Fuentis

C5-Testat – Standards und Umsetzungshilfen für sichere Cloud-Dienste

Approved
Last updated: Sep 12, 2025
fuentis Suite 4

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Prüfkatalog für Cloud-Dienste. Er legt Mindestanforderungen für sichere Cloud-Systeme fest und richtet sich an professionelle Cloud-Anbieter, deren Auditoren und Kunden.

Warum ist C5 relevant?

- Erstveröffentlichung 2016, umfassende Überarbeitung 2019

- Breite Akzeptanz bei großen und kleinen Anbietern

- Orientierung für Risikomanagement bei Cloud-Kunden

- Gesetzliche Pflicht im Gesundheitswesen seit 2024 (§ 393 SGB V)

Wichtig für das Gesundheitswesen: Bis 30. Juni 2025 reicht ein C5-Typ-1-Testat. Ab 1. Juli 2025 ist ein C5-Typ-2-Testat oder gleichwertiger Standard verpflichtend.

Die 17 Anforderungsbereiche des C5-Katalogs

Der aktuelle C5:2020 Katalog orientiert sich an ISO 27001 und umfasst folgende Kernbereiche:

Organisatorische Anforderungen

- Organisation der Informationssicherheit

Planung, Umsetzung und kontinuierliche Verbesserung eines Rahmens zur Informationssicherheit

- Sicherheitsrichtlinien & Arbeitsanweisungen

Bereitstellung klarer Richtlinien und Anweisungen für den Sicherheitsanspruch

- Personal

Sicherstellen, dass Mitarbeitende ihre sicherheitsrelevanten Aufgaben verstehen und Assets auch bei Aufgabenwechsel geschützt werden

- Asset-Management

Identifizieren und angemessener Schutz von Assets über den gesamten Lebenszyklus

Technische Sicherheitsanforderungen

- Physische Sicherheit

Schutz vor unberechtigtem Zugang und physischen Schäden

- Regelbetrieb

Sicherer operativer Betrieb mit Kapazitätsplanung, Malware-Schutz, Protokollierung, Schwachstellen-Management und Incident-Handling

- Identitäts- & Berechtigungsmanagement

Absicherung der Autorisierung und Authentifizierung privilegierter Benutzer

- Kryptographie & Schlüsselmanagement

Wirksamer Einsatz von Verschlüsselung zum Schutz der Vertraulichkeit, Integrität und Authentizität

- Kommunikationssicherheit

Schutz von Informationen in Netzen und Systemen

Cloud-spezifische Anforderungen

- Portabilität & Interoperabilität

Sicherstellung, dass Daten nach Vertragsende exportiert und beim Anbieter gelöscht werden können

- Produktsicherheit

Bereitstellung sicherer Konfigurationen, Informationen zu Schwachstellen und Mechanismen zur Fehlerbehandlung sowie Authentisierung und Autorisierung für Kunden

Prozessuale Anforderungen

- Entwicklung & Änderung von Informationssystemen

Informationssicherheit in Entwicklungs- und Änderungsprozessen

- Dienstleister- & Lieferantenmanagement

Absicherung der Informationsverarbeitung bei Subdienstleistern und Überwachung der vereinbarten Sicherheitsanforderungen

- Incident Management

Konsistentes Verfahren zur Erfassung, Bewertung und Behandlung von Sicherheitsvorfällen

- Geschäftskontinuität & Notfallmanagement

Planung und Testen von Maßnahmen zur Geschäftskontinuität und zum Notfallmanagement

Compliance und Governance

- Compliance

Einhaltung gesetzlicher, regulatorischer und vertraglicher Anforderungen zur Informationssicherheit

- Umgang mit Ermittlungsanfragen staatlicher Stellen

Angemessene Behandlung behördlicher Ermittlungsersuchen

Typen von C5-Testaten im Detail

Typ-1-Testat

Eigenschaften:

- Prüft das Design der internen Maßnahmen am Stichtag

- Keine Aussage zur Wirksamkeit der Kontrollen

- Geeignet für Erstprüfungen oder wenn operative Daten noch nicht vorliegen

- Kann als Übergangslösung dienen

Einsatzgebiete:

- Neue Cloud-Dienste ohne Betriebshistorie

- Übergangszeit im Gesundheitswesen (bis 30.06.2025)

- Vorbereitung auf Typ-2-Zertifizierung

Typ-2-Testat

Eigenschaften:

- Beurteilt Design UND Wirksamkeit der Maßnahmen

- Prüfung über einen definierten Zeitraum (meist 6-12 Monate)

- Nachweis des wirksamen Betriebs erforderlich

- Gilt als Standard für C5

Einsatzgebiete:

- Regulärer Betrieb etablierter Cloud-Dienste

- Verpflichtend im Gesundheitswesen ab 01.07.2025

- Aussagekräftige Basis für Risikomanagement

Prüfprozess und Berichtsstandards

ISAE 3000 (Revised) als Grundlage

C5-Prüfungen folgen dem international anerkannten Standard für Assurance-Engagements:

- Prüfungsstandard: ISAE 3000 (Revised)

- Berichtsformat: SOC-2-Bericht mit C5-spezifischen Ergänzungen

- Zusätzliche Standards: ISAE 3402, SOC 2 werden analog angewendet

Qualitätskriterien für C5-Testate

Cloud-Kunden sollten bei der Prüfung eines C5-Testats folgende Punkte beachten:

  1. Qualifizierung des Prüferteams
- Prüfung nach ISAE 3000 durchgeführt

- Informationen zum gesamten Prüferteam vorhanden

  1. Berichtsgrundsätze
- Relevanz

- Vollständigkeit

- Zuverlässigkeit

- Neutralität

- Verständlichkeit

  1. Art des Prüfurteils
- Unbeschränkt (unqualified): Vollständige Erfüllung aller Kriterien

- Qualifiziert/eingeschränkt: Abweichungen vorhanden, müssen bewertet werden

  1. Aktualität
- Testat sollte aktuell sein (i.d.R. jährliche Erneuerung)

- Geprüfter Zeitraum klar ausgewiesen

C5:2025 – Die nächste Generation

Die BSI-Arbeitsgruppe entwickelt derzeit C5:2025 mit wichtigen Neuerungen:

Internationale Harmonisierung

- EUCS-Integration: Assurance-Stufe "Substantial" des European Cloud Certification Scheme

- ISO/IEC 27001:2022: Anpassung an aktuelle Version

- NIS2-Richtlinie: Integration der EU-Anforderungen

- CSA Cloud Controls Matrix v4: Kompatibilität mit internationalen Standards

Neue technische Themen

- Container-Management

- Supply-Chain-Sicherheit

- Post-Quantum-Kryptographie

- Confidential Computing

- Verschärfte Mandantentrennung

- Digitale Souveränität

Strukturelle Verbesserungen

- Aufteilung in Unterkriterien für bessere Auditierbarkeit

- Kategorisierung neuer Kriterien:

- "Additional Sharpen" (verschärft)

- "Additional Complement" (ergänzend)

Beziehungen zu anderen Standards

ISO 27001 / ISO 27017

- Viele C5-Kriterien stammen aus ISO 27001 Anhang A

- Vorhandenes ISMS nach ISO 27001 als solide Basis nutzbar

- Statement of Applicability (SoA) ermöglicht Abgleich mit C5

SOC 2 / ISAE 3000

- C5-Prüfberichte werden als SOC-2-Berichte erstellt

- SOC 2 deckt Trust-Service-Prinzipien ab

- C5 ergänzt cloud-spezifische Kriterien:

- Transparenz

- Mandantentrennung

- Behördliche Ermittlungsanfragen

C5-Äquivalenz-Verordnung

Für die Übergangszeit können folgende Zertifikate als temporärer Ersatz dienen:

- ISO 27001:2022

- BSI-IT-Grundschutz

- CSA CCM v4

Voraussetzungen:

- Zusätzliche Maßnahmenplanung für verbleibende Lücken

- Maximal 18 Monate Übergangsfrist

- Besonders für kleine Anbieter gedacht

Umsetzungshilfen und Best Practices

Phase 1: Risikobasierte Planung und Vorbereitung

Management-Commitment sichern

- Relevanz des C5-Testats auf Führungsebene verankern

- Ausreichende Ressourcen bereitstellen

- Verantwortlichkeiten klar definieren

Scope festlegen

- Betroffene Cloud-Dienste identifizieren

- Regionen und Kundendaten definieren

- Gesetzliche Vorgaben berücksichtigen (z.B. SGB V)

- Scope-Entscheidungen dokumentieren

Risikomanagement etablieren

- Asset-Inventar erstellen

- Bedrohungen und Schwachstellen analysieren

- Eintrittswahrscheinlichkeiten bewerten

- Etablierte Methoden aus ISO 27005 nutzen

Readiness-Assessment durchführen

- Voraudit (z.B. SOC 2 + C5 readiness)

- Lücken in bestehenden Kontrollen identifizieren

- Konkreten Umsetzungsplan entwickeln

Phase 2: Implementierung der C5-Kontrollen

Kontrollen auswählen und anpassen

- Relevante C5-Kriterien für eigene Dienste identifizieren

- Überschneidungen mit ISO 27001 nutzen:

- Zugangskontrolle

- Incident Response

- Cloud-spezifische Kontrollen implementieren:

- Mandantentrennung

- Portabilität

- Behördliche Ermittlungsanfragen

Dokumentation und Nachweise

- Richtlinien und Prozesse erstellen

- Nachweise zu allen Kontrollen sammeln

- Für Typ-2-Berichte: Betriebsnachweise bereitstellen

- Logfiles

- Change-Management-Protokolle

- Audit-Trails

Subdienstleister einbinden

- C5-Konformität von Subdienstleistern sicherstellen

- Vergleichbare Zertifikate akzeptieren

- Zertifikate in eigene Prüfung einbinden

Kontinuierliche Überwachung

- Regelmäßige interne Audits

- Management-Reviews durchführen

- Wirksamkeit der Kontrollen prüfen

- Fortlaufendes internes Monitoring

Praxis-Tipps für die Umsetzung

Praxis-Tipp 1: Übergangsregelungen nutzen
Kleine Anbieter können die C5-Äquivalenz-Verordnung für maximal 18 Monate nutzen. Ein ISO 27001:2022- oder IT-Grundschutz-Zertifikat dient als temporärer Ersatz für ein C5-Typ-1-Testat. Zusätzlich ist eine Maßnahmenplanung für verbleibende Lücken erforderlich. Nutzen Sie diese Frist zur Vorbereitung eines vollständigen C5-Typ-2-Testats.
Praxis-Tipp 2: Mandantentrennung präzise umsetzen
Ein Schwerpunkt in C5:2025 ist die strikte Mandantentrennung. Prüfen Sie, ob Ihre Cloud-Plattform Mandantendaten technisch trennt. Dokumentieren Sie Mechanismen wie Tenant-Isolation und Verschlüsselung per Mandant nachvollziehbar.
Praxis-Tipp 3: Supply-Chain-Sicherheit stärken
Neue Kriterien erfordern verstärkte Kontrolle von Lieferketten und Subdienstleistern. Integrieren Sie Third-Party-Risk-Management in Ihr ISMS. Überprüfen Sie SLAs und verlangen Sie Sicherheitsnachweise von allen Partnern.
Praxis-Tipp 4: Post-Quantum-Kryptographie vorbereiten
C5:2025 berücksichtigt post-quantum-Kryptographie. Evaluieren Sie frühzeitig kryptographische Verfahren, die gegen Quantenangriffe resistent sind – besonders für langfristig vertrauliche Daten.

So unterstützt die fuentis Suite

Die fuentis Suite bietet umfassende Unterstützung bei der Einführung und dem Betrieb eines C5-konformen Sicherheitsmanagements:

Risikomanagement-Modul

- Strukturierte Risikobewertung nach ISO 27005

- Zentrales Risikoregister mit Asset-Verknüpfung

- C5-spezifische Risiken (Mandantentrennung, Lieferketten) individuell abbildbar

- Maßnahmentracking und Wirksamkeitsprüfung

Asset-Management

- Detailliertes Asset-Inventar mit Klassifizierung

- Zuordnung zu Eigentümern und Verantwortlichen

- Erfüllung der C5-Asset-Management-Anforderungen

- Lifecycle-Management von der Beschaffung bis zur Entsorgung

Compliance-Management

- Vorlagen für ISO 27001 und ISO 27017

- Anpassbare Kriterienkataloge für C5

- Integration von C5-Kontrollen in bestehende Strukturen

- Statement of Applicability (SoA) Generation

- Umsetzungsstatus-Dokumentation

Audit- und Review-Module

- Unterstützung interner Audits

- Management-Review-Prozesse

- Nachverfolgung von Nichtkonformitäten

- Zentrale Sammlung von Betriebsnachweisen für Typ-2-Testate

- Zuordnung von Nachweisen zu Kontrollen

Dokumentenmanagement (DMS)

- Versionierte Ablage von Richtlinien und Prozessen

- Testat-Berichte zentral verwalten

- Genehmigungsworkflows

- Audit-Trail für Nachvollziehbarkeit

- Automatische Dokumentenverteilung

Online-Assessment

- Webbasierte Fragebögen zur Selbsteinschätzung

- Automatische Ermittlung des Compliance-Status

- Gap-Analyse für C5-Vorbereitung

- Maßnahmengenerierung aus Assessments

Kernaussagen auf einen Blick

C5 definiert Mindestanforderungen für sichere Cloud-Dienste basierend auf 17 Anforderungsbereichen, die sich an ISO 27001 orientieren und cloud-spezifische Aspekte ergänzen.

Typ-2-Testate belegen die Wirksamkeit der Kontrollen über einen Prüfzeitraum und werden im Gesundheitswesen ab 1. Juli 2025 verpflichtend; Typ-1-Testate gelten nur als Übergangslösung.

C5-Prüfungen basieren auf ISAE 3000/SOC 2 – Cloud-Kunden sollten unbeschränkte, aktuelle Berichte anfordern und die Einbindung von Subdienstleistern prüfen.

C5:2025 bringt wichtige Neuerungen wie Container-Management, Supply-Chain-Sicherheit, Post-Quantum-Kryptographie und stärkere Ausrichtung an EUCS, ISO 27001:2022 und NIS2.

Strukturierte Umsetzung mit passenden Tools wie der fuentis Suite ermöglicht effizientes Management von Risiken, Assets, Compliance-Kontrollen und Audits für eine praxisnahe C5-Implementierung.