BSI C5-Testat für Cloud-Anbieter: Was es leistet, wann es Pflicht ist

Der Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist seit 2016 das deutsche Referenzwerk für die Sicherheitsprüfung von Cloud-Diensten und wurde zuletzt 2020 (C5:2020) grundlegend überarbeitet. Er enthält 121 Basiskriterien und 17 Zusatzkriterien in 17 Bereichen, von Organisation der Informationssicherheit über Personalsicherheit, Asset-Management, Kryptografie, Betrieb, Identitäts- und Berechtigungsmanagement bis hin zu Compliance, Datenschutz und Notfallmanagement. Anbieter weisen die Erfüllung der Kriterien durch ein Testat einer Wirtschaftsprüfungsgesellschaft nach ISAE 3000 (revised) oder IDW PS 951 nach.

Dieser Beitrag richtet sich an zwei Zielgruppen. Erstens an Cloud-Anbieter, die ein C5-Testat als Vermarktungs- und Vergabevoraussetzung benötigen, etwa für öffentliche Auftraggeber, Banken nach BAIT oder Versicherer nach VAIT. Zweitens an Cloud-Kunden, die ein C5-Testat im Rahmen ihrer Auslagerungssteuerung, ihres ISMS nach ISO/IEC 27001:2022 oder ihrer NIS-2-Lieferkettenprüfung nutzen wollen. Wir ordnen die Prüfungstypen ein, vergleichen C5 mit ISO 27001 und SOC 2, und zeigen, wie eine fundierte Vorbereitung der Auslagerungsdokumentation aussieht.

Die Lektüre ist als Praxisleitfaden konzipiert, nicht als Rechtsgutachten. Jede Aussage ist mit Bezug auf C5:2020-Kriterien, ISO-Normen oder einschlägige Aufsichtsrundschreiben belegt, sodass Sie die Inhalte in eigenen Diskussionen mit Wirtschaftsprüfung, Aufsicht und Vertrieb nachvollziehen und einsetzen können.

Der C5:2020 gliedert sich in 17 Bereiche mit insgesamt 121 Basiskriterien und 17 Zusatzkriterien. Die Bereiche entsprechen weitgehend der Struktur eines ISMS nach ISO/IEC 27001:2022 und decken Organisation der Informationssicherheit (OIS), Sicherheitsrichtlinien und Verfahrensanweisungen (SP), Personalsicherheit (HR), Asset-Management (AM), Physische Sicherheit (PS), Betriebssicherheit (OPS), Identitäts- und Berechtigungsmanagement (IDM), Kryptografie und Schlüsselverwaltung (CRY), Kommunikationssicherheit (COS), Portabilität und Interoperabilität (PI), Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV), Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO), Sicherheitsvorfallmanagement (SIM), Business Continuity Management (BCM), Compliance (COM), Datenschutz (DAT) und Sicherheitsanforderungen an Mobile Devices (MOB) ab.

Jedes Kriterium besteht aus einer Anforderung, einer Begleiterläuterung und einem Hinweis auf Ergänzungen. Die Zusatzkriterien decken besondere Anforderungen ab, etwa für staatliche oder besonders schutzbedürftige Daten. Eine vollständige Abdeckung aller Kriterien ist nicht Pflicht, das Testat dokumentiert vielmehr, welche Kriterien implementiert wurden und mit welchem Befund.

Inhaltlich orientiert sich der C5 an internationalen Standards wie ISO/IEC 27001:2022, ISO/IEC 27017:2015 für Cloud-Sicherheit, ISO/IEC 27018:2019 für Cloud-Datenschutz, NIST SP 800-53 und den ENISA Cloud Security Recommendations. Wer bereits ein ISMS nach ISO/IEC 27001:2022 mit den 93 Controls aus Anhang A betreibt, deckt strukturell den größten Teil des C5 ab. Eine direkte Mapping-Tabelle stellt das BSI im Anhang des C5:2020 bereit.

