BSI C5: Was der Kriterienkatalog für Cloud-Compliance verlangt
Der BSI C5 ist der deutsche De-facto-Standard für Cloud-Compliance. Dieser Artikel beschreibt Aufbau, Kriterienstruktur, das Verhältnis zu ISO/IEC 27001:2022 und wie CIVAC den Mappingaufwand zwischen ISMS, C5 und Auftraggeberanforderungen halbiert.
Der BSI Cloud Computing Compliance Criteria Catalogue, kurz BSI C5, wurde vom Bundesamt für Sicherheit in der Informationstechnik 2016 erstmals veröffentlicht und 2020 in den aktuell maßgeblichen Stand C5:2020 überführt. Mit der zunehmenden Cloud-Migration der öffentlichen Verwaltung, der KRITIS-Betreiber und der Finanzaufsicht hat er sich vom freiwilligen Maßstab zum De-facto-Pflichtenheft entwickelt. Bundesbehörden, Sozialversicherungsträger und zunehmend auch private Großkunden verlangen in Ausschreibungen ein C5-Testat des Cloud-Anbieters, oft in der Variante Typ 2 mit operativer Wirksamkeitsprüfung über einen Zeitraum von mindestens sechs Monaten.
Dieser Artikel beschreibt den Aufbau des Katalogs (Basis- und Zusatzkriterien), das Verhältnis zu ISO/IEC 27001:2022 mit ihren 93 Controls, den Unterschied zwischen Typ-1- und Typ-2-Testat sowie die Mappingaufwände, die in der Praxis zwischen Cloud-Anbieter, Kunde und Wirtschaftsprüfer entstehen. Sie erfahren außerdem, wie die CIVAC-Compliance-Plattform und Officer-as-a-Service-Konstellation als ISMS-Backbone den Aufwand für die Bereitstellung von Cloud-Nachweisen senkt, indem ISO 27001-Controls, C5-Kriterien und kundenseitige Auditpflichten in einer einzigen versionierten Berichtslinie geführt werden. Mit dieser Struktur sinken die Folgekosten ab dem zweiten Testat erheblich, weil bestehende Evidenz weiterverwendet wird und nicht jedes Jahr neu erhoben werden muss. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im Hintergrund laufen 490 Audit-Vorlagen, EU-Datenresidenz und der CIVAC-SLA von zwei Werktagen statt zwei bis sechs Wochen klassisch. Der Prüfer ruft an, der Nachweis liegt bereit.
Auf einen Blick
- C5 ist kein Gesetz, aber für Bundesbehörden, KRITIS-Betreiber und Sozialversicherungsträger faktisch verpflichtend in Cloud-Ausschreibungen.
- Ein C5-Testat erfolgt nach ISAE 3000/3402-Logik durch einen Wirtschaftsprüfer; Typ 2 deckt operative Wirksamkeit über mindestens sechs Monate ab.
- C5 und ISO/IEC 27001:2022 überlappen sich zu rund 70 bis 80 Prozent, der Rest sind C5-Zusatzkriterien zu Transparenz und Datenhoheit.
Was der BSI C5 regelt und für wen er gilt
Der BSI C5 richtet sich an Anbieter von Cloud-Services und ihre Kunden. Er konkretisiert Anforderungen an Informationssicherheit für IaaS-, PaaS- und SaaS-Bereitstellungen und ist methodisch an ISAE 3000 und ISAE 3402 angelehnt, sodass ein Cloud-Anbieter ein Prüfungsergebnis (Testat) eines Wirtschaftsprüfers vorlegt, das Aufbau und Wirksamkeit der Kontrollen über einen definierten Zeitraum bewertet. Damit unterscheidet sich C5 strukturell von einer ISO 27001-Zertifizierung, die eine Systemzertifizierung durch eine akkreditierte Zertifizierungsstelle ist.
