So funktioniert ein C5 Audit – Schritt für Schritt erklärt

C5-Audits sind überall dort angekommen, wo sensible Workloads in der Cloud liegen, beispielsweise im öffentlichen Sektor, bei Banken und Versicherern oder bei Betreibern kritischer Infrastrukturen. Sie gelten zunehmend als Referenznachweis für sichere und regulierungskonforme Cloud-Services. Die spannende Frage lautet: Was passiert in einem solchen Audit eigentlich – und worin unterscheidet es sich von klassischen ISO-Zertifizierungen?

Dieser Beitrag fasst den Ablauf eines C5-Audits kompakt zusammen, zeigt die wichtigsten Unterschiede zu ISO 27001 und ähnlichen Formaten und gibt Hinweise, wie Einkauf, IT und Compliance C5-Berichte in der Praxis nutzen können.

Was steckt hinter C5?

Der Cloud Computing Compliance Controls Catalogue (C5) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichter Kontrollrahmen speziell für Cloud Services. Er definiert konkrete, prüffähige Anforderungen rund um Informationssicherheit, Datenschutz, Betrieb und Transparenz. Anders als allgemeine „Best Practices“ liefert C5 also einen Katalog von Kontrollzielen, entlang derer ein bestimmter Cloud Dienst auditiert werden kann.

Der zentrale Unterschied zu ISO 27001: Während ISO 27001 das Informationssicherheits Managementsystem (ISMS) einer gesamten Organisation bewertet, richtet C5 den Blick gezielt auf den Betrieb eines konkreten Cloud Services. Es geht also weniger um die abstrakte Managementebene und vielmehr um Fragen wie: Wie sind Logging, Incident Handling oder Backup und Recovery für genau diesen Dienst umgesetzt? Genau diese Service-Nähe macht C5 für Cloud-Kunden interessant.

Warum der Ablauf wichtig ist – nicht nur das Testat

Ein C5-Audit ist kein einfacher Haken im RfP, sondern ein klar strukturierter Prozess mit mehreren Phasen. Typischerweise umfasst er die Festlegung des Umfangs, die Vorbereitung, das Mapping eigener Kontrollen auf den C5-Katalog, eine umfassende Dokumentenprüfung, Interviews und Prozess-Walkthroughs, technische Stichproben sowie die Bewertung mit anschließenden Befunden und einem Bericht.

Wer diese Schritte kennt, kann den internen Aufwand realistischer planen, die Aussagekraft eines C5-Berichts besser einschätzen und den Bericht zielgerichteter in Auslagerungs- und Sourcing-Entscheidungen einbinden. Entscheidend ist dabei vor allem der Abgleich von Papierlage und gelebter Praxis in Kombination mit technischen Stichproben – hier unterscheidet sich C5 deutlich von eher formalen Auditformaten.

Ablauf eines C5 Audits kompakt erklärt

Scope und Vorbereitung

Am Anfang eines C5-Audits steht die Festlegung des Scopes: Es wird bestimmt, welcher konkrete Cloud-Dienst geprüft wird – etwa eine IaaS-Plattform oder eine SaaS-Fachanwendung – und welche Regionen oder Rechenzentren dazugehören. Zudem werden die im Scope liegenden Prozesse definiert, wie etwa Incident- und Change-Management, Berechtigungsprozesse, Backup und Recovery oder Business Continuity. Parallel dazu erstellt oder aktualisiert der Provider eine Systembeschreibung, in der die Architektur und die Komponenten des Dienstes, die relevanten Datenflüsse, die Rollen und Verantwortlichkeiten sowie die eingesetzten Subdienstleister (etwa Rechenzentren, Plattform-Provider) dokumentiert sind. Ergänzend werden alle relevanten Nachweise zusammengetragen, darunter Sicherheitsrichtlinien, Prozessdokumentationen, Risikoanalysen, Notfallpläne sowie bereits vorhandene Zertifikate oder frühere C5-Berichte.

