Was ist BSI C5 und warum ist der Standard relevant?

Der BSI Cloud Computing Compliance Criteria Catalogue (C5) ist der etablierte deutsche Sicherheitskriterienkatalog für Cloud-Dienste. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), definiert C5 Sicherheitsanforderungen und Prüfkriterien für Cloud-Dienste in 17 Kontrollbereichen – konzipiert für Cloud-Dienstleister.

C5 hat sich zur zentralen Anforderung für Cloud-Anbieter entwickelt, die den deutschen öffentlichen Sektor bedienen oder seit dem 1. Juli 2024 (§ 393 SGB V, eingeführt durch das Digitalgesetz) auch das Gesundheitswesen – sofern Sozial- oder Gesundheitsdaten verarbeitet werden. Anders als klassische Zertifizierungen – etwa nach ISO 27001 – basiert C5 auf Testaten nach dem ISAE-3000-Prüfungsstandard, nicht auf einer akkreditierten Zertifizierungsstelle.

1. C5-Anforderungen und Prüfungsumfang verstehen

Vor dem Start sollten Sie sich mit der Struktur des C5:2020 vertraut machen. Der Katalog umfasst 17 Kontrollbereiche:

• Organisationssicherheit (OIS)
• Sicherheitsrichtlinien und -anweisungen (SP)
• Personal (HR)
• Asset-Management (AM)
• Physische Sicherheit (PS)
• Betrieb (OPS)
• Identitäts- und Zugriffsmanagement (IDM)
• Kryptografie und Schlüsselmanagement (CRY)
• Kommunikationssicherheit (COS)
• Portabilität und Interoperabilität (PI)
• Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
• Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
• Sicherheitsvorfallmanagement (SIM)
• Business Continuity Management (BCM)
• Compliance (COM)
• Umgang mit Ermittlungsanfragen von Behörden (INQ)
• Produktsicherheit (PSS)

Jeder Bereich enthält spezifische Anforderungen zu Cloud-typischen Themen wie Mandantentrennung, Datenspeicherort, Schnittstellensicherheit und Portabilität. Den offiziellen C5-Kriterienkatalog stellt das BSI kostenfrei bereit.

Definieren Sie den Prüfungsumfang präzise: Welche Cloud-Dienste und Infrastrukturkomponenten sollen erfasst werden – einschließlich eingebundener Unterauftragnehmer? Ein klar abgegrenzter Scope begrenzt den Prüfungsaufwand und die Kosten.

2. Zwischen Typ I- und Typ II-Testat entscheiden

C5 kennt zwei Testatstypen – die Wahl hat weitreichende Konsequenzen:

Typ I-Testat

Bewertet, ob die Sicherheitskontrollen zum Stichtag der Prüfung angemessen konzipiert und implementiert sind – also ob ihr Design geeignet ist, die C5-Anforderungen zu erfüllen. Es handelt sich um eine Momentaufnahme, keine Wirksamkeitsprüfung.

Typ II-Testat

Prüft die Wirksamkeit von Kontrollen über sechs bis zwölf Monate und belegt deren konsistente Funktion. Für viele Organisationen ist das Typ II-Testat Pflicht oder Voraussetzung für den Marktzugang. Im Gesundheitswesen gilt es gemäß § 393 SGB V seit dem 1. Juli 2025; neue IT-Systeme haben eine Übergangsfrist von 18 Monaten (zunächst Typ I, danach Typ II). Im öffentlichen Sektor ist es meist Vergabevoraussetzung. Planung sollte von Anfang an auf Typ II ausgerichtet sein.

3. Gap-Analyse durchführen

Eine Gap-Analyse ermittelt, welche C5-Kriterien durch Ihre vorhandenen Kontrollen, Prozesse und Dokumentation bereits abgedeckt sind – und wo Lücken bestehen, die vor der Prüfung geschlossen werden müssen.