Adressaten in der öffentlichen Verwaltung sind insbesondere Bundes- und Landesbehörden, die das Onlinezugangsgesetz oder die EVB-IT Cloud heranziehen. Im KRITIS-Umfeld verlangen die Aufsichten in Energie, Wasser, Gesundheit, Finanzen und Telekommunikation regelmäßig ein C5-Testat als Nachweis der nach BSI-Gesetz § 8a geforderten technischen und organisatorischen Maßnahmen. Auch die BaFin-Rundschreiben zu Auslagerung (BAIT, KAIT, VAIT, ZAIT) verweisen mittelbar auf Cloud-spezifische Prüfungen, für die C5 als Nachweisform akzeptiert wird.
Für den Cloud-Kunden ist C5 ein Beweismittel im Rahmen der eigenen Lieferantenüberwachung. Wer Cloud-Services in den Geltungsbereich des eigenen ISMS oder einer NIS-2-Pflicht aufnimmt, muss die Kontrollumgebung des Anbieters belegen können. Das C5-Testat ist ein anerkannter Baustein dieses Nachweises. CIVAC führt die Rolle des Informationssicherheitsbeauftragten als zentrale Schnittstelle für solche Lieferanten-Audits und legt Testate strukturiert in der Berichtslinie ab. Audit-fest, dokumentiert, § 8a-fest. Hinzu kommt: Der C5 schafft Vergleichbarkeit zwischen Anbietern. Wer ohne Testat arbeitet, muss jede individuelle Auditfrage des Kunden einzeln beantworten, was bei großen Kunden mehrere hundert Fragen umfassen kann und ohne strukturierte Berichtslinie nicht in vertretbarer Zeit zu leisten ist. Genau diese Effizienzwirkung macht den C5 für Anbieter und Kunden gleichermaßen wertvoll.
Aufbau des Kriterienkatalogs: Basis-, Zusatz- und Umgebungskriterien
Der C5:2020-Katalog enthält über 120 Anforderungen, die in 17 Themenbereiche gegliedert sind. Themenbereiche reichen von Organisation der Informationssicherheit über Personalmanagement, Asset-Management, physische Sicherheit, Betrieb, Beschaffung, Entwicklung und Wartung, Sicherheitsvorfallmanagement, Business Continuity bis hin zu Datenschutz, Mobile Computing und Übergreifenden Aspekten. Jeder Themenbereich umfasst Basiskriterien und teilweise Zusatzkriterien, die einen erhöhten Schutzbedarf adressieren.
Die Basiskriterien bilden den Mindeststandard. Sie sind in einem Testat zwingend zu adressieren und decken die typischen Themen ab, die auch in ISO/IEC 27001:2022 enthalten sind (Zugriffskontrolle, Verschlüsselung, Backup, Vorfallmanagement, Lieferantenmanagement). Die Zusatzkriterien gehen darüber hinaus und adressieren Themen, die spezifisch für hochsensible Daten oder besonders kritische Anwendungen relevant sind. Sie sind optional, aber in öffentlichen Ausschreibungen häufig verlangt.
Eine Besonderheit des C5 sind die Umgebungsparameter (Komplementär-Anforderungen an den Cloud-Kunden). C5 anerkennt, dass Informationssicherheit in der Cloud nur funktioniert, wenn auch der Kunde bestimmte Verantwortlichkeiten übernimmt (etwa Identity- und Access-Management auf Mandantenebene, Patchen eigener Anwendungen, Schlüsselmanagement). Der Anbieter ist verpflichtet, diese Komplementärpflichten transparent zu beschreiben, der Kunde ist verpflichtet, sie wahrzunehmen und intern nachzuweisen. CIVAC bildet diese geteilte Verantwortung über strukturierte Vorlagen ab. Die 490 Audit-Vorlagen enthalten dafür ein eigenes C5-Mapping. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Jede Komplementär-Anforderung ist auf eine konkrete Maßnahme im Workspace verlinkt, mit Verantwortlichem, Fälligkeit und Evidenzfeld, sodass beim nächsten Lieferanten-Audit der Kunde nicht mit Verweisen auf den Anbieter argumentiert, sondern eigene Nachweise vorlegt. Audit-fest, dokumentiert, § 8a-fest. Die Vorlagen sind als deutsche und englische Fassung verfügbar und bilden die Mandantenkonfiguration sowie die Mandantentrennung explizit ab.
