Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Cloud Compliance: SOC 2, ISO 27017, ISO 27018, CSA STAR und FedRAMP

Cloud Compliance umfasst die Gesamtheit regulatorischer Anforderungen und Zertifizierungsstandards für Cloud-Dienste: SOC 2 (Trust Service Criteria), ISO 27017 (Cloud-spezifische Sicherheitskontrollen), ISO 27018 (Datenschutz in der Cloud), CSA STAR (Cloud Security Alliance), FedRAMP (US-Bundesbehörden), C5 (BSI) und EUCS (EU Cloud Scheme). Dieser Artikel erklärt Unterschiede, Anforderungen und Zertifizierungsprozesse.

Inhaltsverzeichnis (6 Abschnitte)

Cloud Compliance beantwortet eine zentrale Frage für Unternehmen die Cloud-Dienste nutzen oder anbieten: “Wie weisen wir nach, dass unsere Cloud-Infrastruktur sicher und compliant ist?” Für Cloud-Anbieter ist Compliance ein Vertriebsargument - für Cloud-Nutzer ein Risikomanagement-Instrument. Verschiedene Standards adressieren unterschiedliche Aspekte: technische Sicherheit, Datenschutz, Verfügbarkeit und branchenspezifische Anforderungen.

Überblick: Cloud Compliance-Frameworks

Vergleich der wichtigsten Cloud-Standards:

SOC 2 (AICPA):
  Geltungsbereich:   US-amerikanischer Standard, weltweit anerkannt
  Fokus:             Trust Service Criteria (Security, Availability, Integrity,
                     Confidentiality, Privacy)
  Zertifizierung:    Audit durch akkreditierten CPA (Wirtschaftsprüfer)
  Typen:             Type I (Stichtagsbezogen), Type II (6-12 Monate Zeitraum)
  Für:               SaaS-Anbieter, Managed Service Provider, Cloud-Plattformen
  Dauer:             3-6 Monate für Type I; 6-12 Monate für Type II

ISO 27001:
  Geltungsbereich:   Internationaler Standard (ISO/IEC)
  Fokus:             ISMS (Informationssicherheits-Managementsystem)
  Zertifizierung:    Akkreditierte Zertifizierungsstelle (DAkkS in Deutschland)
  Cloud-Ergänzung:   ISO 27017 (Cloud Security Controls)
  Datenschutz:       ISO 27018 (PII in Cloud)
  Für:               Alle Unternehmen, besonders für EU/DACH-Markt

CSA STAR (Cloud Security Alliance):
  Geltungsbereich:   Weltweit, cloud-spezifisch
  Fokus:             Cloud Security Controls Matrix (CCM v4.0)
  Level:             Level 1 (Selbstauskunft), Level 2 (Audit), Level 3 (kontinuierlich)
  Basis:             Auf ISO 27001 aufbauend (ergänzend)
  Kostenloses Level: STAR Self-Assessment kostenlos registrierbar

BSI C5 (Cloud Computing Compliance Criteria Catalogue):
  Geltungsbereich:   Deutschland, zunehmend europäisch
  Fokus:             Sicherheitsanforderungen für Cloud-Dienste
  Zertifizierung:    Audit durch Wirtschaftsprüfer
  Pflicht:           Für Bundesbehörden bei Cloud-Beschaffung
  Für:               Cloud-Anbieter die öffentliche Hand bedienen wollen

EUCS (EU Cloud Scheme, ENISA):
  Status:            In Entwicklung (ENISA, voraussichtlich 2026)
  Fokus:             EU-weites Cloud-Sicherheitsniveau-Schema
  Level:             Basic, Substantial, High
  Ziel:              Harmonisierung nationaler Cloud-Anforderungen in EU
  High Level:        Entspricht BSI C5 + GDPR-Anforderungen

FedRAMP (US):
  Geltungsbereich:   USA - US-Bundesbehörden
  Fokus:             NIST 800-53 Kontrollen für Cloud-Dienste
  Pflicht:           Für Cloud-Dienste die US-Bundesbehörden bedienen
  Aufwand:           2-3 Jahre, mehrere Millionen USD
  Relevant:          Für internationale Anbieter mit US-Regierungskunden

SOC 2 im Detail

SOC 2 (Service Organization Control 2) - wichtigster US-Cloud-Standard:

Trust Service Criteria (TSC):
  1. Security (CC-Domäne) - PFLICHT für alle SOC 2:
     CC6: Logical and Physical Access Controls
     CC7: System Operations
     CC8: Change Management
     CC9: Risk Mitigation