Beziehen Sie interne Stakeholder aus IT, Sicherheit, Compliance, Recht und Betrieb ein. Prüfen Sie vorhandene Richtlinien, technische Kontrollen, Dokumentationen und Nachweise. Wenn Sie bereits über eine ISO-27001-Zertifizierung oder ein SOC-2-Testat verfügen, nutzen Sie diese Grundlage – viele C5-Kriterien überschneiden sich mit diesen Standards und reduzieren den Implementierungsaufwand. Das BSI stellt eine offizielle Kreuzreferenztabelle C5:2020 zu ISO/IEC 27001:2022 zur Verfügung, die als Ausgangspunkt für die Gap-Analyse genutzt werden kann.

Ziehen Sie einen erfahrenen Compliance-Berater hinzu. Externe Expertise deckt blinde Flecken auf, bewertet Ihre Lage im Vergleich zu Branchenstandards und liefert realistische Umsetzungszeitpläne.

4. Maßnahmenplan entwickeln

Erfahrungswert: 2–4 Wochen

Erstellen Sie auf Basis der Gap-Analyse einen priorisierten Aktionsplan: Quick Wins, mittelfristige Projekte und strategische Initiativen. Definieren Sie Verantwortlichkeiten, Fristen und Erfolgskriterien und planen Sie Puffer ein.

Im Gesundheitswesen und bei sensiblen Daten liegt der Fokus besonders auf Mandantentrennung, Verschlüsselung, Incident Response und Business Continuity, da diese Bereiche intensiv geprüft werden.

5. Kontrollen implementieren und Nachweise aufbauen

Erfahrungswert: 3–6 Monate

Diese Phase ist aufwändig und zeitkritisch – hier entsteht das interne Kontrollsystem (IKS), das später geprüft wird. Parallel dazu ist die Systembeschreibung zu erarbeiten – sie beschreibt den Cloud-Dienst, die Kontrollumgebung und den Prüfungsumfang und ist formeller Bestandteil des Testats. Wesentliche Aktivitäten:

• Sicherheitsrichtlinien und Verfahrensanweisungen erstellen oder aktualisieren
• Technische Kontrollen konfigurieren (Firewalls, Verschlüsselung, Zugriffsverwaltung, Logging)
• Incident-Response-Pläne und Business-Continuity-Pläne etablieren
• Security-Awareness-Schulungen für Mitarbeitende durchführen
• Sicherheitsbewertungen für Lieferanten und Unterauftragnehmer einführen
• Alle Prozesse, Kontrollen und Verantwortlichkeiten dokumentieren

Entscheidend: Beginnen Sie frühzeitig mit dem systematischen Aufbau von Nachweisen zur Kontrollausführung. Für Typ II-Testate müssen Sie belegen, dass die Kontrollen über sechs bis zwölf Monate wirksam funktioniert haben. Relevante Nachweise umfassen:

• Access-Review-Protokolle und Genehmigungsnachweise
• Schwachstellenscan-Berichte und Remediierungsnachweise
• Incident-Response-Aufzeichnungen und Post-Mortem-Analysen
• Change-Management-Tickets und Genehmigungsworkflows
• Security-Monitoring-Protokolle und dokumentierte Reaktionen
• Schulungsnachweise
• Lieferantenbewertungsberichte

Beginnen Sie mit dem Aufbau systematischer Nachweisprozesse vom ersten Tag an – rückwirkend lassen sich Nachweise kaum vollständig rekonstruieren.

6. Internes Vorab-Audit durchführen

Erfahrungswert: 1–2 Monate

Vor der Beauftragung des externen Prüfers empfiehlt sich ein internes Audit. Testen Sie Ihre Kontrollen, prüfen Sie Ihre Nachweise und simulieren Sie den externen Prüfungsprozess. Dieser Probelauf deckt Schwächen auf und gibt Ihnen Zeit zur Nachbesserung, bevor die formelle Prüfung beginnt.

Das interne Audit sollte abdecken:

• Vollständigkeit und Qualität der Dokumentation
• Verfügbarkeit und Eignung der Nachweise für jede Kontrolle
• Konsistenz zwischen dokumentierten Richtlinien und gelebter Praxis
• Operative Wirksamkeit der technischen Kontrollen
• Vorbereitung der beteiligten Fachbereiche auf Prüferfragen

Beheben Sie festgestellte Mängel zügig. Ein gründliches internes Vorab-Audit spart erfahrungsgemäß Zeit, Kosten und Aufwand im externen Prüfungsverfahren.