Verhältnis zu ISO/IEC 27001:2022: Überlappung und Lücken
Wer bereits ein zertifiziertes ISMS nach ISO/IEC 27001:2022 betreibt, hat einen Großteil der Vorarbeit für ein C5-Testat geleistet. Die 93 Controls der ISO 27001:2022 (in den vier Domänen Organizational, People, Physical, Technological) decken zwischen 70 und 80 Prozent der C5-Kriterien ab. Themenbereiche wie Asset-Management, Zugriffssteuerung, Kryptographie, physische Sicherheit, Betriebssicherheit und Beziehungen zu Lieferanten sind nahezu deckungsgleich.
Die typischen Lücken liegen erstens in der Transparenzpflicht. Der C5 verlangt detaillierte Informationen zum Cloud-Service, zur Subverarbeitung, zur Datenresidenz und zum Investigationsverhalten im Krisenfall, die ISO 27001 in dieser Form nicht ausdrücklich fordert. Zweitens bei der Datenhoheit und Souveränität: C5 enthält spezifische Anforderungen an die Reaktion auf Anordnungen ausländischer Behörden (US CLOUD Act, FISA 702), die ISO 27001 dem ISMS überlässt. Drittens beim Investigation Support: Die Pflicht zur Unterstützung von forensischen Untersuchungen ist in C5 explizit verankert.
Wer ISO 27001:2022 betreibt und C5 anstrebt, sollte daher gezielt diese drei Lückenbereiche schließen, statt das ISMS neu aufzusetzen. Die ISO 27001:2022 Übergangsperiode ist im Oktober 2025 abgelaufen, sodass Unternehmen, die jetzt C5 angehen, in der Regel bereits auf der neuen Norm sind. CIVAC führt eine Cross-Reference-Tabelle zwischen den 93 ISO-Controls, den C5-Basiskriterien, den C5-Zusatzkriterien und kundenseitigen Auditfragebögen, sodass jede Maßnahme nur einmal dokumentiert und mehrfach referenziert wird. Der Prüfer ruft an, der Nachweis liegt bereit. Die Cross-Reference berücksichtigt zusätzlich häufige kundenseitige Auditbögen (VSA, CAIQ, eigene Konzernbögen großer Auftraggeber), sodass Antworten nicht jedesmal manuell zusammengestellt werden, sondern aus einer Quelle stammen und in konsistenter Formulierung ausgegeben werden.
Testat Typ 1 und Typ 2: Was der Prüfer wirklich macht
Ein C5-Testat wird nicht vom BSI selbst ausgestellt, sondern von einem Wirtschaftsprüfer oder einer Wirtschaftsprüfungsgesellschaft nach den Standards des Instituts der Wirtschaftsprüfer (IDW PS 860 und IDW PH 9.860.2). Methodisch lehnt sich das Verfahren an ISAE 3000 und ISAE 3402 an. Der Prüfer dokumentiert sein Ergebnis in einem strukturierten Bericht mit fünf Abschnitten: Beschreibung des Cloud-Anbieters, Beschreibung der Kontrollumgebung, Beurteilung der Aufbauwirksamkeit, gegebenenfalls Beurteilung der operativen Wirksamkeit und Anlagen.
Beim Typ-1-Testat bestätigt der Prüfer die Aufbauwirksamkeit der Kontrollen zu einem Stichtag. Das ist methodisch der erste Schritt nach Einführung neuer Kontrollen. Beim Typ-2-Testat prüft der Wirtschaftsprüfer zusätzlich die operative Wirksamkeit über einen Zeitraum von mindestens sechs Monaten. In der Praxis verlangen anspruchsvolle öffentliche und private Auftraggeber das Typ-2-Testat, weil nur dieses eine Aussage über die tatsächliche Funktion der Kontrollen über die Zeit erlaubt.