  2. Availability (optional):
     Uptime-Anforderungen + SLA-Monitoring
     Disaster Recovery + Business Continuity

  3. Processing Integrity (optional):
     Vollständige und korrekte Verarbeitung
     Relevant für: Zahlungsdienstleister, Datenverarbeitung

  4. Confidentiality (optional):
     Schutz vertraulicher Informationen
     Klassifizierung, Verschlüsselung, NDA-Management

  5. Privacy (optional):
     Behandlung personenbezogener Daten
     Relevant wenn: Kundendaten verarbeitet werden

SOC 2 Type I vs. Type II:
  Type I:   Stichtagsbezogen - "Kontrollen sind VORHANDEN an Datum X"
            Dauer: 3-6 Monate Vorbereitung
            Wert: Startpunkt, zeigt Designeffektivität

  Type II:  Zeitraum (6-12 Monate) - "Kontrollen FUNKTIONIEREN kontinuierlich"
            Dauer: 12-18 Monate gesamt
            Wert: Nachweis operativer Effektivität - das wollen Kunden!
            → Enterprise-Kunden fordern oft Type II

SOC 2 Prüfungsprozess:
  1. Readiness Assessment (2-3 Monate):
     Gap-Analyse: Wo sind Kontrolllücken?
     Richtlinien erstellen/anpassen
     Controls implementieren (Logging, Access Reviews, Incident Response)

  2. Audit-Vorbereitung:
     Evidence-Sammlung: Logs, Policies, Trainingsaufzeichnungen
     CPA auswählen (AICPA-akkreditiert)
     Observation Period festlegen (für Type II)

  3. Audit-Durchführung:
     Interviews mit Mitarbeitern
     Evidence Review (Ticketsystem, Git-Logs, HR-Records)
     Exception-Testing: stichprobenartig Kontrollen testen

  4. Report-Erstellung:
     Management Assertion
     Auditor's Opinion (Unqualified, Qualified, Adverse)
     Description of Service Organization
     Testing Results

  5. Maintenance (jährlich):
     Jährliche Re-Audit für Type II
     Kontinuierliches Evidence-Sampling empfohlen

Häufige SOC 2 Kontrollen:
  □ Logical Access: MFA für alle Produktions-Systeme
  □ Change Management: Code Review + Approval vor Deployment
  □ Incident Response: dokumentierter Prozess + Tests
  □ Vendor Management: Drittanbieter-Risikobewertung
  □ Availability Monitoring: SLA-Tracking, Alert-Schwellwerte
  □ Encryption: in-transit + at-rest für alle Kundendaten
  □ Background Checks: für Personal mit Produktions-Zugang
  □ Security Training: jährlich für alle Mitarbeiter

SOC 2 Kosten (Schätzwerte 2026):
  Type I Readiness + Audit:   €30.000 - €80.000
  Type II Readiness + Audit:  €60.000 - €150.000
  Jährliche Maintenance:      €20.000 - €50.000
  Compliance-Tools (z.B. Vanta, Drata): €15.000 - €30.000/Jahr

ISO 27017 und ISO 27018

ISO 27017 - Cloud-spezifische Sicherheitskontrollen:
  Ergänzt ISO 27001 um cloud-spezifische Anforderungen
  Adressiert Rollen: Cloud Service Customer (CSC) + Cloud Service Provider (CSP)

  7 Cloud-spezifische Controls (nicht in 27001):
  CLD.6.3.1:  Verantwortungsaufteilung zwischen CSP und CSC (Shared Responsibility!)
  CLD.8.1.5:  Entfernen und Rückgabe von Cloud-Assets
  CLD.9.5.1:  Trennung virtueller Umgebungen (Mandantentrennung!)
  CLD.9.5.2:  Härtung virtueller Maschinen
  CLD.12.1.5: Monitoring von Cloud-Diensten
  CLD.12.4.5: Überwachung und Protokollierung bei Cloud-Diensten
  CLD.13.1.4: Absicherung von Virtualisierungsinfrastruktur

  Mandantentrennung (CLD.9.5.1) - besonders wichtig:
    → Alle Kundendaten logisch isoliert
    → Kein Zugriff zwischen Mandanten (auch beim CSP-Personal begrenzt)
    → Penetrationstest zur Bestätigung der Isolation empfohlen