Control Mapping: Eigene Kontrollen vs. C5

Im nächsten Schritt werden die vorhandenen Kontrollen mit den Anforderungen des C5-Katalogs abgeglichen. Der Provider prüft systematisch, welche seiner bestehenden technischen und organisatorischen Maßnahmen welche C5-Kontrollziele abdecken und wo konkrete Lücken bestehen. Dabei werden Schwachstellen, wie etwa fehlende Log-Review-Prozesse oder unzureichend dokumentierte Mandantentrennung, identifiziert und Maßnahmen priorisiert, die vor dem Audit noch umgesetzt werden sollten. Mithilfe dieses Control Mappings können auch diejenigen Bereiche erkannt werden, die im Audit voraussichtlich besonders kritisch und prüfungsintensiv sind.

Dokumentenprüfung

Auf Basis dieser Vorbereitung beginnt die eigentliche Dokumentenprüfung. Der Auditor sichtet Offsite-Richtlinien, Prozessbeschreibungen, Verträge zur Auftragsverarbeitung, Konzepte zur Steuerung von Subdienstleistern sowie technische Dokumente, beispielsweise zu Netzwerksegmentierung, Mandantentrennung oder Logging-Strategien. Der Fokus liegt dabei explizit auf Cloud-Spezifika wie Datenlokation, dem Umgang mit Unterauftragnehmern und der gelebten Umsetzung des Shared-Responsibility-Modells. In dieser Phase stellt der Auditor häufig erste Rückfragen, klärt Widersprüche und verschafft sich ein Bild davon, ob die dokumentierten Prozesse grundsätzlich geeignet sind, die C5-Anforderungen zu erfüllen.

Interviews und Prozess Walkthroughs

Anschließend folgen Interviews und Prozess-Walkthroughs mit den Beteiligten auf Provider-Seite. Dazu zählen in der Regel der CISO oder der Informationssicherheitsbeauftragte, Cloud-Architekt:innen, Verantwortliche aus dem Betrieb, Service-Owner sowie Kolleginnen und Kollegen aus den Bereichen Datenschutz und Compliance. Anhand realer Beispiele werden kritische Abläufe durchgespielt, etwa ein Sicherheitsvorfall von der ersten Meldung bis zur abschließenden Bewertung oder ein kritischer Change in die Produktion inklusive Tests und Freigabe. Ziel ist es, zu prüfen, ob die beschriebenen Prozesse tatsächlich gelebt werden und ob cloudspezifische Risiken in der Praxis angemessen berücksichtigt sind, das heißt, ob nicht nur die Dokumente gut aussehen, sondern auch der operative Alltag stimmt.

Technische Stichproben

Ein zentraler Mehrwert des C5-Audits sind die technischen Stichproben. Die Auditorin oder der Auditor begnügt sich hierbei nicht mit Konzepten, sondern lässt sich konkrete Logs, Tickets und Protokolle zeigen. Bei den Log-Analysen geht es beispielsweise um Admin-Zugriffe, Konfigurationsänderungen, sicherheitsrelevante Ereignisse oder fehlgeschlagene Logins und darum, ob diese nicht nur aufgezeichnet, sondern auch regelmäßig ausgewertet werden. Ticket-Stichproben zeigen anhand konkreter Incident- und Change-Tickets, wie Vorfälle und Änderungen tatsächlich abgearbeitet wurden. Bei den Berechtigungsnachweisen werden On- und Offboarding-Prozesse sowie Rezertifizierungsprotokolle betrachtet, um sicherzustellen, dass Rollen und Rechte sauber gepflegt sind. Im Bereich Backup und Notfallvorsorge prüft der Auditor Restore-Protokolle, dokumentierte RPO- und RTO-Werte sowie die Ergebnisse von Disaster-Recovery-Tests. Diese Stichproben verbinden die theoretische Welt der Richtlinien mit handfesten Beweisen aus dem laufenden Betrieb.