Für den Cloud-Anbieter bedeutet das: Vorlauf zum ersten Typ-2-Testat sind regelmäßig 12 bis 18 Monate, davon sechs Monate Wirksamkeitsfenster, drei bis sechs Monate Vorbereitung und drei bis sechs Monate Prüfung. Für den Cloud-Kunden bedeutet es, dass die Anforderung Typ 2 im Verhandlungsblatt ausdrücklich erscheinen muss, weil ein Typ-1-Testat nur einen Punkt-in-der-Zeit-Nachweis liefert. CIVAC bündelt für den Cloud-Anbieter alle prüfungsrelevanten Nachweise (Richtlinien, Schulungen, Vorfälle, Reviews) in der Berichtslinie. Bestellurkunde, unterschrieben, abgelegt, belegbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Frist läuft ab Kenntnis: Sobald ein Auftraggeber das Testat anfragt, muss der Anbieter die aktuelle Version, die Lessons Learned des Vorjahres und die geplanten Maßnahmen für das Folgejahr ohne Verzögerung übergeben können.
C5 im Verhältnis zu NIS-2, DORA und KRITIS
Der C5 entfaltet seine größte Wirkung im Zusammenspiel mit weiteren Regulierungen. Im Anwendungsbereich von NIS-2 (umgesetzt in Deutschland durch das NIS2UmsuCG) müssen rund 29.500 betroffene Unternehmen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen umsetzen, einschließlich Sicherheit in der Lieferkette nach Art. 21 Abs. 2 lit. d. C5-Testate eines Cloud-Anbieters sind ein anerkannter Baustein dieses Nachweises, weil sie die Kontrollen im Cloud-Bereich strukturiert dokumentieren.
Für Finanzdienstleister gilt seit dem 17. Januar 2025 zusätzlich der Digital Operational Resilience Act (DORA, Verordnung (EU) 2022/2554). DORA verlangt Verträge mit ICT-Drittparteien mit umfangreichen Mindestklauseln, ein Register aller ICT-Drittparteien-Vereinbarungen und eine Risikobewertung kritischer Drittparteien. C5-Testate eines Cloud-Anbieters helfen, die nach DORA Art. 28 ff. geforderten Sorgfaltspflichten zu dokumentieren, ohne dass jeder Finanzdienstleister einzeln eine Vor-Ort-Prüfung beim Cloud-Anbieter durchführen müsste.
Im KRITIS-Bereich verlangt § 8a BSI-Gesetz die Umsetzung des Stands der Technik. Cloud-Anbieter, die als KRITIS-Dienstleister auftreten oder von KRITIS-Betreibern eingesetzt werden, weisen den Stand der Technik regelmäßig über das C5-Testat nach. Auch das BSIG enthält Sanktionsmöglichkeiten bei Verstößen, die in Kombination mit NIS-2 nach NIS2UmsuCG-Entwurf bis 10 Mio. Euro oder 2 Prozent des Konzernumsatzes bei wesentlichen Einrichtungen reichen. CIVAC mappt die Nachweise zwischen C5, NIS-2, DORA und KRITIS in einer einzigen NIS-2-konformen Berichtslinie und reduziert damit Mehrfacherhebungen für dieselbe Information. Wer mehrere Aufsichtsregime gleichzeitig adressiert, spart durch das Mapping einen signifikanten Teil des Folgeaufwands, weil der Wirtschaftsprüfer auf bestehende Evidenz zurückgreifen kann und nicht für jedes Regime eine eigene Erhebung anstoßen muss. Das gilt insbesondere für die DORA-Drittparteienregister.
Typische Schwächen in C5-Audits und wie sie entstehen
Aus der Praxis der C5-Erstprüfungen lassen sich wiederkehrende Schwächen ableiten. Schwäche eins: Die Kontrollumgebung wird beschrieben, aber nicht belegt. Der Prüfer findet einen Prozess in der Richtlinie, sieht aber keine durchgängige Evidenz, dass der Prozess gelebt wird. Die Folge sind Findings, die den Übergang von Typ 1 zu Typ 2 verzögern. Schwäche zwei: Die Komplementär-Anforderungen an den Kunden sind unklar formuliert oder fehlen ganz. Der Kunde versteht nicht, was er selbst tun muss, der Anbieter argumentiert mit dem fehlenden Beitrag des Kunden.