7. Prüfer auswählen und externe Prüfung durchführen

Erfahrungswert: 2–4 Monate

Wählen Sie eine Prüforganisation mit nachgewiesener C5-Expertise und fundiertem Verständnis von Cloud-Architekturen. Wichtig: Das Testat muss durch einen Wirtschaftsprüfer ausgestellt werden. Das BSI ist weder in die Auditorenauswahl eingebunden noch akkreditiert es Prüforganisationen. Die Auswahl eines geeigneten Prüfers liegt vollständig im Verantwortungsbereich des Cloud-Anbieters.

Bewertungskriterien für potenzielle Prüforganisationen:

• C5-spezifische Erfahrung und Anzahl ausgestellter Testate
• Branchenexpertise (SaaS, IaaS, PaaS)
• Verständnis Ihres Technologie-Stacks und Ihrer Cloud-Architektur
• Reaktionsfähigkeit, Kommunikationsstil und kulturelle Kompatibilität
• Konditionen und Flexibilität

Im Rahmen der externen Prüfung wird der Wirtschaftsprüfer:

• Ihre Systembeschreibung und Kontrolldokumentation prüfen
• Vertreter der betroffenen Bereiche (Sicherheit, IT und Betrieb) befragen
• Nachweise zur Kontrollgestaltung und -ausgestaltung (Typ I) bzw. zur operativen Wirksamkeit über den Prüfzeitraum (Typ II) prüfen
• Kontrollen durch Stichproben, Beobachtung und technische Inspektion testen
• Kontrollschwächen oder Lücken identifizieren

Agieren Sie transparent, reaktionsschnell und kooperativ. Eine vollständige, gut strukturierte Dokumentation Ihres internen Kontrollsystems (IKS) erleichtert den Prüfungsprozess erheblich.

8. Testat entgegennehmen

Erfahrungswert: 2–4 Wochen nach Abschluss der Prüfung

Bei erfolgreicher Prüfung stellt der Wirtschaftsprüfer ein formelles C5-Testat aus. Dieses enthält:

• Das Prüfungsurteil des Wirtschaftsprüfers zu Ihren Kontrollen
• Eine Systembeschreibung Ihres Cloud-Dienstes und der Kontrollumgebung
• Zuordnung Ihrer Kontrollen zu den C5-Anforderungen
• Etwaige Feststellungen und Ausnahmen

Ein Typ I-Testat enthält das Prüfungsurteil zur Konzeption und Implementierung der Kontrollen zu einem bestimmten Stichtag. Ein Typ II-Testat umfasst zusätzlich den Prüfzeitraum sowie die Feststellungen zur operativen Wirksamkeit der Kontrollen über den Beobachtungszeitraum.

9. Fortlaufende Compliance sicherstellen

C5-Testate decken einen definierten Prüfzeitraum ab und müssen regelmäßig erneuert werden. Die meisten Anbieter führen die Prüfung jährlich durch, um Kunden und Auftraggebern ein aktuelles Testat vorlegen zu können. Planen Sie fortlaufende Compliance ein durch:

• Die im IKS definierten Nachweisprozesse kontinuierlich aufrechterhalten
• Regelmäßige interne Kontrollprüfungen durchführen
• Regulatorische Veränderungen beobachten (z. B. C5:2025: Community Draft liegt vor, finale Fassung ausstehend, nach aktueller Planung verbindlich für Prüfzeiträume ab 1. Januar 2027)
• Kontrollen an Veränderungen in Diensten, Architektur und Bedrohungslage anpassen
• Jährliche externe Prüfungen einplanen

BSI C5 ist ein dauerhaftes Bekenntnis zu Sicherheit und Qualität. Organisationen, die C5-Anforderungen in ihre Sicherheitskultur und Governance-Strukturen integrieren, reduzieren den Aufwand für Folgeprüfungen erheblich und schaffen nachweisbaren Mehrwert gegenüber Kunden und Auftraggebern.