Für die Vorbereitung lohnt eine fundierte Inventarisierung der bestehenden Maßnahmen entlang der 17 Bereiche, ergänzt um eine Gap-Analyse mit definierten Owner, Fristen und Audit-Nachweisen. Wer dies in einer Plattform mit versionierter Maßnahmenliste pflegt, vermeidet redundante Excel-Pflege und kann die Auditkommunikation in Stunden statt Wochen aufnehmen.

Das C5-Testat kennt zwei Prüfungstypen, die aus der Welt der Wirtschaftsprüfung übernommen sind. Der Typ 1 bestätigt zu einem Stichtag, dass die beschriebenen Maßnahmen angemessen gestaltet sind, um die Kontrollziele zu erreichen. Es handelt sich um eine Designprüfung. Der Typ 2 bestätigt darüber hinaus, dass die Maßnahmen über einen definierten Zeitraum, in der Regel sechs bis zwölf Monate, wirksam betrieben wurden. Dafür entnimmt die Prüfungsgesellschaft Stichproben aus der laufenden Operation.

Für die Praxis bedeutet das: Ein Typ-1-Testat wird oft als Einstiegspunkt für junge Cloud-Anbieter oder neue Produkte genutzt, um eine Vermarktungsbasis zu schaffen. Ein Typ-2-Testat ist regelmäßig die Mindestanforderung für die Vergabe durch öffentliche Auftraggeber, für die Auslagerungssteuerung nach BAIT bzw. VAIT, sowie für Branchen mit hohen Verfügbarkeits- und Vertraulichkeitsanforderungen. Die Verlängerung erfolgt jährlich, eine Lücke im Testatzeitraum führt regelmäßig zu Diskussionen mit Aufsichten und Auftraggebern.

Die Prüfung selbst gliedert sich in Vorbereitung (Risiko- und Materialitätsanalyse, Scoping, Definition der System Description), Designprüfung, Wirksamkeitsprüfung, Bericht und Testat. Die Wirksamkeitsprüfung erfolgt durch Walkthroughs, Beobachtungen, Befragungen und Stichproben aus den IT- und Organisations-Prozessen. Wer seine Prozesse sauber dokumentiert und Nachweise revisionssicher ablegt, durchläuft die Prüfung deutlich schneller. Der Prüfer ruft an, der Nachweis liegt bereit. Eine Übersicht zur ISO/IEC 27001:2022 als Grundlage finden Sie unter civac.de/news/iso-27001-2022-übergang-oktober-2026.

Wichtig für die Praxis ist der Umgang mit Anpassungen während der Prüfungsperiode. Wer Maßnahmen erst zwei Wochen vor dem Stichtag schärft, hat keine Wirksamkeitsperiode, was Befunde und Vorbehalte produziert. Eine fundierte Vorbereitung plant Maßnahmenänderungen mindestens sechs Monate vor dem Testatzeitraum ein.

Ein häufiger Irrtum: C5 sei ein Konkurrent zu ISO/IEC 27001:2022. Tatsächlich sind beide Standards komplementär. ISO/IEC 27001:2022 zertifiziert das Managementsystem (ISMS) als Rahmen, der Risikomanagement, Anwendbarkeitserklärung (SoA), 93 Controls aus Anhang A und kontinuierliche Verbesserung umfasst. Das C5-Testat hingegen bestätigt die Implementierung konkreter Maßnahmen in einem Cloud-Dienst zu einem Stichtag oder über einen Zeitraum, geprüft durch eine Wirtschaftsprüfungsgesellschaft.

SOC 2 (System and Organization Controls) ist das US-amerikanische Pendant nach AICPA-Standards, basiert auf den Trust Services Criteria (Security, Availability, Processing Integrity, Confidentiality, Privacy) und folgt einer ähnlichen Logik mit Typ-1- und Typ-2-Berichten. In der Praxis erfüllen viele globale Anbieter SOC 2 und C5 parallel, da beide Standards von unterschiedlichen Kundengruppen erwartet werden. Für deutsche öffentliche Auftraggeber und KRITIS-Sektoren ist C5 typischerweise das maßgebliche Testat.

