C5-Testat: Einheitliche Sicherheitsstandards für Cloud-Services

Am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine aktualisierte Fassung von einem der wichtigsten deutschen Standards für Cloud-Anbieter und Cloud-Nutzer veröffentlicht: Der C5:2026 entwickelt den Kriterienkatalog seines Vorgängers C5:2020 weiter und dient dabei als europaweit anerkannter Standard für die Mindestanforderungen an sichere Cloud-Services. Viele Anbieter nutzen das C5-Testat inzwischen als Qualitätsmerkmal und als Grundlage für transparente Sicherheits- und Compliance-Strukturen. Aber: Gerade in regulierten Branchen wie dem Gesundheitswesen ist das C5-Testat inzwischen keine bloße Best Practice mehr, sondern verbindlich vorgeschrieben. Unser Beitrag zeigt, was hinter dem Standard steckt, welche neuen Anforderungen im C5:2026 dazugekommen sind und wie eine Prüfung konkret abläuft.

Was ist BSI C5?

Der Cloud Computing Compliance Criteria Catalogue (C5) bezeichnet einen Kriterienkatalog, der die Mindestanforderungen für sicheres Cloud Computing festlegt. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik, ist BSI C5 derzeit der am weitesten verbreitete europäische Standard für Cloud-Sicherheit. Er ist für Cloud-Anbieter und Cloud-Nutzer gleichermaßen von Bedeutung: Anbieter, die per C5-Testat nachweisen können, dass sie die Sicherheitsstandards nach C5 erfüllen, schaffen Transparenz und Vertrauen gegenüber ihren Kundinnen und Kunden.

Auch für Unternehmen, die Cloud-Dienste nutzen, bietet das C5-Testat Vorteile: Der Standard ermöglicht eine direkte Vergleichbarkeit der unterschiedlichen Anbieter und hilft, die angebotenen Services mit den eigenen Sicherheits- und Compliance-Vorgaben abzugleichen.

Was ist das C5-Testat?

Mithilfe des C5-Prüfberichts können Cloud-Anbieter nachweisen, dass sie alle anwendbaren, in C5 definierten, Anforderungen an Informationssicherheit erfüllen. Das Testat ist eine Berichterstattung, die in einer festgelegten Form zahlreiche Aspekte aus insgesamt 17 unterschiedlichen Bereichen dokumentiert, darunter die Organisation der Informationssicherheit, die physische Sicherheit und den Umgang mit Sicherheitsvorfällen.

Für Cloud-Anbieter, die regulierte Branchen bedienen, ist das C5-Testat gesetzlich verpflichtend. Für alle anderen ist es in erster Linie ein Qualitätsmerkmal, das zu mehr Compliance und einem strukturierten Risikomanagement bei den Nutzern beitragen kann.

Ingo Köhne, Geschäftsführer IT-Consulting

Wer braucht ein C5-Testat – und wer profitiert noch davon?

Das C5-Testat ist verpflichtend für …

Cloud-Anbieter mit Kundinnen und Kunden in regulierten Branchen, die gesetzlich zur Einhaltung hoher Sicherheitsstandards verpflichtet sind. Zu diesen Branchen zählen:

• öffentlicher Sektor
• Behörden
• Gesundheitswesen (bei Patientendaten in der Cloud)

Auch Cloud-Anbieter, die an öffentlichen Ausschreibungen teilnehmen, können unter Umständen zur C5-Prüfung verpflichtet sein.

Das C5-Testat ist sinnvoll für …

zahlreiche weitere Unternehmen, die ihre Kundinnen und Kunden mit einheitlichen Sicherheitsstandards und Transparenz überzeugen wollen, z. B.

• Anbieter von Saas- und IaaS-Lösungen
• Anbieter von Rechenzentren
• Managed-Services-Anbieter
• Finanzdienstleister

Durch die wachsenden Anforderungen an die IT-Sicherheit ist das C5-Testat aus Kundensicht ein maßgebliches Argument für die Zusammenarbeit – und damit ein wichtiger Wettbewerbsvorteil für Anbieter.

