verbessert Dienstleistungen und optimiert Abläufe. Doch mit diesen Vorteilen wächst auch das Risiko. Laut BSI-Lagebericht hat sich die Zahl der Ransomware-Angriffe auf kommunale Einrichtungen seit 2022 fast verdoppelt. Betroffen sind nicht nur Verwaltungs-IT, sondern auch kritische Infrastrukturen wie Nahverkehr, Energie- und Wasserversorgung, Schulen und Kultureinrichtungen. Die Folgen sind gravierend: Dienstleistungen brechen zusammen, sensible Daten gelangen in kriminelle Hände, und ungeplante Kosten belasten die ohnehin knappen Haushalte. 

Anzeige

Hybride IT-Umgebungen: Ein Sicherheitsrisiko

Die Verbindung von On-Premises-Systemen mit Multi-Cloud-Lösungen schafft komplexe, hybride IT-Umgebungen. Diese bieten Flexibilität und Effizienz, erhöhen aber auch die Angriffsflächen – vor allem an den Schnittstellen. Besonders problematisch sind schlecht gesicherte Objektspeicher, in denen laut Rubrik Zero Lab Report Unternehmen typischerweise rund 70 Prozent der Cloud-Daten speichern. Solche Speicher entziehen sich oft der maschinellen Analyse und werden so zur Blackbox. Gleichzeitig erschweren begrenzte personelle Ressourcen und die Komplexität der Systeme die Entwicklung einer umfassenden Sicherheitsstrategie. 

SaaS-Plattformen als zentrale Schutzschilde

Cloud-basierte Security-as-a-Service-Plattformen (SaaS) können Abhilfe schaffen. Sie ermöglichen IT-Security-Teams, verteilte Infrastrukturen zentral zu verwalten. Damit reduziert sich die Komplexität der hybriden Umgebungen. Patches und Updates werden automatisch eingespielt, was Zeit spart, und die Sicherheit erhöht. Selbst bei Fachkräftemangel können Teams flexibel auf neue Anforderungen reagieren. 

Der Stadtverwaltung der Stadt Baden-Baden konnte ihre Digitalisierung mit der Umstellung auf eine Cloud-basierte Plattform bereits vorantreiben und steht damit beispielhaft für das Potenzial anderer Verwaltungen. Klaus Thomas, Fachgebietsleiter Technik in IT und Digitalisierung der Stadt Baden-Baden berichtet: „Der Betrieb der IT muss soweit wie möglich automatisiert werden, dort wo möglich, zum Selbstläufer werden und soll insgesamt so wenig Aufwand wie möglich erfordern. Wichtig sind für uns dabei ein hohes Niveau von Sicherheit, Zuverlässigkeit, Verfügbarkeit und Zukunftssicherheit.“

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Datenschutz und Datensicherheit: Die zentrale Frage

Die Wahl der richtigen Cloud-SaaS-Lösung wirft jedoch entscheidende Fragen auf: Welche Compliance-Vorgaben gelten? Welche Sicherheitsstandards sind relevant? Wie bleibt die Datenhoheit gewahrt? Und wie lassen sich Risiken bei der Verlagerung sensibler Daten in die Cloud minimieren? 

C5-Testat: Orientierung im Cloud-Dschungel 

Das C5-Testat des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt klare Antworten. Der Cloud Computing Compliance Criteria Catalogue (C5) definiert strenge Sicherheitsanforderungen für Cloud-Dienste. Seit der Aktualisierung 2020 zählt er zu den weltweit strengsten Standards. Das Testat prüft Datenschutz, Transparenz und Ausfallsicherheit und verlangt jährliche Audits durch unabhängige Wirtschaftsprüfer. Für IT-Entscheider in Kommunen ist das C5-Testat daher ein verlässlicher Maßstab, wenn sie Sicherheit und Compliance gewährleisten und auf künftige Vorgaben vorbereitet sein wollen. 

Für Bundesbehörden ist das Testat laut § 8 BSI-Gesetz verpflichtend. Auch das Gesundheitswesen muss es seit Juli 2024 berücksichtigen. Grundsätzlich ist C5 für alle Organisationen relevant, die sensible Daten schützen und Cloud-Dienste sicher nutzen wollen. Besonders öffentliche Verwaltungen und Betreiber kritischer Infrastrukturen – etwa Verkehrsbetriebe, Energie- und Wasserversorger oder die Abfallwirtschaft – sollten auf C5-zertifizierte Lösungen setzen. Das Testat schafft Vertrauen bei Bürgern und Partnern: Es belegt die Einhaltung hoher Sicherheitsstandards. 

Mehr Resilienz durch C5-zertifizierte Lösungen

C5-zertifizierte Sicherheitslösungen stärken die Cyberresilienz im öffentlichen Sektor. Denn sie gehen über reine Abwehrmaßnahmen hinaus. Da die Frage heute nicht mehr ist, ob ein Angriff gelingt, sondern wie oft, liegt der Fokus auf Resilienz: Wie schnell lassen sich Systeme nach einem Angriff wiederherstellen, und wie können Schäden begrenzt werden? Das C5-Testat liefert hier klare Vorgaben, um die Geschäftskontinuität zu sichern und hoheitliche Dienste auch im Ernstfall verfügbar zu halten. Dazu gehört vor allem eine robuste Backup- und Recovery-Strategie. 

Backup und Recovery: Garant für die Geschäftskontinuität

Wenn alle anderen Sicherheitsmaßnahmen versagen, sind Backup- und Recovery-Systeme die letzte Verteidigungslinie. Kommunen sollten auf Lösungen setzen, die umfassende Backups erlauben und das Business Continuity Management (BCM) gemäß C5-Katalog sicherstellen. Wichtige Funktionen sind: 

  • Unveränderliche Backups: Daten werden in einem Zustand gespeichert, der Manipulation verhindert. Ein logischer Air Gap schützt die Backups selbst bei Systemkompromittierung. 
  • Forensische Analyse: Nach einem Angriff lassen sich Daten analysieren und Angriffspfade nachvollziehen. So können saubere Backup-Bestände schnell wiederhergestellt werden. 
  • Proaktive Bedrohungserkennung: Sicherheitslösungen scannen kontinuierlich nach Ransomware-Indikatoren – unbemerkt und ohne die laufenden Systeme zu belasten. 
  • Schnelle Wiederherstellung: Automatisierte Pläne sorgen für eine zügige Systemwiederherstellung, ohne zusätzliche Infrastruktur. Das minimiert Ausfallzeiten. 

Digitalisierung und Sicherheit: Eine Balance finden 

Das C5-Testat bietet Kommunen eine klare Orientierung, um Cloud-Dienste sicher und rechtskonform einzusetzen. Zertifizierte Lösungen erhöhen nicht nur die Sicherheit, sondern reduzieren auch die Komplexität und profitieren von automatisierten Prozessen. Angesichts knapper personeller und finanzieller Ressourcen ist das ein wesentlicher Vorteil.


Schwaak

Frank

Schwaak

Field CTO EMEA

Rubrik

Seit über 20 Jahren ist Frank Schwaak als Data Protection und Recovery Spezialist tätig. 
Anzeige

Artikel zu diesem Thema

Wunderwaffe Cloud-ERP-System

Weitere Artikel

Wie Edge Computing das volle Potenzial des IoT freisetzt
Norwegen und Dänemark warnen offiziell vor US-Clouds
Digitalisierung bezahlbar gestalten
iCloud Kosten in Deutschland: Was kostet der Apple-Speicher?
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.