Wer in Deutschland Cloud-Dienste an die öffentliche Hand, an das Gesundheitswesen oder an regulierte Unternehmen verkaufen will, kommt an drei Buchstaben und einer Ziffer selten vorbei: C5. Der Katalog des BSI hat sich als Referenz dafür etabliert, was ein sicherer Cloud-Dienst mindestens leisten muss.
Was ist der BSI C5?
C5 steht für Cloud Computing Compliance Criteria Catalogue, einen Anforderungskatalog des Bundesamts für Sicherheit in der Informationstechnik. Die aktuelle Fassung C5:2020 bündelt gut 120 Basiskriterien in 17 Themenbereichen, von Organisation der Informationssicherheit über Identitäts- und Rechtemanagement, Kryptografie und Kommunikationssicherheit bis zum Umgang mit Sicherheitsvorfällen. Ergänzende Zusatzkriterien decken erhöhten Schutzbedarf ab.
Das Besondere ist die Nachweisform: C5 ist keine Zertifizierung, sondern ein Testat. Ein Wirtschaftsprüfer prüft nach internationalen Prüfungsstandards und bescheinigt das Ergebnis in einem detaillierten Bericht. Beim Typ-1-Testat wird die Angemessenheit der Kontrollen zu einem Stichtag beurteilt, beim aussagekräftigeren Typ-2-Testat zusätzlich ihre Wirksamkeit über einen Zeitraum von in der Regel zwölf Monaten.
Wie funktioniert ein C5-Testat?
- Systembeschreibung: Der Cloud-Anbieter beschreibt seinen Dienst, die Grenzen der Prüfung und die Umgebungsparameter, etwa Rechenzentrumsstandorte und Subdienstleister.
- Kontrollen zuordnen: Für jedes anwendbare Kriterium dokumentiert der Anbieter die umgesetzten Kontrollen.
- Unabhängige Prüfung: Der Prüfer testet Design und, beim Typ 2, die Wirksamkeit der Kontrollen im Prüfzeitraum.
- Bericht statt Siegel: Das Ergebnis ist ein umfangreicher Prüfbericht, den der Anbieter seinen Kunden zur eigenen Risikobewertung bereitstellt; Abweichungen werden ausgewiesen statt versteckt.
Warum der C5 wichtig ist
- Für Cloud-Dienste der Bundesverwaltung ist der C5-Nachweis der etablierte Maßstab, und viele Länder und Kommunen orientieren sich daran.
- Im Gesundheitswesen ist das C5-Testat gesetzlich verankert, etwa für digitale Gesundheitsanwendungen und weitere Dienste, die Sozialdaten in der Cloud verarbeiten.
- Der detaillierte Prüfbericht erlaubt Kunden eine echte Risikobewertung statt eines bloßen Logos auf der Website.
- Der Katalog übersetzt abstrakte Cloud-Sicherheit in konkrete, prüfbare Kriterien und erleichtert damit auch interne Anforderungslisten.
Typische Szenarien
- Eine Landesbehörde verlangt in der Ausschreibung ein C5-Typ-2-Testat für die angebotene SaaS-Lösung.
- Ein Hersteller einer digitalen Gesundheitsanwendung braucht das Testat seines Cloud-Betreibers für die Zulassung.
- Ein Konzern nimmt den C5-Bericht seines Cloud-Anbieters als Grundlage für die eigene Lieferantenrisikobewertung nach ISO 27001.
- Ein Cloud-Anbieter nutzt die C5-Kriterien als Bauplan, bevor er überhaupt in die Prüfung geht.
Den C5-Bericht richtig lesen
Für Cloud-Kunden ist der Bericht wertvoller als jedes Logo, wenn man ihn vollständig liest. Drei Stellen verdienen besondere Aufmerksamkeit. Die Systembeschreibung zeigt, welche Dienste, Standorte und Subdienstleister überhaupt geprüft wurden; ein Testat für eine andere Region oder ein Schwesterprodukt hilft wenig. Die ausgewiesenen Abweichungen zeigen, wo Kontrollen nicht oder nur teilweise wirksam waren, und wie der Anbieter reagiert hat. Und die komplementären Kundenkontrollen listen auf, was der Anbieter ausdrücklich von Ihnen erwartet, etwa die Pflege von Berechtigungen, sichere Konfiguration und die Absicherung der Anbindung.
Gerade der letzte Punkt wird oft übersehen: Das beste Testat des Anbieters deckt die Kundenseite nicht ab. Wer die eigenen Pflichten aus dem Bericht nicht umsetzt, betreibt einen geprüften Dienst in einer ungeprüften Umgebung.
C5 und ISO 27001: der Unterschied
Beide Nachweise ergänzen sich. ISO 27001 zertifiziert das Managementsystem einer Organisation; das Zertifikat bestätigt, dass Sicherheitsprozesse existieren und gelebt werden. Der C5 prüft dagegen cloud-spezifische Kontrollen eines konkreten Dienstes und liefert statt eines Zertifikats einen detaillierten Prüfbericht, der beim Typ 2 die Wirksamkeit über Monate belegt. In der Praxis fragen anspruchsvolle Kunden nach beidem: ISO 27001 für die Organisation, C5 für den Cloud-Dienst. Die Gesamtübersicht der Regelwerke bietet der Eintrag Cybersecurity-Compliance .
Umsetzung mit KAEMI
Für Kunden ist der C5 vor allem ein Auswahl- und Anbindungsthema: Welche Cloud-Dienste erfüllen den Maßstab, und wie kommen die Daten sicher dorthin? KAEMI unterstützt bei der Auswahl testierter Plattformen für Compute & AI und baut die private, nachvollziehbar abgesicherte Anbindung über Cloud Connectivity & SDN , damit der Weg in die geprüfte Cloud nicht zur ungeprüften Lücke wird. Die Bewertung der Prüfberichte im Rahmen Ihres Lieferantenmanagements begleiten wir anforderungsorientiert.