Das BSI-C5-Testat:
So beweisen Sie Cloud-Sicherheit schwarz auf weiß
Unternehmen, die Cloud-Dienste bereitstellen oder nutzen, stehen mehr und mehr unter Zugzwang: Kunden wollen Sicherheit, Behörden Nachweise und klassische IT-Security-Zertifizierungen wie ISO 27001 oder TISAX® greifen manchmal zu kurz.
Der BSI-C5-Katalog (Cloud Computing Compliance Criteria Catalogue) schließt genau diese Lücke – als spezifischer Prüfrahmen für Cloud-Sicherheit „Made in Germany“. Das Besondere: C5 macht Sicherheitsmaßnahmen nicht nur überprüfbar, sondern durch detaillierte Prüfberichte auch vergleichbar – und schafft so Vertrauen auf einem Markt, der oft schwer durchschaubar ist.
In diesem Beitrag erfahren Sie:
- Welche Anforderungen der BSI konkret stellt – und worauf Auditoren besonders achten
- Warum sich ein C5-Testat auch wirtschaftlich lohnt – und wie Sie Aufwand, Zeit und Kosten clever reduzieren
- Welche Schritte Sie konkret gehen müssen, um das begehrte BSI-C5-Testat zu ergattern und zu behalten
Was ist der BSI-C5-Kriterienkatalog,
und warum ist er für mein Unternehmen relevant?
Cloud-Dienste sind heute fester Bestandteil unseres Lebens und der Arbeitswelt, vom gehosteten Webshop bis zur global skalierbaren SaaS-Plattform. Doch mit der Flexibilität steigen auch die Anforderungen an die IT-Sicherheit. Wer Cloud-Lösungen anbietet oder nutzt, steht zunehmend unter Beobachtung: Von Kunden, Partnern, Prüfern und oft auch von Aufsichtsbehörden.
Genau hier setzt der BSI-C5-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) an: Er liefert einen verbindlichen, prüfbaren Rahmen für Cloud-Sicherheit – spezifisch zugeschnitten auf moderne Cloud-Infrastrukturen.
Doch wie unterscheidet sich der C5 von anderen Standards?
Im Gegensatz zu klassischen IT-Sicherheitszertifizierungen wie ISO/IEC 27001 oder TISAX® liegt beim C5 der Fokus explizit auf die Informationssicherheit, die ein Cloud-Anbieter bei seinen Produkten bietet – mit praxisnahen Anforderungen an Mandantenfähigkeit, Skalierbarkeit, Datenverarbeitung und physische Sicherheit im Rechenzentrum. Während ISO 27001 das "große Ganze" abbildet, bringt BSI C5 die Cloud-Perspektive auf den Punkt und macht sie vergleichbar und transparent.
Hinzu kommt: ISO-Zertifizierungen sind meist international ausgerichtet, während C5 auf die spezifischen Anforderungen des deutschen Marktes und des europäischen Rechtsrahmens zugeschnitten ist – was ein starkes Argument in Ausschreibungen, bei Behörden oder für sicherheitskritische Kunden sein kann.
Der Gesetzesentwurf „zur Beschleunigung der Digitalisierung des Gesundheitswesens“ erlaubt mittlerweile explizit die Nutzung von Cloud-Diensten durch Leistungserbringer im Gesundheitswesen, allerdings, nur wenn diese nach C5 zertifiziert sind. Mit dieser gesetzlichen Grundlage gewinnt das C5-Testat weiter an Gewicht. Auch weil viele Aufsichtsbehörden und Cloud-Kunden das C5-Testat als geeigneten Bezugsrahmen zur Erfüllung von Art. 32 DSGVO („Sicherheit der Verarbeitung“) sehen. Wer also Cloud-Dienste erbringt oder nutzt, kommt an diesem Thema kaum noch vorbei.
Aufbau & Anforderungen:
Was fordert der BSI C5 konkret?
Wer rechtssicher mit sensiblen Daten in der Cloud arbeiten möchte, braucht mehr als nur ein gutes Gefühl, er braucht belastbare Nachweise. Genau hier setzt der C5-Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) an: Er prüft, ob technische und organisatorische Sicherheitsmaßnahmen in Cloud-Umgebungen nicht nur vorhanden, sondern auch wirksam sind.