ISO 27018 - Datenschutz in öffentlichen Cloud-Diensten:
  Fokus: Schutz personenbezogener Daten (PII) in Cloud
  Aufbaut auf ISO 27001 + 27017

  Kernprinzipien:
  1. Einwilligung: Kundendaten nur für vereinbarte Zwecke verarbeiten
  2. Kontrolle: Kunden behalten Kontrolle über ihre Daten
  3. Transparenz: CSP offenbart Sub-Prozessoren und -Standorte
  4. Kommunikation: Datenschutzverletzungen an Kunden melden
  5. Mitarbeiterzugang: minimaler Zugang + Vertraulichkeitsverpflichtungen
  6. Datenübertragung: sichere Löschung bei Vertragsende

  ISO 27018 + DSGVO:
    → ISO 27018 ist kein DSGVO-Zertifikat (kein Art. 42-42 Zertifikat)
    → Aber: demonstriert gute Datenschutzpraktiken
    → AVV (Auftragsverarbeitungsvertrag) zusätzlich nötig
    → Hilft beim DSGVO-Nachweis "geeignete technische Maßnahmen"

Zertifizierungsprozess 27017/27018:
  1. Basis: ISO 27001-Zertifizierung (Voraussetzung)
  2. Extension Audit: Zertifizierungsstelle prüft cloud-spezifische Controls
  3. Single Combined Audit möglich: 27001 + 27017 + 27018 gleichzeitig
  4. Gültigkeitsdauer: 3 Jahre (wie ISO 27001) mit jährlichen Überwachungsaudits

BSI C5 (Deutschland)

C5 (Cloud Computing Compliance Criteria Catalogue):

Entwickelt: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Veröffentlicht: 2016, aktualisiert 2020
Geltungsbereich: Primär Deutschland, zunehmend EU-relevant

C5 Kriteriengruppen (17 Domänen):
  OIS: Organisationsinformation und -sicherheit
  HCM: Personalwesen und Schulung
  AM:  Asset Management
  PM:  Physische Sicherheit
  IDM: Identitäts- und Zugriffsmanagement
  KRY: Kryptographie
  COM: Kommunikationssicherheit
  OPS: Operative IT-Sicherheit
  SIM: Sicherheitsvorfälle
  CO:  Compliance
  SCA: Beschaffung von Cloud-Diensten / Lieferkette
  PS:  Portabilität und Interoperabilität
  CSN: Verfügbarkeit von Cloud-Diensten
  BCM: Ausfallsicherheit / BCM
  PI:  Prüfbarkeit und Transparenz
  SA:  Anwendungssicherheit
  DS:  Datenschutz

C5 Transparenzkriterien (Pflicht für Anbieter):
  → CSP muss "Umgebungsparameter" offenlegen:
    - Cloud-Standorte (Länder, Rechenzentren)
    - Regierungszugriffsrechte
    - Sub-Dienstleister
    - Netz-Infrastruktur
    - Anwendbare Gerichtsbarkeit
  → Transparenz ist explizit - nicht nur Sicherheit!

C5 Attestation (nicht "Zertifikat"):
  → Wirtschaftsprüfer (WP) erstellt Prüfbericht
  → Ähnlich SOC 2: Type I oder Type II
  → BSI akkreditiert Prüfer NICHT direkt - IDW PS 860 Standard für WPs
  → Bericht: öffentlich (Summary) + vertraulich (Detail)

C5 Relevanz:
  → Deutsche Bundesbehörden: BSI verlangt C5-Nachweis bei Cloud-Beschaffung
  → NIS2-Kritische Infrastrukturen: C5 als bevorzugter Nachweis
  → Datenschutz: C5 adressiert explizit Datenlokalisierung (Deutschland/EU)

Mapping C5 ↔ ISO 27001:
  → C5 basiert zu ~80% auf ISO 27001
  → Kombiniertter Audit möglich: ISO 27001 + C5 gleichzeitig
  → Mehraufwand für C5 gegenüber 27001: ~30% (Transparenz + Cloud-Spezifika)

CSA STAR

CSA STAR (Security Trust Assurance and Risk):

