Cloud Compliance: SOC 2, ISO 27017, ISO 27018, CSA STAR und FedRAMP
Cloud Compliance umfasst die Gesamtheit regulatorischer Anforderungen und Zertifizierungsstandards für Cloud-Dienste: SOC 2 (Trust Service Criteria), ISO 27017 (Cloud-spezifische Sicherheitskontrollen), ISO 27018 (Datenschutz in der Cloud), CSA STAR (Cloud Security Alliance), FedRAMP (US-Bundesbehörden), C5 (BSI) und EUCS (EU Cloud Scheme). Dieser Artikel erklärt Unterschiede, Anforderungen und Zertifizierungsprozesse.
Inhaltsverzeichnis (6 Abschnitte)
Cloud Compliance beantwortet eine zentrale Frage für Unternehmen die Cloud-Dienste nutzen oder anbieten: "Wie weisen wir nach, dass unsere Cloud-Infrastruktur sicher und compliant ist?" Für Cloud-Anbieter ist Compliance ein Vertriebsargument - für Cloud-Nutzer ein Risikomanagement-Instrument. Verschiedene Standards adressieren unterschiedliche Aspekte: technische Sicherheit, Datenschutz, Verfügbarkeit und branchenspezifische Anforderungen.
Überblick: Cloud Compliance-Frameworks
| Standard | Geltungsbereich | Fokus | Zertifizierung |
|---|---|---|---|
| SOC 2 (AICPA) | US-Standard, weltweit anerkannt | Trust Service Criteria | Akkreditierter CPA (Wirtschaftsprüfer) |
| ISO 27001 | International | ISMS | Akkreditierte Zertifizierungsstelle (DAkkS) |
| CSA STAR | Weltweit, cloud-spezifisch | Cloud Security Controls Matrix (CCM v4.0) | Level 1 kostenlos, Level 2 mit Audit |
| BSI C5 | Deutschland/EU | Sicherheitsanforderungen für Cloud-Dienste | Wirtschaftsprüfer (IDW PS 860) |
| EUCS (ENISA) | EU-weit (in Entwicklung, voraussichtlich 2026) | Harmonisiertes Cloud-Sicherheitsniveau | Basic, Substantial, High |
| FedRAMP | USA - US-Bundesbehörden | NIST 800-53 Kontrollen | 2-3 Jahre, mehrere Millionen USD |
Für wen welcher Standard relevant ist: SOC 2 ist für SaaS-Anbieter, MSPs und Cloud-Plattformen mit US-Kunden unerlässlich - Type II ist der Marktstandard. ISO 27001 mit den Erweiterungen 27017 und 27018 ist besonders für den EU/DACH-Markt relevant. BSI C5 ist Pflicht für Cloud-Anbieter, die die öffentliche Hand in Deutschland bedienen. FedRAMP ist relevant für internationale Anbieter mit US-Regierungskunden.
SOC 2 im Detail
SOC 2 (Service Organization Control 2) ist der wichtigste US-Cloud-Standard und weltweit anerkannt.
Trust Service Criteria (TSC):
Security (CC-Domäne) ist Pflicht für alle SOC 2 und umfasst Logical and Physical Access Controls (CC6), System Operations (CC7), Change Management (CC8) und Risk Mitigation (CC9).
Optionale Kriterien sind Availability (Uptime-Anforderungen, SLA-Monitoring, DR/BCM), Processing Integrity (vollständige und korrekte Verarbeitung, relevant für Zahlungsdienstleister), Confidentiality (Schutz vertraulicher Informationen, Klassifizierung, Verschlüsselung) und Privacy (Behandlung personenbezogener Daten, relevant wenn Kundendaten verarbeitet werden).
Type I vs. Type II:
SOC 2 Type I ist stichtagsbezogen und belegt, dass Kontrollen an einem bestimmten Datum vorhanden waren. Die Vorbereitung dauert 3-6 Monate und zeigt die Designeffektivität - ein sinnvoller Startpunkt.
SOC 2 Type II prüft einen Zeitraum von 6-12 Monaten und belegt, dass Kontrollen kontinuierlich funktionieren. Der Gesamtaufwand beträgt 12-18 Monate. Enterprise-Kunden fordern häufig Type II als Nachweis operativer Effektivität.
Prüfungsprozess: Readiness Assessment mit Gap-Analyse (2-3 Monate), Audit-Vorbereitung mit Evidence-Sammlung und CPA-Auswahl, Audit-Durchführung durch Interviews und Evidence Review (Ticketsystem, Git-Logs, HR-Records), Report-Erstellung mit Management Assertion und Auditor's Opinion sowie jährliche Re-Audit für Type II.
Häufige SOC 2 Kontrollen: MFA für alle Produktionssysteme, Code Review und Approval vor Deployment, dokumentierter Incident-Response-Prozess mit Tests, Drittanbieter-Risikobewertung, SLA-Tracking mit Alert-Schwellwerten, Verschlüsselung in-transit und at-rest für alle Kundendaten, Background Checks für Personal mit Produktionszugang sowie jährliches Security Training.
Kosten (Schätzwerte 2026): Type I Readiness + Audit 30.000-80.000 Euro, Type II Readiness + Audit 60.000-150.000 Euro, jährliche Maintenance 20.000-50.000 Euro, Compliance-Tools wie Vanta oder Drata 15.000-30.000 Euro pro Jahr.
ISO 27017 und ISO 27018
ISO 27017 - Cloud-spezifische Sicherheitskontrollen ergänzt ISO 27001 um cloud-spezifische Anforderungen und adressiert die Rollen Cloud Service Customer (CSC) und Cloud Service Provider (CSP). Sieben Controls gehen über ISO 27001 hinaus, darunter die Verantwortungsaufteilung zwischen CSP und CSC (CLD.6.3.1), die Trennung virtueller Umgebungen (Mandantentrennung, CLD.9.5.1) und die Härtung virtueller Maschinen (CLD.9.5.2). Für die Mandantentrennung wird ein Penetrationstest zur Bestätigung der Isolation empfohlen.
ISO 27018 - Datenschutz in öffentlichen Cloud-Diensten schützt personenbezogene Daten (PII) in der Cloud. Kernprinzipien sind Einwilligung (Kundendaten nur für vereinbarte Zwecke), Kontrolle (Kunden behalten Datenkontrolle), Transparenz (CSP offenbart Sub-Prozessoren und Standorte), Kommunikation (Datenschutzverletzungen an Kunden melden), minimaler Mitarbeiterzugang mit Vertraulichkeitsverpflichtungen sowie sichere Löschung bei Vertragsende.
ISO 27018 ist kein DSGVO-Zertifikat - ein Auftragsverarbeitungsvertrag (AVV) ist zusätzlich erforderlich. Die Norm demonstriert aber gute Datenschutzpraktiken und hilft beim DSGVO-Nachweis "geeignete technische Maßnahmen".
Zertifizierungsprozess: ISO 27001-Zertifizierung als Voraussetzung, Extension Audit durch Zertifizierungsstelle für cloud-spezifische Controls. Ein kombinierter Audit für ISO 27001, 27017 und 27018 ist möglich und effizienter als separate Audits. Gültigkeitsdauer: 3 Jahre mit jährlichen Überwachungsaudits.
BSI C5 (Deutschland)
Das C5 (Cloud Computing Compliance Criteria Catalogue) wurde 2016 vom BSI entwickelt und 2020 aktualisiert. Es gilt primär in Deutschland und gewinnt zunehmend europäische Relevanz.
17 Kriteriengruppen: Organisationsinformation und -sicherheit (OIS), Personalwesen und Schulung (HCM), Asset Management (AM), Physische Sicherheit (PM), Identitäts- und Zugriffsmanagement (IDM), Kryptographie (KRY), Kommunikationssicherheit (COM), Operative IT-Sicherheit (OPS), Sicherheitsvorfälle (SIM), Compliance (CO), Beschaffung von Cloud-Diensten und Lieferkette (SCA), Portabilität und Interoperabilität (PS), Verfügbarkeit (CSN), Ausfallsicherheit und BCM (BCM), Prüfbarkeit und Transparenz (PI), Anwendungssicherheit (SA) und Datenschutz (DS).
C5 Transparenzkriterien sind eine Besonderheit: der CSP muss Cloud-Standorte (Länder, Rechenzentren), Regierungszugriffsrechte, Sub-Dienstleister, Netzinfrastruktur und anwendbare Gerichtsbarkeit offenlegen.
C5 attestiert Wirtschaftsprüfer nach IDW PS 860 - es gibt kein BSI-Zertifikat im klassischen Sinne, sondern einen Prüfbericht (Type I oder Type II, öffentliche Summary und vertrauliche Details). C5 basiert zu ca. 80 % auf ISO 27001; ein kombinierter Audit ist möglich mit etwa 30 % Mehraufwand gegenüber einem reinen ISO-27001-Audit.
CSA STAR
Die Cloud Controls Matrix (CCM) v4.0 der Cloud Security Alliance umfasst 197 Kontrollen in 17 Domänen: Applikationssicherheit (AIS), Business Continuity Management (BCR), Change Control and Configuration (CCC), Kryptografie und Key Management (CEK), Datacenter Security (DCS), Data Security und Privacy Lifecycle (DSP), Governance Risk & Compliance (GRC), Human Resources (HRS), Identity & Access Management (IAM), Interoperability and Portability (IPY), Infrastructure and Virtualisation Security (IVS), Logging and Monitoring (LOG), Security Incident Management (SEF), Supply Chain Management (STA), Threat and Vulnerability Management (TVM) und Universal Endpoint Management (UEM).
STAR Level 1 (Self-Assessment, kostenlos): Consensus Assessments Initiative Questionnaire (CAIQ) ausfüllen, öffentlich im CSA STAR Registry sichtbar, keine externe Überprüfung - aber zeigt Selbstreflexion des Anbieters.
STAR Level 2 (Third-Party Assessment): Kombination von SOC 2 + CCM oder ISO 27001 + STAR. Die Kombination ist effizienter als separate Audits und erhöht die Glaubwürdigkeit erheblich.
STAR Level 3 (Continuous Monitoring): Tool-basierte kontinuierliche Kontrollenüberwachung (Compliance as Code). Noch wenig verbreitet.
Cloud Compliance Shared Responsibility
Ein zentrales Missverständnis: "Wir nutzen AWS, die sind ISO 27001 zertifiziert" ist nicht ausreichend. AWS hat SOC 2 und ISO 27001 - aber das gilt nur für die AWS-Infrastruktur.
| Kontrolle | Cloud-Anbieter | Kunde |
|---|---|---|
| Physische Sicherheit | Anbieter | - |
| Hypervisor | Anbieter | - |
| Betriebssystem (EC2) | - | Kunde |
| Betriebssystem (Lambda/ECS) | Anbieter | - |
| Anwendungscode | - | Kunde |
| Datenverschlüsselung at-rest | Tool: Anbieter | Konfiguration: Kunde |
| IAM | Tool: Anbieter | Konfiguration: Kunde |
| Logging | Tool: Anbieter | Aktivierung: Kunde |
| DSGVO (Daten) | - | Kunde |
| AVV | Anbieter signiert | Beide |
Die richtige Formulierung lautet: "Wir nutzen AWS (ISO 27001 für Infrastruktur) und haben zusätzlich unser eigenes ISMS nach ISO 27001 zertifizieren lassen (inkl. ISO 27017/27018 für cloud-spezifische Controls)."
Compliance-Tooling für Cloud: AWS Security Hub prüft automatisch CIS Benchmark, PCI DSS und NIST 800-53. Azure Defender for Cloud bietet ein Compliance Dashboard. GCP Security Command Center erstellt Compliance Reports. Multi-Cloud-Lösungen wie Wiz, Orca oder Prisma Cloud bieten CSPM mit automatischem Compliance-Mapping.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
3 Publikationen
- Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