Bewertung, Findings und Bericht

Auf Basis der gesammelten Informationen bewertet die Auditorin oder der Auditor, ob die Kontrollen angemessen gestaltet, korrekt implementiert und über den Prüfungszeitraum hinweg wirksam durchgeführt wurden. Abweichungen werden als „Findings” dokumentiert und jeweils mit einer Beschreibung, einer Einstufung des Schweregrads, einer Risikoeinschätzung und konkreten Handlungsempfehlungen versehen. Am Ende steht ein detaillierter Prüfbericht, der meist dem ISAE-Format entspricht, sowie das eigentliche C5-Testat. Neben einer Zusammenfassung der Ergebnisse enthält der Bericht auch eine Systembeschreibung, eine Übersicht der geprüften Kontrollen, den Prüfungsansatz und die aufgefundenen Abweichungen. Damit bietet er Kunden deutlich mehr Einblick als ein reines ISO-Zertifikat.

Unterschiede zu ISO Audits – auf den Punkt gebracht

Im Kern unterscheiden sich C5-Audits von ISO-Audits in vier Dimensionen. Erstens beim Prüfobjekt: C5 betrachtet einen klar umrissenen Cloud-Dienst mit festgelegten Regionen, Prozessen und Subdienstleistern, während ISO 27001 das ISMS einer Organisation oder eines größeren Verbunds von Systemen bewertet. Zweitens bei der Tiefe der Nachweise. C5 verlangt operative Belege wie Logs, Tickets oder Restore-Tests, während ISO-Audits stärker auf der Management-Systemebene bleiben und Richtlinien, Prozesse sowie Reifegrade in den Vordergrund stellen.

Drittens spielt der Cloud-Fokus eine deutliche Rolle. C5 adressiert Cloud-Spezifika explizit: Themen wie Mandantentrennung, Datenlokation, Subdienstleisterketten oder die Aufteilung von Verantwortlichkeiten im Shared-Responsibility-Modell sind zentrale Bestandteile. In ISO-Audits können diese Punkte zwar vorkommen, sie stehen aber nicht zwingend im Mittelpunkt. Viertens unterscheidet sich die Art des Reportings: C5-Berichte sind in der Regel umfangreiche, service-spezifische Dokumente mit detaillierten Beschreibungen und Befunden, während ISO-Zertifikate eher kompakte Bestätigungen sind, die wenig über die konkrete Ausgestaltung eines einzelnen Dienstes aussagen.

Fazit

C5-Audits bringen Struktur und Tiefe in die Bewertung von Cloud-Services. Sie betrachten nicht nur Richtlinien und Prozesse, sondern auch Logs, Tickets und Backups. Dadurch werden genau die cloudspezifischen Risiken adressiert, die in regulierten Branchen besonders kritisch sind. Wer den Ablauf kennt und C5 nicht nur als Logo im Angebot, sondern als Informationsquelle begreift, kann C5-Berichte gezielt für die Beschaffung, das Risikomanagement und regulatorische Nachweise nutzen. Damit werden C5-Audits von einem Pflichtnachweis zu einem echten Werkzeug für bessere Cloud-Entscheidungen.

Gerade hierbei kann adesso unterstützen: Wir kennen die fachlichen und regulatorischen Anforderungen unserer Kunden ebenso wie die technischen Details von Cloud-Architekturen und -Betriebsmodellen. In Projekten helfen wir dabei, Cloud-Services von Anfang an C5-fähig zu designen, bestehende Umgebungen audit-ready zu machen und C5-Berichte sinnvoll in Auslagerungs-, Compliance- und Sourcingprozesse zu integrieren. So wird aus dem C5-Audit kein lästiger Prüfpunkt, sondern ein Baustein für nachhaltige, vertrauenswürdige Cloud-Strategien – technisch sauber, regulatorisch fundiert und operativ praktikabel.