Der BSI C5-Kriterienkatalog: Aufbau und Prüfbereiche

Seit das BSI den C5-Kriterienkatalog erstmals im Jahr 2016 bereitgestellt hat, wurde dieser in der inzwischen dritten Version immer weiterentwickelt. Die Neufassung C5:2026 wird ab Juni 2027 die bisherige Version C5:2020 ablösen. Ziel der Aktualisierung ist, sowohl die technologische Entwicklung der vergangenen Jahre als auch die Erkenntnisse aus den europäischen und nationalen Diskussionen rund um Cloud-Sicherheit in C5 miteinzubeziehen. So hat das BSI unter anderem Erfahrungen von Cloud-Anbietern, Prüfern und Beratern im Rahmen des sogenannten Community Drafts gesammelt und teilweise übernommen. 
Die Kriterien des BSI C5 umfassen drei Kernbereiche, die jeweils auf unterschiedliche Weise eine Rolle in der Cloud-Sicherheit spielen:

1. Organisation und Verwaltung, z. B. Informationssicherheitssysteme, Audits, Dokumentationen und Mitarbeiterschulungen
2. IT-Infrastruktur einschließlich Hardware, Netzwerke, Informationsverarbeitungssysteme und Virtualisierungsumgebung
3. Rechtliche Anforderungen in Bezug auf DSGVO, gesetzliche Meldepflichten und Vertragspflichten

In der neuesten Fassung unterscheidet der C5 Kriterienkatalog in 17 Kontrollbereiche mit insgesamt 168 Kriterien. Die Themengebiete umfassen:

Kontrollbereich	Kriterienanzahl im   C5:2020	Kriterienanzahl im   C5:2026	Veränderung
Organisation der Informationssicherheit (OIS): Verantwortlichkeit und Rollenverteilung	7	10	3
Sicherheitsrichtlinien und Arbeitsanweisungen (SP)	3	3	-
Personal (HR): Sicherheitsmaßnahmen für Mitarbeitende	6	8	2
Asset Management (AM)	6	12	6
Physische Sicherheit (PS): Schutz von Rechenzentren und anderen physischen Infrastrukturen	7	8	1
Regelbetrieb (OPS)	24	35	11
Identitäts- und Berechtigungsmanagement (IDM): Zugriffskontrollen auf Informationen und Systeme	9	9	-
Kryptographie und Schlüsselmanagement (CRY)	4	19	15
Kommunikationssicherheit (COS)  für alle Informationsverarbeitungssysteme innerhalb des Unternehmens	8	8	-
Portabilität und Interoperabilität (PI)	3	3	-
Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)	10	15	5
Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)	5	8	3
Umgang mit Sicherheitsvorfällen (SIM) und Prävention solcher Vorfälle	5	6	1
Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)	4	4	-
Compliance (COM) mit gesetzlichen und vertraglichen Verpflichtungen	4	4	-
Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)	4	4	-
Produktsicherheit (PSS)	12	12	-
Gesamtanzahl:	121	168	47

C5:2026 Was hat sich verändert?

Mit der Aktualisierung des C5-Kritierienkatalogs hat das BSI den bisherigen Status-Quo nochmal deutlich erweitert und diesen an vielen Stellen präzisiert. Von insgesamt 121 Kriterien stieg die Anzahl auf 168 Kriterien in der aktuellen Fassung.

Die Änderungen greifen inhaltlich gänzlich neue Themen wie zum Beispiel Post-Quanten-Kryptographie, Container Management, Confidential Computing oder auch Supply-Chain-Management auf. Das BSI hat sich hierbei sowohl an den Erfahrungen vom Community Draft als auch an anderen internationalen Standards wie dem EU Cloud Certification Scheme (EUCS), der NIS-2 Richtlinie oder der ISO/IEC 27001 orientiert.

Auch strukturell wurde der C5-Kriterienkatalog überarbeitet. Bislang wurden die Kriterien in Basiskriterien und Zusatzkriterien unterteilt:

• Die Basiskriterien beinhalten die grundsätzlichen Sicherheitsanforderungen und müssen erfüllt werden, um das C5-Testat zu erhalten.
• Die Zusatzkriterien dokumentieren weiterführende Maßnahmen zur Informationssicherheit. Sie müssen vor allem für Kunden des Cloud-Anbieters mit einem hohen Schutzbedarf (z. B. aus regulierten Branchen) erfüllt werden.