Schwäche drei: Subverarbeiter und Subsubverarbeiter sind nicht durchgängig dokumentiert. C5 verlangt eine Beschreibung der Subverarbeitungskette, die in der Praxis bei großen Hyperscalern viele Schichten umfasst. Ohne saubere Dokumentation entstehen Findings, die das Testat nicht uneingeschränkt machen. Schwäche vier: Investigations-Support und Behördenanfragen sind weder in den Standardprozessen noch in den Vertragsmustern abgebildet. C5 fordert hier ausdrückliche Regelungen zu Reaktionszeit, Eskalationsweg und Transparenzbericht.
Schwäche fünf: Die Schulungslage ist nicht nach Rollen differenziert. Wer Sicherheitsvorfälle bearbeitet, braucht andere Inhalte als wer Identity-Anbietung verantwortet. Ohne rollenbezogene Schulung ist die operative Wirksamkeit nicht plausibel. Schwäche sechs: Audit-Findings aus früheren Prüfungen wurden nicht systematisch geschlossen oder als Risiko akzeptiert ohne dokumentierte Genehmigung. CIVAC adressiert alle sechs Schwächen über die Berichtslinie mit Pflichtfeldern für Evidenz, Verantwortlicher, Frist und Status, gekoppelt an die Bestellurkunde des ISB und an die Lieferanten-Auditor-Rolle. Audit-fest, dokumentiert, § 8a-fest. Findings aus Vorprüfungen werden automatisch als Wiedervorlage geführt, damit der Anbieter im Folgejahr nicht denselben Punkt erneut adressieren muss, sondern gezielt die noch offene Restmaßnahme dokumentieren kann.
C5 für Cloud-Kunden: Wie Sie Testate sinnvoll nutzen
Wer C5-Testate als Cloud-Kunde anfordert, sollte sich von der bloßen Existenz des Dokuments nicht beruhigen lassen. Das Testat ist eine notwendige, aber keine hinreichende Bedingung. In der Praxis sind drei Schritte erforderlich. Erstens: Lesen Sie den Testatabschnitt zur Kontrollumgebung und Beschreibung des Systems. Hier wird festgelegt, welche Services und welche Regionen vom Testat abgedeckt sind. Häufig liegt der genutzte Service außerhalb des Geltungsbereichs.
Zweitens: Prüfen Sie die Komplementär-Anforderungen. Dort steht, was Sie als Kunde tun müssen, damit die Kontrollen des Anbieters wirken. Wer diese Liste nicht in das eigene ISMS überträgt, hat den Vorteil des Testats nicht im eigenen Audit-Bestand. Konkrete Beispiele sind Multi-Faktor-Authentifizierung der Administratoren, Patch-Management der eigenen Anwendungen, Verschlüsselung mit kundengehaltenen Schlüsseln und konfigurationsgesteuerte Mandantentrennung.
Drittens: Lesen Sie die Findings im Testat. Auch ein Typ-2-Testat enthält in der Regel Beanstandungen, die als unwesentliche oder wesentliche Findings ausgewiesen sind. Wesentliche Findings haben oft konkrete Auswirkungen auf den Kunden und müssen in der eigenen Risikoanalyse berücksichtigt werden. CIVAC stellt für Cloud-Kunden eine Checkliste in den Audit-Vorlagen bereit, die jedes neue Testat in 30 bis 60 Minuten strukturiert auswertet und in die eigene Berichtslinie überführt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. CIVAC-SLA: zwei Werktage statt zwei bis sechs Wochen klassisch. Bei Multi-Cloud-Strategien werden Testate verschiedener Anbieter in einer gemeinsamen Bewertungsmatrix gegenübergestellt, sodass operativ vergleichbare Aussagen für Vorstand und Aufsichtsrat möglich sind und Konzentrationsrisiken nach DORA Art. 29 sichtbar werden, bevor sie zum aufsichtlichen Befund werden.