Praktisch lohnt eine integrierte Maßnahmenmatrix, die ISMS-Controls aus ISO/IEC 27001:2022 Anhang A, C5-Kriterien, SOC 2 Trust Services Criteria und sektorale Anforderungen (BAIT, VAIT, KRITIS-Pflichten, NIS-2) in einer Liste zusammenführt. Wer für jedes Control die Quellen und Audit-Nachweise zentral pflegt, reduziert Mehrfachaufwand erheblich. Die CIVAC-Plattform mit 490 einsatzbereiten Audit-Vorlagen unterstützt genau dieses Mapping und macht die Prüfungskommunikation reproduzierbar.

Für die operative Umsetzung empfiehlt sich eine Anwendbarkeitserklärung (Statement of Applicability, SoA), die jedes Control auf C5-Kriterien, SOC-2-Trust-Criteria und sektorale Pflichten mappt. Diese Datei wird einmal gepflegt und von verschiedenen Audits in unterschiedlichen Perspektiven gelesen, was den Aufwand für die Wirtschaftsprüfung deutlich reduziert.

Zu beachten ist auch die Rolle des BSI IT-Grundschutz, der für Bundes- und Landesbehörden verbindlich sein kann und dessen Bausteine in die C5-Mapping-Matrix einfließen sollten, wenn öffentliche Auftraggeber adressiert werden.

Ein C5-Testat ist nicht generell gesetzlich vorgeschrieben, faktisch aber für viele Marktsegmente Voraussetzung. Öffentliche Auftraggeber fordern es in Ausschreibungen für IT-Beschaffung regelmäßig, häufig als Mindestanforderung in Verbindung mit deutscher Datenresidenz und einem zertifizierten ISMS. BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT) verlangen eine angemessene Auslagerungssteuerung, die in der Praxis nur mit einem aktuellen C5-Typ-2-Testat oder einem gleichwertigen Nachweis bedient wird.

NIS-2 verschärft die Lage zusätzlich. Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtet wesentliche und wichtige Einrichtungen zur Steuerung der Lieferkettensicherheit, einschließlich Cloud-Dienstleistern (Art. 21 Abs. 2 lit. d NIS-2). Cloud-Anbieter ohne nachweisbares Sicherheitsniveau verlieren faktisch Zugang zu diesen Kunden. Die etwa 29.500 NIS-2-betroffenen Unternehmen in Deutschland werden ihre Auslagerungsdokumentation in den nächsten Jahren systematisch durchforsten und Nachweise einfordern.

Für die Kostenseite: Eine C5-Erstprüfung kostet je nach Größe und Komplexität des Cloud-Dienstes typischerweise zwischen 80.000 und 350.000 Euro, die jährliche Verlängerung etwas weniger. Hinzu kommen interne Aufwände für Vorbereitung, Maßnahmen-Härtung, Dokumentation und Begleitung der Prüfung. Die CIVAC-Plattform reduziert die internen Aufwände, weil Audit-Vorlagen, Maßnahmenlisten und Berichtslinien bereits standardisiert vorliegen.

Ergänzend werden in DORA (Verordnung (EU) 2022/2554) Anforderungen an die Resilienz von IKT-Drittanbietern im Finanzsektor festgeschrieben, die ab Januar 2025 zur Anwendung kommen. Wer als Cloud-Anbieter Finanzkunden bedient, kombiniert C5 mit DORA-konformen Vertrags- und Meldepflichten, um beiden Welten gerecht zu werden.

Praktisch sollten Anbieter ein Compliance-Heatmap-Dokument pflegen, das Marktanforderungen pro Segment (öffentlicher Sektor, Banken, Versicherer, Industrie, Healthcare) und die jeweils geforderten Testate übersichtlich darstellt. So lässt sich vertrieblich nachvollziehen, welcher Aufwand welchen Marktzugang öffnet.

Die Vorbereitung als Cloud-Anbieter folgt einem klaren Pfad. Schritt eins ist die System Description: eine detaillierte Beschreibung des Cloud-Dienstes, seiner Komponenten, Schnittstellen, Personenrollen, Standorte und Datenflüsse. Sie wird vom Anbieter erstellt und durch die Prüfungsgesellschaft auf Konsistenz mit den 17 Bereichen geprüft. Schritt zwei ist die Risiko- und Materialitätsanalyse, die für jedes Kriterium das relevante Risiko und die zugeordneten Kontrollen identifiziert.