Im neuen C5:2026 hat das BSI die Zusatzkriterien feiner differenziert. Es unterscheidet nun zwischen sogenannten verschärfenden Zusatzkriterien, die ein Basisunterkriterium durch strengere Anforderungen ersetzen, und ergänzenden Zusatzkriterien, die das jeweilige Basiskriterium um weitere Anforderungen erweitern.

Es lässt sich daher festhalten, dass der Kriterienkatalog sich zwar nicht grundlegend verändert , die Änderungen aber sowohl inhaltlich als auch strukturell bemerkbar sind.

Das BSI hat die Anforderungen vor allem inhaltlich präzisiert, klarer gegliedert und teilweise in mehr Einzelkriterien aufgespalten.

Wie unterscheidet sich C5 von anderen IT-Sicherheitsstandards?

Standard	Beschreibung	Anwendung
IT-Grundschutz	BSI-Regelwerk zur Umsetzung allgemeiner IT-Sicherheitsmaßnahmen in Unternehmen	Unternehmen in Deutschland
BSI C5	Deutscher Standard für Sicherheit im Cloud-Computing	Fokus auf regulierte Branchen und Behörden in Europa
ISO/IEC 27001	Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS)	Alle Unternehmen, die ein ISMS (Informationssicherheitsmanagement-System) nachweisen wollen oder müssen
SOC2	US-amerikanisches Compliance-Framework für Datenspeicherung und -verarbeitung	USA, international tätige Unternehmen

 

Vorteile des C5-Testats für Unternehmen

Widerstandsfähigkeit gegen Cyberrisiken durch ein strukturiertes Sicherheitsmanagement

Stärkung des Vertrauens von Kunden und Partnern durch transparente Darstellung aller Sicherheitsmaßnahmen

Wettbewerbsvorteil bei sicherheitsbewussten Unternehmenskunden und bei der Teilnahme an öffentlichen Ausschreibungen

Europaweite Anerkennung und Vergleichbarkeit durch ein starkes Framework

C5-Prüfung und Testat: Wie läuft die Prüfung ab?

Die C5-Prüfung wird von Wirtschaftsprüferinnen und -prüfern jeweils für einen oder mehrere Cloud-Dienste eines Anbieters durchgeführt. Das C5-Testat gilt daher nicht für den Anbieter im Ganzen, sondern nur für die geprüften Dienste und ggfs. in einer bestimmten Region.

1. Vorbereitung auf C5-Prüfung

Für eine erfolgreiche Prüfung ist es entscheidend, dass Unternehmen sich umfassend fachlich beraten lassen, um die Rahmenbedingungen festzulegen und mögliche Dokumentationslücken frühzeitig zu erkennen. Auch wenn die eigentliche fachliche Bewertung durch die Prüfer erfolgt, sollten Unternehmen im Vorfeld sicherstellen, dass alle prüfungsrelevanten Informationen vollständig und strukturiert vorliegen. Dazu gehört insbesondere:

• Bereitstellung der relevanten Informationen zu Umfang der Leistungen, Regionen und Produkten
• Zusammenstellung aller angewendeten Kriterien (inkl. zusätzlicher Kriterien), auch wenn die finale Bewertung durch den Prüfer erfolgt
• Unterstützung des Prüfers bei der Gap-Analyse, indem aktuelle Sicherheitsmaßnahmen transparent dargestellt werden
• Bereitstellung von Informationen dazu, welche externen Dienstleister in welchem Umfang eingebunden sind
• Projektverantwortliche festlegen – IT-Abteilung oder Compliance?
• Vollständigkeit der IKS-Beschreibung: Gibt es für alle anwendbaren bereits eine angemessene Dokumentation?

Sowohl für die Vorab-Prüfung als auch für die eigentliche C5-Prüfung sollten ausreichend Zeit und qualifizierte interne Ressourcen eingeplant werden.

2. C5-Prüfung Typ 1 und Typ 2

Im Rahmen von C5 können zwei verschiedene Prüfungen durchgeführt werden. Die Angemessenheitsprüfung (Typ 1) und die Wirksamkeitsprüfung (Typ 2) unterscheiden sich dabei in ihrem Umfang und ihrer Aussagekraft. Die Wirksamkeitsprüfung beinhaltet allerdings eine Angemessenheitsprüfung – das heißt, Unternehmen beauftragen die Typ-2-Prüfung in der Regel nur dann, wenn die (langfristige) Wirksamkeit der Präventions- und Sicherheitsmaßnahmen nachgewiesen werden soll.

