IT-Management  C5-Testat im eHealth-Bereich: Ein Leitfaden zur









            Navigation durch rechtliche Herausforderungen








               Clouddienste sind allgegenwärtig in digitalen Geschäftsmodellen und damit auch im
               eHealth-Bereich. Sie sind unentbehrlich, um größere Mengen an Kundendaten zu speichern.
               Insbesondere im eHealth-Bereich, in dem sensible Gesundheitsdaten transferiert werden,
               wachsen die Anforderungen an die Informationssicherheit, die Cloud-Anbieter nachweisen
               müssen. Das C5-Testat gibt vor, welche Maßstäbe hier gelten. Von Jakob Liebert, IT-Sicher-

               heitsexperte bei Kanzlei Schürmann Rosenthal Dreyer und ISiCO Datenschutz GmbH


           Welche Kriterien stellt der C5-Katalog auf?        Nachdem der Anbieter eine Erklärung über die Angemes-
           Die aktuelle Version des C5-Kriterienkatalogs stammt aus   senheit der von ihm getroffenen Maßnahmen abgegeben hat,
           dem Jahr 2020. Der Kriterienkatalog dient in erster Linie der   prüft der Auditor deren Umsetzung. Die Rolle des Auditors
           Umsetzung der Vorgaben des EU Cybersecurity Act (EUCA)   kann beispielsweise ein Wirtschaftsprüfer bekleiden. Der Audi-
           und umfasst insgesamt 17 Bereiche, die jeweils Basis- und   tor kontrolliert, ob die vorgegebenen Kriterien derzeit erfüllt
           Zusatzkriterien beinhalten. Letztere sind relevant, wenn   sind bzw. in der Vergangenheit erfüllt waren. Hat der Cloud-
           sich im konkreten Anwendungsfall ein erhöhter Schutzbe-  Anbieter nicht vorab selbst eine Systembeschreibung erstellt,
           darf  (1) herausstellt. Ergänzend werden korrespondierende   prüfen Auditoren dessen internes Kontrollsystem unmittelbar.
           Kriterien aufgeführt, die der Kunde bei einigen Kriterien an der   Hierbei können sie Auskunftspersonen befragen, die für den
           Schnittstelle zum Cloud-Dienst zu erfüllen hat.   Cloud-Anbieter arbeiten, oder aber dessen interne Aufzeich-
              Zu den Basiskriterien gehört beispielsweise die Pflicht des   nungen und Verfahrensdokumentationen für ihre Analyse her-
           Cloud-Anbieters, Kontakte zu Behörden und Ministerien zu   anziehen.
           nutzen, um sich über aktuelle Schwachstellen zu informieren,   Sie erstellen schließlich einen Prüfbericht nach international
           die Risiken für beim Cloud-Anbieter gespeicherte Kunden-  anerkannten Standards, in dem zum einen ihre Prüftätigkeiten
           daten darstellen  könnten.  Aufgabenbereiche  innerhalb des   dokumentiert und zum anderen eine Systembeschreibung mit
           Cloud-Dienstes, die sich überschneiden oder miteinander in   den vom Cloud-Anbieter ergriffenen Maßnahmen aufgenom-
           Konflikt stehen, sollen getrennt werden. Eine weitere Vorgabe   men werden. Letzterer kann wahlweise auch bei der Prüfung
           bestimmt, dass die Mitarbeiter des Cloud-Dienstes hinsichtlich   festgestellte Mängel in den Prüfbericht mit aufnehmen. Außer-
           ihrer Qualifikation und Vertrauenswürdigkeit geprüft werden   dem enthält der Bericht sogenannte Rahmenbedingungen, die
           müssen.                                         Aussagen über das allgemeine Niveau der Informationssicher-
                                                            heit des Cloud-Dienstes treffen. Diese Aussagen dienen dem
           Wie läuft eine Prüfung der C5-Kriterien ab?      Kunden wiederum als Vergleichsmaßstab im Verhältnis zu ande-
           In die Prüfung der C5-Kriterien sind alle Akteure eingebunden,   ren Cloud-Anbietern.
           die den C5-Prüfbericht für sich verwenden können. Einbezo-  Auch der Kunde profitiert davon, wenn er sich in den Prüf-
           gen werden damit sowohl die Anbieter von Cloud-Diensten   prozess einbringt. Denn oft verlassen sich Kunden von Cloud-
           als auch deren Kunden sowie Auditoren. Alle Akteure müssen   dienstleistern auf die von diesen getroffenen technischen und
           eigene Mitwirkungspflichten erfüllen.            organisatorischen Maßnahmen (TOM). Die TOMs allein sind
              Die Mitwirkungspflicht eines Cloud-Anbieters besteht im   jedoch nicht aussagekräftig genug für die zuverlässige Beur-
           Wesentlichen darin, das ihm vom Kunden entgegengebrachte   teilung des gebotenen Schutzniveaus. Eine Prüfung nach den
           Vertrauen wieder auszugleichen, indem er die notwendigen   C5-Kriterien kann solche Schutzlücken beim Clouddienstleis-
           Maßnahmen zur Informationssicherheit trifft und eine entspre-  ter dem Kunden gegenüber aufzeigen. Er sollte daher den Prüf-
           chende Systembeschreibung erstellt. Der C5-Kriterienkatalog   bericht regelmäßig anfordern und dann selbst analysieren. Im
           dient ihm bei der Identifizierung der für ihn (für seinen Dienst)   Rahmen dieser Analyse kann der Kunde dann auch eine eigene
           relevanten C5-Kriterien als Orientierungshilfe.   Einschätzung abgeben, ob die Einhaltung der Mindestkriterien


                                                                                   Krankenhaus-IT Journal 1 /2024
      28