Schritt drei ist die Maßnahmen-Härtung. Hier werden Lücken zur C5-Anforderung geschlossen, Konfigurationen angepasst, Berechtigungen revisioniert und Notfallpläne ergänzt. Schritt vier ist die Nachweis-Sammlung: Logs, Tickets, Schulungsnachweise, Tests, Reviews. Eine versionierte Ablage mit Zeitstempel und Verantwortlichem ist Pflicht. Schritt fünf ist die Begleitung der Wirksamkeitsprüfung mit Walkthroughs, Stichproben und Befragungen.

Vier Stolperstellen sehen wir in der Praxis am häufigsten: erstens unklare Eskalations- und Berichtslinien zwischen Cloud-Operations, Information Security und Datenschutz, zweitens fehlende oder unvollständige Auftragsverarbeitungsverträge mit Sub-Dienstleistern, drittens lückenhafte Personalsicherheit (HR-Onboarding, Hintergrundüberprüfungen, Schulungen), viertens schwache Notfall- und BCM-Tests ohne dokumentierte Wirksamkeit. Wer diese vier Bausteine im Workspace führt, mit Owner, Stichtag und Nachweis, steht in Wirksamkeitsprüfungen deutlich entspannter da. Audit-fest, dokumentiert, C5-fest.

Erfahrene Anbieter führen die System Description als versioniertes Dokument mit klaren Abgrenzungen zwischen Plattform, Service und Sub-Dienstleistern. Eine unklare Abgrenzung produziert in der Prüfung Mehraufwand, weil Kontrollen mehrfach zugeordnet werden müssen oder unklar bleibt, wer für welche Maßnahme zuständig ist.

Erfolgreiche Prüfungsläufe arbeiten mit einem internen Audit-Committee, das wöchentlich offene Maßnahmen sichtet, Owner adressiert und Eskalationen aussteuert. Ohne diese Kadenz tritt erfahrungsgemäß ein Effizienzverlust ein, weil Maßnahmen erst kurz vor dem Stichtag bearbeitet werden.

Als Cloud-Kunde nutzen Sie das C5-Testat des Anbieters im Rahmen Ihrer eigenen Auslagerungssteuerung. Wichtig sind drei Bewertungsschritte. Erstens der Scope: Welche Cloud-Dienste, welche Standorte, welche Schnittstellen sind in der System Description enthalten? Ein Testat über einen Storage-Dienst gilt nicht automatisch für angrenzende Identity-Dienste. Zweitens der Berichtszeitraum und der Prüfungstyp: Typ 1 oder Typ 2, welche Monate sind abgedeckt, gibt es Lücken zum aktuellen Datum?

Drittens die Ausnahmen und Vorbehalte: Ein C5-Testat kann Kriterien als nicht implementiert oder als Ausnahme ausweisen, etwa weil sie aus Sicht des Anbieters nicht anwendbar sind. Diese Ausnahmen müssen Sie im Rahmen Ihrer Risiko- und Auslagerungssteuerung bewerten. Wenn ein Kriterium für Ihren Use Case kritisch ist, müssen Sie kompensierende Kontrollen einziehen oder den Anbieter zur Implementierung bewegen.

Operativ sollten Cloud-Kunden eine Auslagerungsakte pro Anbieter führen, mit Vertrag, AVV, C5-Testat (jeweils aktuelle Version), Risiko- und Wesentlichkeitsanalyse, Notfall- und Exit-Plan, Maßnahmen zu Restrisiken und einer jährlichen Wirksamkeitsbewertung. CIVAC stellt die Auslagerungsakte als Modul im Workspace bereit, mit Erinnerungen zur jährlichen Aktualisierung und einer revisionssicheren Ablage der C5-Versionen. Eine Übersicht zur Rolle des Informationssicherheitsbeauftragten finden Sie auf den Rollenseiten.

Wer ein Auslagerungsregister nach BAIT 8.1 bzw. VAIT pflegt, verknüpft das C5-Testat des Anbieters mit der eigenen Wesentlichkeitsbewertung, der Vertragsdokumentation, den Notfall- und Exit-Plänen sowie der laufenden Risikobewertung. Diese Verknüpfung ist im Audit der Aufsicht die meistgewünschte Sicht.