Aufwand, Kosten und realistische Benchmarks
Was kostet ein C5-Testat? Die Bandbreite ist groß, weil sie vom Umfang der Cloud-Services, der Anzahl der Regionen, der Komplexität der Kontrollen und vom prüfenden Wirtschaftsprüfer abhängt. Für einen mittelgroßen SaaS-Anbieter mit einem klar abgegrenzten Service liegen die externen Prüfungskosten typischerweise zwischen 60.000 und 180.000 Euro für ein Typ-2-Testat. Die internen Aufwände in den Bereichen Information Security, Recht, IT-Betrieb und Compliance liegen erfahrungsgemäß bei rund dem Doppelten der externen Kosten im ersten Jahr.
Für ein Folgetestat sinken die externen Kosten in der Regel um 20 bis 40 Prozent, weil Beschreibungen, Mappings und Evidenzen wiederverwendbar sind. Voraussetzung ist eine saubere Versionierung. Wer im ersten Jahr eine Insellösung pro Kriterium baut, zahlt im zweiten Jahr fast wieder den vollen Preis. Wer eine integrierte ISMS-Plattform betreibt, in der C5-Mapping, ISO 27001-Controls, Vorfälle, Schulungen und Lieferanten in einer Datenstruktur liegen, halbiert die Folgekosten.
CIVAC stellt diese integrierte Plattform bereit. Im Workspace-Modell fließen alle Nachweise in eine einzige Berichtslinie, mit Vorlagen für die Beschreibung der Kontrollumgebung, für Komplementär-Anforderungen und für das Mapping zwischen 93 ISO-Controls und C5-Kriterien. Im Officer-as-a-Service-Modell wird zusätzlich die Bestellung des externen ISB übernommen und im Testat ausgewiesen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. EU-Datenresidenz, 490 Audit-Vorlagen, versionierte Berichtslinie sind inbegriffen. Der Workspace skaliert von einem einzelnen SaaS-Service bis zur Multi-Region-Plattform, ohne dass die zugrunde liegende Datenstruktur ausgetauscht werden muss, wenn der Geltungsbereich des Testats wächst. Auch die spätere Aufnahme weiterer Regulierungen wie DORA oder neuer KRITIS-Sektoren ist ohne Strukturbruch möglich.
Vom Lesen zur Umsetzung: C5-Strategie aufsetzen
Eine C5-Strategie beginnt mit drei Fragen: Welche Cloud-Services nutzen Sie oder bieten Sie an? Welche Auftraggeber oder Aufsichtsregime verlangen das Testat oder vergleichbare Nachweise? Welchen Reifegrad hat Ihr ISMS heute, gemessen an ISO/IEC 27001:2022 mit 93 Controls? Aus den Antworten ergibt sich die Reihenfolge: Lückenanalyse, Gap-Closure, internes Probetestat, Wirtschaftsprüferauswahl, Typ 1, sechs Monate Wirksamkeitsfenster, Typ 2.
Im zweiten Schritt wird der Testatprozess in die bestehende Compliance-Landschaft integriert. C5-Kriterien werden auf ISO-Controls gemappt, Komplementär-Anforderungen an Kunden in Vertragsmuster überführt, Audit-Trail-Pflichten in die Berichtslinie aufgenommen. Im dritten Schritt wird die Wirksamkeit über mindestens sechs Monate dokumentiert und vom Wirtschaftsprüfer geprüft. Findings werden mit Maßnahmen, Verantwortlichkeit und Frist hinterlegt und bis zum Folgetestat geschlossen.
CIVAC stellt für jeden dieser drei Schritte vorgefertigte Bausteine bereit: Cross-Reference-Tabellen ISO/C5, Vorlagentexte für Komplementär-Anforderungen, Evidenzschablonen für die Wirksamkeitsprüfung. Die Plattform funktioniert in zwei Modi: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen gilt der CIVAC-SLA von zwei Werktagen für die initiale Einrichtung. EU-Datenresidenz ist Voraussetzung, damit auch die Nachweisdaten keine zusätzlichen C5-Anforderungen auslösen.