Im Gegensatz zu Standards wie ISO 27001 oder TISAX® geht es bei C5 weniger um das „Ob“, sondern um das konkretisierte „Wie“ – mit Fokus auf Transparenz, Nachvollziehbarkeit und Cloud-spezifische Risiken.
Insgesamt gliedert sich der C5-Katalog in 17 Kontrollbereiche mit über 120 Einzelforderungen. Die Grundlage dafür bilden internationale Normen, ergänzt durch konkrete Anforderungen für den Cloud-Alltag.
Hier ein Überblick der 17 Bereiche, die beim BSI-C5-Audit geprüft werden:
- Informationssicherheitsorganisation: Wie gut sind Zuständigkeiten geregelt und Sicherheitsprozesse strukturiert?
- Personal: Werden Mitarbeitende sicherheitsrelevant geschult und geprüft?
- Physische Sicherheit: Sind Rechenzentren und Geräte vor unbefugtem Zugriff geschützt?
- Betriebssicherheit: Wie werden Störungen erkannt, eskaliert und behoben?
- Kommunikationssicherheit: Wie sind Datenübertragungen geschützt – intern wie extern?
- Zugriffs- und Berechtigungsmanagement: Wer darf was – und wie wird das kontrolliert?
- Kryptographie: Welche Verschlüsselungen kommen wann zum Einsatz – und wie ist das Schlüsselmanagement geregelt?
- Systementwicklung und –wartung: Sind Sicherheitsanforderungen bereits in der Softwareentwicklung berücksichtigt?
- Lieferantenbeziehungen: Sind Subdienstleister in das Sicherheitskonzept integriert?
- Sicherheitsvorfälle: Gibt es Prozesse zur Erkennung, Behandlung und Analyse von Incidents?
- Business Continuity: Wie sieht das Notfallkonzept aus – und ist der Betrieb im Ernstfall gesichert?
- Compliance & Rechtliches: Werden gesetzliche Vorgaben wie die DSGVO eingehalten und nachgewiesen?
- Mandantenfähigkeit: Wie werden Mandantendaten getrennt verarbeitet und geschützt?
- Governance & Risikomanagement: Ist die Führungsebene eingebunden – und werden Risiken aktiv gemanagt?
- Cloud-spezifische Anforderungen: Wie werden Virtualisierung, Speicherorte und Subdienstleister gesteuert?
- Transparenzpflichten: Können Kunden und Auditoren nachvollziehen, welche Maßnahmen wie umgesetzt werden?
- Kundenschnittstellen & Kommunikation: Ist klar geregelt, wer bei Vorfällen, Fragen oder Prüfungen Ansprechpartner ist?
Übrigens: BSI C5 ist kein Zertifikat im klassischen Sinne, sondern ein umfangreicher Prüfrahmen, auf dessen Basis ein unabhängiger Wirtschaftprüfer die Sicherheitsmaßnahmen Ihres Cloud-Dienstes bewertet. Am Ende erhalten Sie ein öffentlich zugängliches BSI-C5-Testat, das dokumentiert, ob und wie Sie die Anforderungen des C5-Katalogs erfüllen – inklusive Prüfbericht, Management Statement und Leistungsbeschreibung.
Die C5-Prüfung kann in zwei unterschiedlichen Ausprägungen durchgeführt werden:
- BSI-C5 Typ 1: Eine Momentaufnahme zum festgelegten Stichtag. Hierbei wird geprüft, ob die Anforderungen des C5-Katalogs zu einem bestimmten Zeitpunkt erfüllt sind.
- BSI-C5 Typ 2: Eine zeitraumbasierte Prüfung über einen Zeitraum von 6 bis 12 Monaten. Dabei wird nicht nur geprüft, ob die Anforderungen formal erfüllt, sondern auch, ob sie über den gesamten Prüfzeitraum hinweg wirksam umgesetzt wurden.
4 Vorteile
eines BSI-C5-Testats:
Vertrauen schaffen
Ein BSI-C5-Zertifikat signalisiert Kunden und Partnern: Sicherheit hat bei uns System. Das stärkt die eigene Marktposition, vor allem im Wettbewerb um sensible Kunden aus der Industrie oder dem öffentlichen Sektor.
Compliance absichern
Immer mehr regulatorische und gesetzliche Anforderungen, wie z.B. im Gesundheitswesen, verlangen strukturierte Nachweise über technische und organisatorische Maßnahmen. C5 liefert die passende Nachweise.