Wer als Kunde mit dem Anbieter über ein Right-to-Audit verhandelt, definiert idealerweise im Vorfeld Umfang, Frequenz, Personen und Vertraulichkeit. Ein zu offen formuliertes Recht erzeugt Diskussionen, ein zu eng formuliertes Recht produziert Compliance-Lücken in der eigenen Auslagerungssteuerung.

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) und ihre Umsetzung in deutsches Recht über das NIS2UmsuCG verlangen von wesentlichen und wichtigen Einrichtungen ein dokumentiertes Risikomanagement, das die Lieferkettensicherheit explizit einschließt (Art. 21 Abs. 2 lit. d). Cloud-Anbieter, die Dienste für solche Einrichtungen erbringen, müssen ihre Sicherheitsmaßnahmen nachweisbar implementiert haben und im Vorfall mit den NIS-2-Meldewegen kompatibel arbeiten.

Praktisch heißt das: Ein C5-Typ-2-Testat ist eine etablierte Methode, einer NIS-2-pflichtigen Einrichtung die Lieferantensicherheit darzulegen. Es ersetzt nicht die eigene Risikobewertung, liefert aber eine prüfungsfeste Grundlage. Hinzu kommt die 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung bei erheblichen Sicherheitsvorfällen nach BSIG. Cloud-Anbieter müssen ihre Kunden in dieser Frist informieren können, mit Vorlagentexten, Kontaktstellen und Meldebescheinigung.

CIVAC integriert die NIS-2-Meldepfade als geführten Workflow, der parallel zur DSGVO-Meldepflicht nach Art. 33 läuft. Frist läuft ab Kenntnis. Wer beide Pfade in einer Plattform führt, vermeidet Doppelmeldungen und Lücken in der Aufsichtskommunikation. Mehr zum Kontext finden Sie unter civac.de/news/nis-2-umsetzung-deutschland-2026.

Wichtig ist auch die Schnittstelle zur DSGVO. Ein Cloud-Anbieter muss Datenübergaben im Vorfall transparent darstellen können, einschließlich Drittlandbezüge, Sub-Dienstleister und Datenkategorien. Wer hier nur PDFs liefert, verliert wertvolle Zeit. Eine maschinenlesbare Datenübergabe in der Auftragsverarbeitung ist Best Practice.

Für KRITIS-Sektoren kommen zusätzlich BSIG-Pflichten hinzu, die je nach Sektor besondere Anforderungen an Verfügbarkeit und Vorfallmanagement stellen. Die Verzahnung mit dem C5-Testat sollte explizit in der System Description benannt werden.

Für die Vorfallkommunikation lohnt sich ein gemeinsam abgestimmtes Crisis Playbook, das Sprachregelungen, Eskalationspfade und Vorlagentexte enthält. Wer dieses Playbook erst im Vorfall schreibt, verliert die ersten Stunden, die für die Aufsichtskommunikation entscheidend sind.

In C5-Prüfungen wiederkehrend auffallend sind fünf Themen, die Anbieter bei einer fundierten Vorbereitung leicht vermeiden können. Erstens Identity- und Berechtigungsmanagement: fehlende Joiner-Mover-Leaver-Prozesse, ungenutzte Service-Accounts, fehlende periodische Berechtigungsreviews. Zweitens Kryptografie und Schlüsselverwaltung: Schlüsselrotationen ohne Wirksamkeitsnachweis, lange Lebenszeiten von Zertifikaten, fehlende Hardware-Security-Module für Hochsicherheitsdienste.

Drittens Schwachstellen- und Patchmanagement: Lückenhafte Inventarisierung, fehlende Risiko-Priorisierung der Schwachstellen, langsame Patch-Zyklen ohne dokumentierte Begründung. Viertens Sub-Dienstleister: Auftragsverarbeitungsverträge ohne TOM-Anhang, fehlende Hintergrundkontrollen bei Sub-Anbietern, unklare Verantwortungsmatrix in Multi-Cloud-Konstellationen. Fünftens Business Continuity: BCM-Tests ohne Wirksamkeitsnachweis, fehlende Wiederanlauf-Reihenfolge, nicht aktualisierte Notfallrollen nach Reorganisationen.