Aus dem Lesen einen Auftrag machen. Schreiben Sie an die zentrale Mailbox info@civac.de oder nutzen Sie das Kontaktformular auf civac.de/faq. Wir senden innerhalb von zwei Werktagen eine konkrete Roadmap für Ihr C5-Vorhaben, abgestimmt auf Ihren ISMS-Reifegrad, Ihr Servicemodell und Ihre Auftraggeber-Erwartungen, einschließlich einer Gegenüberstellung zwischen vorhandener ISO-27001:2022-Dokumentation und den C5-spezifischen Zusatzkriterien sowie einem Vorschlag zum sinnvollen Zeitfenster für das erste Typ-2-Wirksamkeitsintervall und einer Empfehlung zur Wirtschaftsprüferauswahl.
FAQ
Ist ein BSI-C5-Testat gesetzlich vorgeschrieben?
Nein, der C5 selbst ist kein Gesetz. Er ist ein vom BSI veröffentlichter Kriterienkatalog. Faktisch verlangen Bundesbehörden, KRITIS-Betreiber und zunehmend Finanzdienstleister jedoch in Ausschreibungen ein C5-Testat als Nachweis der Cloud-Sicherheit, sodass die Wirkung einer Pflicht entspricht. NIS-2, DORA und § 8a BSI-Gesetz verweisen mittelbar auf solche strukturierten Nachweise. Wer ohne Testat anbietet, schließt sich faktisch aus relevanten Auftraggeberkreisen aus.
Was ist der Unterschied zwischen einem C5-Typ-1- und einem Typ-2-Testat?
Typ 1 bestätigt die Aufbauwirksamkeit der Kontrollen zu einem Stichtag, also dass das Kontrollsystem geeignet konstruiert ist. Typ 2 prüft zusätzlich die operative Wirksamkeit über mindestens sechs Monate. In öffentlichen Ausschreibungen wird in der Regel Typ 2 verlangt, weil nur dieses eine belastbare Aussage über die tatsächliche Funktion der Kontrollen über die Zeit erlaubt.
Wie verhält sich der BSI C5 zur ISO/IEC 27001:2022?
ISO/IEC 27001:2022 mit ihren 93 Controls und der C5 überlappen sich zu rund 70 bis 80 Prozent. Lücken bestehen typischerweise bei Transparenzpflichten, Datenhoheit, Investigation Support und Reaktion auf ausländische Behördenanfragen. Wer bereits zertifiziert ist, hat die Hauptarbeit geleistet und sollte gezielt die C5-spezifischen Zusatzkriterien adressieren, statt das ISMS neu aufzubauen.
Wer darf ein C5-Testat ausstellen?
C5-Testate werden nicht vom BSI, sondern von Wirtschaftsprüfern oder Wirtschaftsprüfungsgesellschaften nach den Standards des Instituts der Wirtschaftsprüfer (IDW PS 860, IDW PH 9.860.2) ausgestellt. Methodisch lehnt sich das Verfahren an ISAE 3000 und ISAE 3402 an. Die Wirtschaftsprüferqualifikation ist Voraussetzung; eine reine ISO-Zertifizierungsstelle ist nicht berechtigt. In der Praxis sind zwei Prüfungsteams sinnvoll: ein ISO-27001-Auditteam und ein Wirtschaftsprüfer.
Was sind Komplementär-Anforderungen im C5?
Komplementär-Anforderungen sind Pflichten, die der Cloud-Kunde übernehmen muss, damit die Kontrollen des Anbieters wirken können. Beispiele: Multi-Faktor-Authentifizierung administrativer Konten, Patch-Management eigener Anwendungen, Mandantenkonfiguration, Schlüsselmanagement bei kundengehaltenen Schlüsseln und sichere Konfiguration von Identitätsanbindungen. Der Anbieter muss sie transparent beschreiben, der Kunde muss sie wahrnehmen und im eigenen ISMS belegen, sonst entfällt die Wirkung des Testats.
Wie lange ist ein C5-Testat gültig?
C5-Testate werden in der Regel jährlich erneuert, mit einem Prüfungszeitraum von 6 bis 12 Monaten. Ein Testat hat keine starre Gültigkeitsdauer, doch in der Praxis erwarten Auftraggeber, dass das aktuelle Testat nicht älter als 12 bis 15 Monate ist. Ohne lückenloses Folgetestat entsteht ein Nachweisbruch, der in Ausschreibungen und in der Lieferantenüberwachung relevant ist.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.