Kosten senken & Klarheit schaffen
Eine strukturierte BSI-C5-Umsetzung hilft dabei, Prozesse zu standardisieren und Risiken frühzeitig zu erkennen. Viele unserer Kunden berichten, dass sich die Investition bereits mittelfristig durch effizientere Abläufe und weniger Infromationssicherheitsvorfälle auszahlt.
Ausschreibungen gewinnen
Ein belastbarer Sicherheitsnachweis zur Cloud-Security wird von öffentlichen Auftraggebern und größeren Unternehmen immer häufiger vorausgesetzt. Ein BSI-C5-Testat verkürzt Prüf- und Freigabeprozesse, reduziert die Anzahl von Rückfragen in Due-Diligence-Fragebögen und erhöht die Chancen, bei Ausschreibungen erfolgreich zu sein.
So läuft eine
C5-Zertifizierung typischerweise ab
Schritt 1
Zieldefinition & Anwendungsbereich klären
Welche Cloud-Services sollen zertifiziert werden? C5 bezieht sich stets auf konkrete Dienste – nicht auf das Unternehmen als Ganzes.
Schritt 2
GAP-Analyse & Reifegradprüfung
Wie gut erfüllen Ihre bestehenden Prozesse, Nachweise und technischen Maßnahmen die rund 120 C5-Anforderungen?
Schritt 3
Maßnahmenplan & Umsetzung
Alle festgestellten Nichtkonformitäten werden nachvollziehbar priorisiert und mit prüffähigen Maßnahmen adressiert – ohne unnötige Komplexität, aber mit klarem Fokus auf Auditfähigkeit.
Schritt 4
Audit & Nachweisprüfung
Ein unabhängiger Wirtschaftsprüfer bewertet Dokumentation, Technik, Prozesse und Wirksamkeit zeitpunktbezogen (Typ 1) oder zeitraumbezogen (Typ 2) .
Schritt 5
Testat & Veröffentlichung
Nach erfolgreichem Audit erhalten Sie ein offizielles Testat inklusive Prüfbericht und Management Statement.
Was bei BSI-C5 häufig zu schwachen Prüfergebnissen führt –
und wie Sie es besser machen
Unsere Erfahrung aus zahlreichen BSI-C5-Zertifizierungen zeigt: Die typischen Stolperfallen entstehen nicht durch fehlende Technik, sondern haben ihren Ursprung in unrealistischen Konzepten und mangelnder Umsetzungstiefe.
Häufige Fehler, die im Alltag harmlos wirken, im Audit aber schnell zum Feststellungen führen.
Copy-Paste-Dokumentationen aus ISO-27001-Vorlagen, die mit C5-Anforderungen nichts zu tun haben
Das Ergebnis: Viel Papierkram, aber keine prüfbare Sicherheit.
Technische Anforderungen werden geprüft, aber der organisatorische Part vergessen
Der C5-Auditor bewertet aber nicht nur Ihre Firewalls und Logs, sondern auch Prozesse, Verantwortlichkeiten, Awareness.
Wahl des falschen C5-Testat-Typen
Wer langfristig Vertrauen aufbauen oder Kundenanforderungen erfüllen will, braucht fast immer einen Typ-2-Nachweis, weil nur so eine kontinuierliche Erfüllung der C5-Kriterien sichergestellt werden kann.
Wahl einer unklaren Tool-Strategie
Schon klar: Tools alleine lösen keine Probleme – aber eine strukturierte Auswahl zu Beginn spart erfahrungsgemäß eine Menge Aufwand. Wer ein Governance-Tool erst am Ende des Prozesses einführt, muss viele Daten und Strukturen doppelt anfassen. Besser Sie planen von Anfang an mit ein, welche Prozesse digital unterstützt werden sollen und evaluieren dafür die passenden Tools. Ein erfahrener Partner wie MEMEX kann hier von Beginn an viele Fragezeichen auflösen. In einem kostenlosen Beratungsgespräch werfen wir gerne gemeinsam und unverbindlich einen Blick auf Ihre Ausgangssituation.
C5-Anforderungen clever integrieren:
Erweitern Sie bestehende Sicherheitsmaßnahmen um Cloud-Anforderungen und schaffen Sie so echte Synergien
Ein C5-Projekt kann Ihr bestehendes Sicherheits- und Compliance-Setup gezielt stärken, ohne neue Silos oder Doppelstrukturen aufzubauen. Richtig aufgesetzt, lassen sich die Controls aus dem BSI-C5-Katalog nahtlos in vorhandene Managementsysteme einbinden, insbesondere in ein ISO-27001-ISMS und ein Business-Continuity-Management nach ISO 22301. Da C5 konsequent auf Cloud-Umgebungen ausgerichtet ist, baut es auf bekannten Sicherheits- und BCM-Prozessen auf und ergänzt diese gezielt um Cloud-spezifische Anforderungen. So erhöhen Sie die Sicherheit und Verfügbarkeit Ihrer Cloud-Services, ohne doppelte Strukturen zu schaffen.
Synergien im Business Continuity Management
Ein etabliertes BCM nach ISO 22301 deckt bereits viele Anforderungen des C5-Kriterienkatalogs ab. Notfallpläne, Wiederanlaufzeiten für Cloud-Ausfälle lassen sich direkt aus Ihrem BCM ableiten und punktuell ergänzen.
Awareness & Schulung
Vorhandene Schulungen zu Informationssicherheit und Compliance lassen sich um Cloud-Themen wie Shared Responsibility oder Cloud Incidents ergänzen. So erfüllen Sie die C5-Anforderungen, ohne ein neues Trainingsprogramm aufbauen zu müssen.
Technische & organisatorische Maßnahmen (TOMs)
Viele Maßnahmen eines ISO-27001-ISMS, wie beispielsweise Zugriffssteuerung, Verschlüsselung und Protokollierung, lassen sich mit wenigen Ergänzungen auf Cloud-Umgebungen übertragen. So können Sie zentrale C5-Controls umsetzen, ohne Ihre Sicherheitsarchitektur neu zu erfinden.
Kundenkommunikation im Krisenfall
Die meisten Regelungen des ISO-22301 BCM zur Information von Kunden bei Störungen oder Krisen können für C5 übernommen werden. Durch klare Prozesse zu Status-Updates und Wiederherstellungsfortschritt erfüllen Sie die Erwartungen Ihrer Kunden auch im Cloud-Kontext.
Im Klartext:
Wenn Ihr Unternehmen z.B. bereits Tools für die Analyse von IT-Sicherheitsrisiken nutzt, müssen Sie für C5 das Rad nicht neu erfinden – sie können ihre Tools und Prozesse um C5-Anforderungen erweitern. Das Gleiche gilt für bestehende Notfallkonzepte oder Auditpläne, die mit wenigen Ergänzungen in der Regel auch Cloud-spezifische Anforderungen erfüllen.
FAQs –
weitere wichtige Fragen zum Thema BSI C5:
Ja, im Gesundheitsbereich. Darüber hinaus wird das C5-Testat aber auch bei vielen öffentlichen und industriellen Ausschreibungen zunehmend zur Teilnahmevoraussetzung.
Nicht ganz. BSI C5 ist kein offizielles Zertifizierungsverfahren, sondern ein Prüfstandard, dessen Einhaltung über ein Audit eines unabhängigen Wirtschaftsprüfers nachgewiesen wird. Das Ergebnis ist ein sogenanntes C5-Testat, das öffentlich einsehbar ist und häufig wie eine Zertifizierung genutzt wird – etwa bei Ausschreibungen, Kundenanfragen oder als interner Compliance-Nachweis. Gerade in Deutschland wird das C5-Testat zunehmend als de-facto-Nachweis für Cloud-Sicherheit anerkannt, insbesondere bei Unternehmen mit Kunden aus dem Gesundheitsbereich, der Industrie oder dem öffentlichen Sektor. Wer international tätig ist, kann das Testat zusätzlich mit ISO 27001 kombinieren – und so sowohl nationale als auch internationale Anforderungen abdecken.
Je nach Ausgangslage erfahrungsgemäß zwischen 3 und 9 Monaten – inklusive Vorbereitung, Audit und Nachbesserung.
Es gibt Tools für ISMS, Risikoanalysen und das Dokumentenmanagement – entscheidend ist, welches Tool zum Unternehmen passt. Bei unserer Beratung empfehlen wir nur, was sich in der Praxis bewährt hat.
Das klären wir gerne in einem kostenlosen BSI-C5-Quick-Check.