	Typ 1 Angemessenheitsprüfung	Typ 2 Wirksamkeitsprüfung
Fokus	Überprüfung der Sicherheitsmaßnahmen zu einem bestimmten Zeitpunkt	Überprüfung der operativen Sicherheit über einen längeren Zeitraum, typischerweise 12 Monate
Umfang der Prüfung	Sind die organisatorischen, technischen und rechtlichen Sicherheitsmaßnahmen angemessen und korrekt eingerichtet?	Wurden die organisatorischen, technischen und rechtlichen Sicherheitsmaßnahmen in der Praxis im gesamten Zeitraum korrekt umgesetzt und dokumentiert?
Ergebnis	„Momentaufnahme“, Überblick darüber, ob die erforderlichen Sicherheitsmaßnahmen eingerichtet sind	Bestätigung über ein effektives und nachhaltiges Sicherheitsmanagement im geprüften Zeitraum

 

Warum Möhrle Happ Luther der ideale Partner für Ihre C5-Prüfung ist

Als Partner auf Augenhöhe unterstützen wir Sie mit maßgeschneiderten Lösungen, die Sie und Ihre Bedürfnisse in den Mittelpunkt stellen. Unsere langjährige Erfahrung und ein umfassendes Branchen-Know-how ermöglichen es uns, Ihr Unternehmen ganzheitlich zu betrachten. So können wir Ihnen strategische, langfristig wirkungsvolle Maßnahmen empfehlen und Sie bei deren Umsetzung begleiten.

Hohe Beratungsqualität Wir beraten Sie auf Basis unserer langjährigen fachlichen Erfahrung zuverlässig und ergebnisorientiert.	Maßgeschneiderte Lösungen Standardvorgehen gibt es bei uns nicht – jeder Mandant erhält die Lösung, die zu seinem Unternehmen passt.
Operative Begleitung Unsere Experten unterstützen Sie nicht nur bei der Konzeption Ihrer Lösung, sondern auch bei deren Umsetzung im Unternehmen.	Langfristige Zusammenarbeit Langfristige Zusammenarbeit und feste Ansprechpartner helfen uns, die Anforderungen und Herausforderungen unserer Mandanten noch besser zu verstehen.

Wie lange ist das C5-Testat gültig?

Nachdem der C5-Prüfbericht erstellt wurde, muss Ihr Unternehmen jährlich neu bewertet werden. Dazu werden Audits angesetzt, in denen u. a. geprüft wird, ob die Sicherheitsmaßnahmen weiterhin angemessen sind und ob sie im definierten Geltungsbereich effektiv umgesetzt werden. Anbieter, die mit regulierten Branchen arbeiten, können zudem verpflichtet sein, Dritten die Ergebnisse dieser Audits vorzulegen, um einen Nachweis über die vollständige Compliance zu erbringen.

Fazit: Auseinandersetzung mit C5-Kriterien ist nicht nur für regulierte Branchen relevant

Auch wenn der neue C5-Kriterienkatalog erst ab Juni 2027 zwingend anzuwenden ist, sollten Cloud-Anbieter sich schon jetzt auf die neuen Anforderungen vorbereiten, da für ein Typ 2 C5-Testat schon frühzeitig die richtigen Entscheidungen und Maßnahmen getroffen werden müssen. Für alle Cloud-Anbieter, die noch kein C5-Testat haben, gilt, dass die gesetzliche Verpflichtung für ein C5-Testat zwar nur für einige Cloud-Anbieter bestehen – Tatsache ist aber, dass die regelmäßige und umfassende Auseinandersetzung mit Sicherheitsfragen für jedes Unternehmen relevant ist. Sowohl auf Anbieter- als auch auf Nutzerseite kann C5 dazu beitragen, die eigene IT-Sicherheit gezielt auf den Prüfstand zu stellen und ggf. neue Standards zu etablieren, um resilienter und vertrauenswürdiger zu werden. Unsere Experten begleiten Sie gern auf diesem Weg und beraten Sie kompetent in allen Fragen rund um eine zukunftsfähige IT.