Eine pragmatische Vorbereitung umfasst eine Mock-Prüfung mit echten Stichproben sechs bis neun Monate vor dem ersten Typ-2-Testat. Wer diese Mock-Prüfung mit dokumentierter Maßnahmenliste durchläuft, schließt typischerweise 80 Prozent der späteren Befunde im Vorfeld. Der Aufwand lohnt sich, weil ein nicht erteiltes Testat reputations- und vertriebsrelevant ist. CIVAC bietet die Audit-Vorlagen für genau diesen Mock-Lauf, inklusive Wirksamkeitsprüfungs-Workflow und Berichtsfunktion zur Geschäftsleitung.

Hinzu kommen organisatorische Themen wie Rollen- und Verantwortungsabgrenzung in Multi-Cloud-Konstellationen, die Pflege einer aktuellen Datenflussdiagrammatik und das Management von Ausnahmegenehmigungen. Wer Ausnahmen ohne Befristung und Wirksamkeitsbewertung führt, erzeugt im Audit den Eindruck einer unkontrollierten Drift, was Reaktionen in den Berichtsanmerkungen nach sich zieht.

In der Berichtsanmerkung greifen Prüfungsgesellschaften zudem regelmäßig Themen wie Schulungstiefe der Mitarbeitenden, Reife der Bedrohungsmodellierung und Wirksamkeit von Penetrationstests auf. Wer hier auf jährliche Pflichttests reduziert, riskiert Vorbehalte. Eine fortlaufende Wirksamkeitssicht zeigt Anbieter und Prüfer in einem reiferen Licht.

Praktisch hilft ein Befund-Tracking-Dashboard, das alle Befunde aus internen Audits, Penetrationstests und externen Prüfungen mit Status und Wirksamkeitsbewertung darstellt.

Ein C5-Testat entsteht nicht in der Prüfungswoche, sondern in den zwölf Monaten davor. CIVAC versteht sich als Compliance-Plattform und Officer-as-a-Service und stellt die operative Schicht bereit, die für eine fundierte Prüfungsvorbereitung notwendig ist. Im Workspace finden sich Maßnahmenlisten, Audit-Vorlagen, Schulungsnachweise, Meldepfade und Berichtslinien, sodass Sie zu jedem Kriterium des C5 in Minuten den aktuellen Stand abrufen können. Die Datenresidenz liegt in Deutschland, die Authentifizierung erfolgt über SSO oder SAML.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Der duale Ansatz ist bewusst offen gehalten, weil Cloud-Anbieter unterschiedlicher Größe unterschiedliche Tiefen benötigen, vom Start-up mit erstem Typ-1-Testat bis zum etablierten Anbieter mit jährlichem Typ-2-Lauf für mehrere Dienste. Die SLA der Plattform liegt bei zwei Werktagen, gemessen am Eingang der Anfrage.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir terminieren ein 30-minütiges Erstgespräch, in dem wir Ihren Reifegrad gegen die 17 C5-Bereiche spiegeln, die Wesentlichkeitsanalyse besprechen und drei nächste Schritte vorschlagen. Spätestens am übernächsten Werktag erhalten Sie einen schriftlichen Vorschlag mit Aufgabenliste, Zeitachse und transparenten Preisen, in deutscher Sprache und mit EU-Datenresidenz.

Über die reine Plattform hinaus liefern wir Methodik. Sie erhalten eine Mapping-Matrix C5-ISO-SOC-2-BAIT-VAIT, eine vorbereitete System-Description-Vorlage, eine SoA-Vorlage und Schulungsmodule für die Operativ-Teams. Damit verkürzt sich die Time-to-Audit von Quartalen auf Wochen.

Praxiserprobte Anbieter wissen, dass die zweite und dritte Prüfungswelle einfacher wird, sobald die Mapping-Matrix steht und die Wirksamkeitsperiode lückenlos läuft. Genau darauf zielen unsere Vorlagen, Workflows und Berichtslinien ab.