Mit dem C5-Prüfsiegel zur sicheren und geprüften Cloud

Mit diesen Worten leitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Cloud Computing Compliance Criteria Catalogue (C5) ein und beschreibt ihn somit als einen vertrauensbildenden Standard für die Cloud-Security.

Skalierbarkeit, Flexibilität und Effizienz gelten längst als Synonyme, welche mit den Vorteilen einer Cloud in Verbindung gebracht werden. Nicht zuletzt sind dies Gründe, weshalb Organisationen Cloud-Lösungen im Einsatz haben. Doch Auslagerungen von sensiblen Daten und Prozessen können auch das Sicherheitsrisiko steigern. Hier setzt der C5 an: Eine strukturierte und prüfbare Grundlage für die Cloud-Security sowohl für Cloud-Provider als auch für Cloud-Nutzende. Anhand eines strukturierten Katalogs werden Anforderungen transparent und prüfbar aufbereitet. Zu den Anforderungen gehören unter anderem Maßnahmen zur Zugriffskontrolle, Verschlüsselung, Notfallmanagement aber auch dem Speichern von Daten.

Bin ich betroffen? – Wie der BSI C5 bei eurer sicheren Cloud-Strategie hilft!

Die folgende Darstellung zeigt, unter welchen Umständen der C5 relevant sein könnte! Kurz gesagt: um potenzielle Risiken und Compliance-Verstöße zu vermeiden, ist der C5 notwendig.

Bereits bei der Planung eines Cloud-Vorhabens sollten Organisationen sich mit dem Thema Cloud-Security auseinandersetzen. Der C5 kann dabei als Best-Practice-Standard dienen – unabhängig davon, ob ihr Anbieter oder User seid.

Insofern ihr im Gesundheitswesen tätig seid, gilt das Digitalgesetz in Verbindung mit der Äquivalenzverordnung, welches im §393 SGB V ein C5 Testat für den Cloud-Einsatz fordert. Insbesondere Krankenhäuser, Praxen und Abrechnungsservices müssen für Gesundheits- und Sozialdaten seit dem 01.07.2025 sowohl den Nachweis angemessener Sicherheitsmaßnahmen und Kontrollen als auch den Nachweis der Wirksamkeit dieser erbringen. Medizinische Labore und Unfallkassen sollten sich ebenfalls am C5 Standard orientieren.

Für Organisationen im KRITIS- oder Finanzsektor sind ergänzend die KRITIS-Verordnung sowie die Anforderungen von DORA und BAIT zu erfüllen. Beim Einsatz oder Nutzen von Cloud-Diensten sollten hierbei die Anforderungen und Risikobewertungen des C5 hinzugezogen werden. Ein C5 kann darüber hinaus für den Nachweis nach §8a Absatz 3 BSIG verwertbar sein.

Beim Verarbeiten von personenbezogenen oder vertraulichen Daten in der Cloud ist ebenso ein angemessener Schutz gem. DSGVO und C5 zu gewährleisten.

IT-Dienstleister, die ihren Cloudservice in diesen Sektoren vermarkten wollen, sollten ihre Angebote von Beginn an den C5 Kriterien ausrichten. Dies gewährleistet einen sicheren Aufbau des angebotenen Cloud-Dienstes, erleichtert Kundenprüfungen, stärkt die Marktakzeptanz und das Vertrauen.

Der BSI C5 als Werkzeug des Vertrauens: Inhalt und Struktur

Der C5 stellt einen Prüfkatalog für Sicherheit in Cloud-Umgebungen dar. Hierfür ist der Kriterienkatalog in die obigen Themenbereiche gegliedert. Jedes Themenfeld enthält etwaige Anforderungen beziehungsweise „Basiskriterien“ und „Zusatzkriterien“ und führt euch somit strukturiert und nachvollziehbar zur Cloud-Security. Welche Themenbereiche sowie welche Kriterien für eure Organisation relevant oder gegebenenfalls durch andere Stakeholder umzusetzen sind, ist individuell anhand dem Schutzbedarf und der Modellierung festzulegen.