CSA Cloud Controls Matrix (CCM) v4.0:
  197 Kontrollen in 17 Domänen:
  AIS: Applikationssicherheit
  BCR: Business Continuity Management
  CCC: Change Control and Configuration
  CEK: Kryptografie, Verschlüsselung, Key Management
  DCS: Datacenter Security
  DSP: Data Security and Privacy Lifecycle
  GRC: Governance, Risk & Compliance
  HRS: Human Resources
  IAM: Identity & Access Management
  IPY: Interoperability and Portability
  IVS: Infrastructure and Virtualisation Security
  LOG: Logging and Monitoring
  SEF: Security Incident Management
  STA: Supply Chain Management
  TVM: Threat and Vulnerability Management
  UEM: Universal Endpoint Management

STAR Level 1 - Self-Assessment (kostenlos):
  → Consensus Assessments Initiative Questionnaire (CAIQ) ausfüllen
  → Öffentlich im CSA STAR Registry sichtbar
  → Keine externe Überprüfung → geringste Glaubwürdigkeit
  → Trotzdem sinnvoll: zeigt Selbstreflexion des Anbieters

STAR Level 2 - Third-Party Assessment:
  SOC 2 + CCM: Wirtschaftsprüfer prüft CCM-Kontrollen zusätzlich zu SOC 2
  ISO 27001 + STAR: Zertifizierungsstelle prüft CCM zusätzlich zu 27001
  → Kombination effizienter als separate Audits

STAR Level 3 - Continuous Monitoring (STAR Continuous):
  → Kontinuierliche Kontrollenüberwachung (nicht jährlich)
  → Tool-basiert: Compliance as Code
  → Noch wenig verbreitet (nur wenige CSPs)

STAR Registry:
  → Öffentliche Datenbank: cloudsecurityalliance.org/star
  → Alle CSPs mit STAR-Status einsehbar
  → Kunden können STAR-Status bei Vendor Assessments prüfen

Cloud Compliance Shared Responsibility

Shared Responsibility Model - Wer ist wofür zuständig?

AWS Shared Responsibility Model:
  AWS verantwortlich ("Security OF the Cloud"):
    → Physische Sicherheit der Rechenzentren
    → Hypervisor-Sicherheit
    → Netzwerk-Infrastruktur
    → Hardware-Wartung und -sicherheit
    → Compliance der zugrundeliegenden Infrastruktur (ISO, SOC 2, C5)

  Kunde verantwortlich ("Security IN the Cloud"):
    → Betriebssystem-Patches (EC2)
    → Anwendungssicherheit
    → Datenverschlüsselung (AWS stellt Tools, Kunde aktiviert!)
    → IAM-Konfiguration (Permissions, MFA)
    → Netzwerk-Konfiguration (Security Groups, NACLs)
    → Monitoring und Logging-Konfiguration

  KRITISCH: AWS hat SOC 2 und ISO 27001 - aber DAS gilt nur für AWS-Infrastruktur!
  → Kunde muss seine eigene Applikation separat zertifizieren lassen

Konsequenz für Compliance:
  "Wir nutzen AWS, die sind ISO 27001 zertifiziert" → NICHT ausreichend!

  Richtig: "Wir nutzen AWS (ISO 27001 für Infrastruktur) und haben
   zusätzlich unser ISMS nach ISO 27001 zertifizieren lassen
   (inkl. ISO 27017/27018 für cloud-spezifische Controls)"

Compliance-Matrix für Multi-Cloud:
  Kontrolle              AWS-Anbieter  Kunde
  Physisch               ✓ AWS         -
  Hypervisor             ✓ AWS         -
  OS (EC2)               -             ✓
  OS (Lambda/ECS)        ✓ AWS         -
  Anwendungscode         -             ✓
  Daten-Klassifizierung  -             ✓
  Verschlüsselung at-r.  Tool: AWS     Konfig: Kunde
  IAM                    Tool: AWS     Konfig: Kunde
  Logging                Tool: AWS     Aktivierung: Kunde
  DSGVO (Daten)          -             ✓ Kunde
  AVV                    AWS signed    ✓ Beide

Compliance-Tooling für Cloud:
  AWS: Security Hub (CIS Benchmark, PCI DSS, HIPAA, FSBP, NIST 800-53)
  Azure: Microsoft Defender for Cloud + Compliance Dashboard
  GCP: Security Command Center + Compliance Reports
  Multi-Cloud: Wiz, Orca, Prisma Cloud (CSPM mit Compliance-Mapping)

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Oskar Braun
Oskar Braun

Abteilungsleiter Information Security Consulting

PGP 16154FF042E7431B

Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.

6 Publikationen
ISO 27001 Lead Auditor (IRCA) ISB (TÜV)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Oskar Braun, Abteilungsleiter Information Security Consulting bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung