C5-Testat: Einheitliche Sicherheitsstandards für Cloud-Services

Cloud-Sicherheit gewinnt für Unternehmen aller Branchen zunehmend an Bedeutung – nicht nur für regulierte Bereiche. Mit dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten BSI C5 steht ein europaweit anerkannter Standard zur Verfügung, der Orientierung schafft und klare Anforderungen an sichere Cloud-Services definiert. Viele Anbieter nutzen das C5-Testat inzwischen als Qualitätsmerkmal und als Grundlage für transparente Sicherheits- und Compliance-Strukturen. Für Cloud-Nutzer wiederum bietet C5 eine wertvolle Entscheidungshilfe bei der Auswahl geeigneter Services. Unser Beitrag zeigt, was hinter dem Standard steckt, wie sich C5 weiterentwickelt – und wie eine Prüfung konkret abläuft.

Was ist BSI C5?

Der Cloud Computing Compliance Criteria Catalogue (C5) bezeichnet einen Kriterienkatalog, der die Mindestanforderungen für sicheres Cloud Computing festlegt. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik, ist BSI C5 derzeit der am weitesten verbreitete europäische Standard für Cloud-Sicherheit. Er ist für Cloud-Anbieter und Cloud-Nutzer gleichermaßen von Bedeutung: Anbieter, die per C5-Testat nachweisen können, dass sie die Sicherheitsstandards nach C5 erfüllen, schaffen Transparenz und Vertrauen gegenüber ihren Kundinnen und Kunden.

Auch für Unternehmen, die Cloud-Dienste nutzen, bietet das C5-Testat Vorteile: Der Standard ermöglicht eine direkte Vergleichbarkeit der unterschiedlichen Anbieter und hilft, die angebotenen Services mit den eigenen Sicherheits- und Compliance-Vorgaben abzugleichen.

Neufassung des C5 Ende 2025: C5:2025 ersetzt C5:2020

Das BSI hat den C5-Kriterienkatalog erstmals im Jahr 2016 bereitgestellt und 2019 aktualisiert. Auch im Jahr 2025 wird der Sicherheitsstandard weiterentwickelt: Die Neufassung C5:2025 (Arbeitstitel) wird voraussichtlich Ende des Jahres die bisherige Version C5:2020 ersetzen. Ziel der Aktualisierung ist es, sowohl die technologische Entwicklung der vergangenen Jahre als auch die Erkenntnisse aus der europäischen Diskussion um Cloud-Sicherheit in C5 mit einzubeziehen.

Was ist das C5-Testat?

Mithilfe des C5-Prüfberichts können Cloud-Anbieter nachweisen, dass sie alle anwendbaren, in C5 definierten, Anforderungen an Informationssicherheit erfüllen. Das Testat ist eine Berichterstattung, die in einer festgelegten Form zahlreiche Aspekte aus insgesamt 17 unterschiedlichen Bereichen dokumentiert, darunter die Organisation der Informationssicherheit, die physische Sicherheit und den Umgang mit Sicherheitsvorfällen.

Für Cloud-Anbieter, die regulierte Branchen bedienen, ist das C5-Testat gesetzlich verpflichtend. Für alle anderen ist es in erster Linie ein Qualitätsmerkmal, das zu mehr Compliance und einem strukturierten Risikomanagement bei den Nutzern beitragen kann.

Ingo Köhne, Geschäftsführer IT-Consulting

Wer braucht ein C5-Testat – und wer profitiert noch davon?

Das C5-Testat ist verpflichtend für …

Cloud-Anbieter mit Kundinnen und Kunden in regulierten Branchen, die gesetzlich zur Einhaltung hoher Sicherheitsstandards verpflichtet sind. Zu diesen Branchen zählen:

• öffentlicher Sektor
• Behörden
• Gesundheitswesen (bei Patientendaten in der Cloud)

Auch Cloud-Anbieter, die an öffentlichen Ausschreibungen teilnehmen, können unter Umständen zur C5-Prüfung verpflichtet sein.

Das C5-Testat ist sinnvoll für …

zahlreiche weitere Unternehmen, die ihre Kundinnen und Kunden mit einheitlichen Sicherheitsstandards und Transparenz überzeugen wollen, z. B.

• Anbieter von Saas- und IaaS-Lösungen
• Anbieter von Rechenzentren
• Managed-Services-Anbieter
• Finanzdienstleister

Durch die wachsenden Anforderungen an die IT-Sicherheit ist das C5-Testat aus Kundensicht ein maßgebliches Argument für die Zusammenarbeit – und damit ein wichtiger Wettbewerbsvorteil für Anbieter.

Der BSI C5-Kriterienkatalog: Aufbau und Prüfbereiche

Die Kriterien des BSI C5 umfassen drei Kernbereiche, die jeweils auf unterschiedliche Weise eine Rolle in der Cloud-Sicherheit spielen:

1. Organisation und Verwaltung, z. B. Informationssicherheitssysteme, Audits, Dokumentationen und Mitarbeiterschulungen
2. IT-Infrastruktur einschließlich Hardware, Netzwerke, Informationsverarbeitungssysteme und Virtualisierungsumgebung
3. Rechtliche Anforderungen in Bezug auf DSGVO, gesetzliche Meldepflichten und Vertragspflichten

Innerhalb dieser drei Kernbereiche gibt es in der aktuellen Version (C5:2020) 17 Themengebiete, die ihrerseits 121 prüfbare Kriterien enthalten. Die Themengebiete umfassen unter anderem:

1. Organisation der Informationssicherheit (OIS): Verantwortlichkeit und Rollenverteilung
2. Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3. Personal (HR): Sicherheitsmaßnahmen für Mitarbeitende
4. Asset Management (AM)
5. Physische Sicherheit (PS): Schutz von Rechenzentren und anderen physischen Infrastrukturen
6. Regelbetrieb (OPS)
7. Identitäts- und Berechtigungsmanagement (IDM): Zugriffskontrollen auf Informationen und Systeme
8. Kryptographie und Schlüsselmanagement (CRY)
9. Kommunikationssicherheit (COS) für alle Informationsverarbeitungssysteme innerhalb des Unternehmens
10. Portabilität und Interoperabilität (PI)
11. Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12. Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13. Umgang mit Sicherheitsvorfällen (SIM) und Prävention solcher Vorfälle
14. Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15. Compliance (COM) mit gesetzlichen und vertraglichen Verpflichtungen
16. Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17. Produktsicherheit (PSS)

C5 Basis- und Zusatzkriterien

Die 121 Kriterien sind unterteilt in Basiskriterien und Zusatzkriterien:

• Die Basiskriterien beinhalten die grundsätzlichen Sicherheitsanforderungen und müssen erfüllt werden, um das C5-Testat zu erhalten.
• Die Zusatzkriterien dokumentieren weiterführende Maßnahmen zur Informationssicherheit. Sie müssen nur dann erfüllt werden, wenn ein Cloud-Anbieter z. B. mit Kunden aus regulierten Branchen arbeitet.

Wichtig zu wissen: Der C5-Kriterienkatalog listet nur die prüfbaren Kriterien auf, legt aber keine Maßnahmen fest, mit denen Unternehmen diese erfüllen können.

Wie unterscheidet sich C5 von anderen IT-Sicherheitsstandards?

Standard	Beschreibung	Anwendung
IT-Grundschutz	BSI-Regelwerk zur Umsetzung allgemeiner IT-Sicherheitsmaßnahmen in Unternehmen	Unternehmen in Deutschland
BSI C5	Deutscher Standard für Sicherheit im Cloud-Computing	Fokus auf regulierte Branchen und Behörden in Europa
ISO/IEC 27001	Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS)	Alle Unternehmen, die ein ISMS (Informationssicherheitsmanagement-System) nachweisen wollen oder müssen
SOC2	US-amerikanisches Compliance-Framework für Datenspeicherung und -verarbeitung	USA, international tätige Unternehmen

 

Vorteile des C5-Testats für Unternehmen

Widerstandsfähigkeit gegen Cyberrisiken durch ein strukturiertes Sicherheitsmanagement

Stärkung des Vertrauens von Kunden und Partnern durch transparente Darstellung aller Sicherheitsmaßnahmen

Wettbewerbsvorteil bei sicherheitsbewussten Unternehmenskunden und bei der Teilnahme an öffentlichen Ausschreibungen

Europaweite Anerkennung und Vergleichbarkeit durch ein starkes Framework

C5-Prüfung und Testat: Wie läuft die Prüfung ab?

Die C5-Prüfung wird von Wirtschaftsprüferinnen und -prüfern jeweils für einen oder mehrere Cloud-Dienste eines Anbieters durchgeführt. Das C5-Testat gilt daher nicht für den Anbieter im Ganzen, sondern nur für die geprüften Dienste und ggfs. in einer bestimmten Region.

1. Vorbereitung auf C5-Prüfung

Für eine erfolgreiche Prüfung ist es entscheidend, dass Unternehmen sich umfassend fachlich beraten lassen, um die Rahmenbedingungen festzulegen und mögliche Dokumentationslücken frühzeitig zu erkennen. Auch wenn die eigentliche fachliche Bewertung durch die Prüfer erfolgt, sollten Unternehmen im Vorfeld sicherstellen, dass alle prüfungsrelevanten Informationen vollständig und strukturiert vorliegen. Dazu gehört insbesondere:

• Bereitstellung der relevanten Informationen zu Umfang der Leistungen, Regionen und Produkten
• Zusammenstellung aller angewendeten Kriterien (inkl. zusätzlicher Kriterien), auch wenn die finale Bewertung durch den Prüfer erfolgt
• Unterstützung des Prüfers bei der Gap-Analyse, indem aktuelle Sicherheitsmaßnahmen transparent dargestellt werden
• Bereitstellung von Informationen dazu, welche externen Dienstleister in welchem Umfang eingebunden sind
• Projektverantwortliche festlegen – IT-Abteilung oder Compliance?
• Vollständigkeit der IKS-Beschreibung: Gibt es für alle anwendbaren bereits eine angemessene Dokumentation?

Sowohl für die Vorab-Prüfung als auch für die eigentliche C5-Prüfung sollten ausreichend Zeit und qualifizierte interne Ressourcen eingeplant werden.

2. C5-Prüfung Typ 1 und Typ 2

Im Rahmen von C5 können zwei verschiedene Prüfungen durchgeführt werden. Die Angemessenheitsprüfung (Typ 1) und die Wirksamkeitsprüfung (Typ 2) unterscheiden sich dabei in ihrem Umfang und ihrer Aussagekraft. Die Wirksamkeitsprüfung beinhaltet allerdings eine Angemessenheitsprüfung – das heißt, Unternehmen beauftragen die Typ-2-Prüfung in der Regel nur dann, wenn die (langfristige) Wirksamkeit der Präventions- und Sicherheitsmaßnahmen nachgewiesen werden soll.

	Typ 1 Angemessenheitsprüfung	Typ 2 Wirksamkeitsprüfung
Fokus	Überprüfung der Sicherheitsmaßnahmen zu einem bestimmten Zeitpunkt	Überprüfung der operativen Sicherheit über einen längeren Zeitraum, typischerweise 12 Monate
Umfang der Prüfung	Sind die organisatorischen, technischen und rechtlichen Sicherheitsmaßnahmen angemessen und korrekt eingerichtet?	Wurden die organisatorischen, technischen und rechtlichen Sicherheitsmaßnahmen in der Praxis im gesamten Zeitraum korrekt umgesetzt und dokumentiert?
Ergebnis	„Momentaufnahme“, Überblick darüber, ob die erforderlichen Sicherheitsmaßnahmen eingerichtet sind	Bestätigung über ein effektives und nachhaltiges Sicherheitsmanagement im geprüften Zeitraum

 

Warum Möhrle Happ Luther der ideale Partner für Ihre C5-Prüfung ist

Als Partner auf Augenhöhe unterstützen wir Sie mit maßgeschneiderten Lösungen, die Sie und Ihre Bedürfnisse in den Mittelpunkt stellen. Unsere langjährige Erfahrung und ein umfassendes Branchen-Know-how ermöglichen es uns, Ihr Unternehmen ganzheitlich zu betrachten. So können wir Ihnen strategische, langfristig wirkungsvolle Maßnahmen empfehlen und Sie bei deren Umsetzung begleiten.

Hohe Beratungsqualität Wir beraten Sie auf Basis unserer langjährigen fachlichen Erfahrung zuverlässig und ergebnisorientiert.	Maßgeschneiderte Lösungen Standardvorgehen gibt es bei uns nicht – jeder Mandant erhält die Lösung, die zu seinem Unternehmen passt.
Operative Begleitung Unsere Experten unterstützen Sie nicht nur bei der Konzeption Ihrer Lösung, sondern auch bei deren Umsetzung im Unternehmen.	Langfristige Zusammenarbeit Langfristige Zusammenarbeit und feste Ansprechpartner helfen uns, die Anforderungen und Herausforderungen unserer Mandanten noch besser zu verstehen.

Wie lange ist das C5-Testat gültig?

Nachdem der C5-Prüfbericht erstellt wurde, muss Ihr Unternehmen jährlich neu bewertet werden. Dazu werden Audits angesetzt, in denen u. a. geprüft wird, ob die Sicherheitsmaßnahmen weiterhin angemessen sind und ob sie im definierten Geltungsbereich effektiv umgesetzt werden. Anbieter, die mit regulierten Branchen arbeiten, können zudem verpflichtet sein, Dritten die Ergebnisse dieser Audits vorzulegen, um einen Nachweis über die vollständige Compliance zu erbringen.

Fazit: Auseinandersetzung mit C5-Kriterien ist nicht nur für regulierte Branchen relevant

Die gesetzliche Verpflichtung für ein C5-Testat mag nur für einige Cloud-Anbieter bestehen – Tatsache ist aber, dass die regelmäßige und umfassende Auseinandersetzung mit Sicherheitsfragen für jedes Unternehmen relevant ist. Sowohl auf Anbieter- als auch auf Nutzerseite kann C5 dazu beitragen, die eigene IT-Sicherheit gezielt auf den Prüfstand zu stellen und ggf. neue Standards zu etablieren, um resilienter und vertrauenswürdiger zu werden. Unsere Experten begleiten Sie gern auf diesem Weg und beraten Sie kompetent in allen Fragen rund um eine zukunftsfähige IT.