Neben diesen Kriterien gibt es ergänzende Dokumente oder Informationen, wie den Auswertungsleitfaden und die Kreuzreferenztabellen des BSI, welche sowohl zum strukturierten Prüfen von bestehenden Testaten als auch für den Vergleich mit anderen Standards genutzt werden können.

Grundlegend wird zwischen zwei Testats-Typen differenziert:

• Typ 1 – prüft auf Angemessenheit der Maßnahmen zu einem Stichtag
• Typ 2 – prüft auf Wirksamkeit der Umsetzung über einen längeren Zeitraum

Wenn eure Organisation Cloud-Dienste nutzt, für die ein C5-Testat vorliegt, ist es erforderlich, dieses systematisch zu prüfen, die Verantwortlichkeiten zu bewerten und mögliche offene Anforderungen gegebenenfalls zu identifizieren.

Wer den C5 um die Themen Datenschutz und Vertragsgestaltung erweitern möchte, kann hierfür die „Trusted Cloud“ des Bundesministeriums für Wirtschaft und Klimaschutz nutzen.

Nächste Schritte: Von der Analyse zur Testierung – so startet ihr richtig

Eine Umsetzung ist kein IT-Alleingang, sondern erfordert die Zusammenarbeit verschiedener Bereiche. Folgend sehen wir den Ablauf zur Umsetzung.

Im ersten Schritt auf dem Weg zum C5-Testat oder einer Anbieterprüfung steht die Schaffung von Klarheit. Eine Ist-Analyse hilft dabei, die betroffenen Dienste, Datenbestände, Systeme und bereits vorhandenen Nachweise systematisch zu erfassen. Nur mit einem vollständigen Überblick lassen sich Risiken und Anforderungen gezielt ableiten.

Darauf aufbauend erfolgt eine Schutzbedarfsfeststellung. Hier wird analysiert, wie kritisch die zu verarbeitenden Daten sind, welche gesetzlichen Rahmenbedingungen gelten sowie welche Mandanten zu betrachten wären. Auf Basis dieser Schutzbedarfsfeststellung gilt es die Anforderungen des C5 zu Modellieren. Ziel hierbei: welche Anforderungen bezeihungsweise „Basiskriterien“ und „Zusatzkriterien“ sind für eure Organisation relevant.

Als zentralen Schritt gilt es in der GAP-Analyse zu prüfen, welche Anforderungen bereits umgesetzt sind und wo Nachbesserungen erforderlich sind. Wichtig: es ist sowohl die Dokumentation als auch die tatsächliche Umsetzung zu prüfen und anschließend ein detaillierter Maßnahmenplan aufzusetzen.

Aufgrund der Beteiligung unterschiedlichster Stakeholder bei Cloud-Diensten, müssen die Zuständigkeiten festgelegt werden. Dies umfasst sowohl interne Abteilungen als auch weitere Dienstleister, welche über Auftragsvereinbarungen klare Regelungen zur Umsetzung der C5 Anforderungen treffen müssen. Die anschließende Umsetzung bezieht sich auf das Etablieren der technischen Maßnahmen, dem Aufbau von organisatorischen Prozessen und dem Erstellen der notwendigen Dokumentation. Dieser Schritt erfordert Zeit, Abstimmung und einen konkreten Maßnahmenplan, bevor eine Testierung beginnen kann.

Seid ihr Cloud-Anbieter? Dann orientiert euch an den dargestellten Phasen hin zu einem erfolgreichen BSI C5 Testat!

Seid ihr Cloud-Nutzende? Dann orientiert euch an den dargestellten Phasen, um eine systematische Prüfung eures Cloud-Anbieters durchführen und offene Anforderungen zu identifizieren und umsetzen zu können!

Der C5 in 2025 – was hat sich geändert?

Neben dem §393 SGB V, welcher seit Juli 2025 ein BSI C5 Testat beim Bearbeiten von Gesundheits- und Sozialdaten in einer Cloud-Lösung vorsieht, hat das BSI einen „Community Draft“ des C5 in einer neuen Version veröffentlicht: „Cloud Computing Criteria Catalogue C5:2025“.

Mit der aktualisierten Version entwickelt das BSI den bisherigen C5 weiter. Im aktuellen Community Draft wird der Kriterienkatalog geringfügig umstrukturiert, thematisch erweitert und technische Anforderungen aktualisiert, um sich der weiter zunehmenden Cloud-Nutzung sowie technischen Änderungen anzupassen:

Im Zuge der Umstrukturierung werden die Basiskriterien nicht mehr ausschließlich von Zusatzkriterien begleitet, sondern es entsteht eine neue Logik – wobei die Basiskriterien durch die nachfolgenden ergänzt und konkretisiert werden:

• „Additional Sharpening Criteria“, welche bestehende Anforderungen präzisieren, etwa durch klarere technische oder organisatorische Vorgaben,
• „Additional Complementing Criteria“, sofern diese in den Basiskriterien bislang nicht oder nicht ausreichend abgedeckt waren,
• „Complementary Customer Criteria“, mit denen die Verantwortlichkeiten und Mitwirkungspflichten der Cloud-Kunden im Sinne des Shared-Responsibility-Modells hervorgehoben werden.

Für den in 17 Themen aufgebaute C5:

2025, kann es in der Praxis demnach erforderlich sein, dass die Testate angepasst werden müssten. Die Grundstruktur von Testat-Typ 1 und Typ 2 bleibt unverändert. Allerdings ist erkennbar, dass der Schwerpunkt zunehmend auf Typ 2 verlagert und der Typ 1 als eine Art des Übergangstestates in der Aufbauphase angesehen wird.

Wie beim C5:

2020 ist die Auswahl, welche Kriterien im Rahmen eines Testats auditiert werden sollen, nach wie vor dem Cloud-Provider vorbehalten. Die Basiskriterien stellen laut BSI den Mindeststandard für Informationssicherheit dar.

Für Unternehmen, welche künftig eine C5 Testierung nachweisen müssen, gilt der C5:2025 ab Januar 2027. Es empfiehlt sich jedoch bereits im Voraus mit den neuen Anforderungen und der neuen Struktur vertraut zu machen und diese in Ihrer Organisation zu implementieren.

Gemeinsam mit adesso zum sicheren Cloud-Betrieb nach BSI C5

Die Kriterien des BSI C5 zu modellieren, umzusetzen und mit aktuellen Technologien sowie Best Practices in Einklang zu bringen, kann eine Herausforderung darstellen. Genau hierbei unterstützt adesso euch ganzheitlich – unabhängig davon, ob ihr Cloud-Anbieter auf dem Weg zum Testat oder Cloud-Nutzende sind.

Die obigen Bausteine spiegeln die Phasen eines vollständigen C5-Umsetzungsfahrplans wider. Sie decken sowohl technische als auch organisatorisch-regulatorische Anforderungen ab.

adesso begleitet euch entlang des gesamten Umsetzungsprozesses – von der ersten Analyse bis hin zum sicheren Cloud-Betrieb nach BSI C5. Dabei unterstützen wir euch umfassend in allen relevanten Themenfeldern:

• Technische Umsetzung / Cloud Security Engineering (unter anderem):

  • Security Management
  • Identitäts- und Zugriffsmanagement
  • Applikations- und Datensicherheit
  • Netzwerksicherheit
  • Threat Protection

• Regulatorisch-organisatorische Umsetzung (unter anderem):

  • Dienstleisterprüfung
  • Analyse bestehender Strukturen
  • Maßnahmenplanung
  • Umsetzung der Anforderungen an die Informationssicherheit