C5: Cloud Computing Compliance
Criteria Catalogue

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Prüfstandard für Cloud-Dienste. C5 definiert Mindestanforderungen an die Informationssicherheit von Cloud-Anbietern und schafft Transparenz über deren Sicherheitsniveau. Die aktuelle Version C5:2020 umfasst 121 Kriterien in 17 Anforderungsbereichen und adressiert sowohl technische als auch organisatorische Sicherheitsaspekte. Ein C5-Testat ermöglicht es Cloud-Nutzern, die Sicherheit eines Anbieters auf Basis unabhängig geprüfter Nachweise zu beurteilen, ohne eigene aufwändige Prüfungen durchführen zu müssen.

Ein C5-Testat Typ 1 bestätigt, dass die vom Cloud-Anbieter beschriebenen Sicherheitskontrollen zum Prüfzeitpunkt angemessen gestaltet sind (Design-Prüfung). Der Prüfer bewertet, ob die vorhandenen Kontrollen grundsätzlich geeignet sind, die C5-Anforderungen zu erfüllen. Ein Typ-1-Testat gibt keine Auskunft darüber, ob die Kontrollen im Betrieb tatsächlich wirksam gelebt werden. Ein C5-Testat Typ 2 prüft zusätzlich die operative Wirksamkeit der Sicherheitskontrollen über einen definierten Beobachtungszeitraum von typischerweise 6 bis 12 Monaten. Typ 2 ist deutlich aussagekräftiger und wird von Bundesbehörden sowie im Rahmen des DigiG bevorzugt bzw. gefordert. Für die meisten behördlichen und regulatorischen Anforderungen reicht Typ 1 als Einstieg, langfristig ist Typ 2 anzustreben.

C5 ist seit 2020 für Cloud-Anbieter, die Dienste für deutsche Bundesbehörden erbringen, faktisch verpflichtend - die Bundesbehörden verlangen entsprechende Nachweise vor der Cloud-Nutzung. Durch das Digitalisierungsgesetz im Gesundheitswesen (DigiG) wurde C5 mit §393 SGB V ab Juli 2025 auch für Cloud-Dienste im Gesundheitswesen gesetzlich verankert: Krankenkassen, Kliniken und andere Leistungserbringer dürfen Sozialdaten nur noch in Clouds verarbeiten, deren Anbieter ein gültiges C5-Testat vorweisen. Die BaFin erwartet C5 von Cloud-Anbietern im Finanzsektor im Rahmen der BAIT/VAIT-Anforderungen. KRITIS-Betreiber sollten C5 im Kontext ihrer gesetzlichen Sorgfaltspflichten berücksichtigen.

C5:2020 gliedert seine 121 Kriterien in 17 Anforderungsbereiche: (1) Organisationssicherheit (OIS), (2) Sicherheitsrichtlinien (SP), (3) Asset Management (AM), (4) Physische Sicherheit (PS), (5) Operative Sicherheit (OS), (6) Identitäts- und Zugriffsmanagement (IDM), (7) Verschlüsselung und Schlüsselmanagement (CRY), (8) Kommunikationssicherheit (CS), (9) Portabilität und Interoperabilität (PI), (10) Verfügbarkeit (SOS), (11) Vorfallmanagement (IR), (12) Beschaffung, Entwicklung und Wartung (DEV), (13) Compliance und Datenschutz (COM), (14) Änderungsmanagement (CHA), (15) Informationssicherheitsrisikomanagement (RMG), (16) Auditmanagement (AUD), (17) Lieferantenbeziehungen (SSO). Jeder Bereich enthält konkrete, prüfbare Anforderungen mit zugehörigen Nachweismitteln.

C5 und ISO 27001 überschneiden sich inhaltlich erheblich - ein bestehendes ISO-27001-Zertifikat bildet eine sehr gute Basis für ein C5-Testat und reduziert den zusätzlichen Aufwand erheblich. C5 ist jedoch cloud-spezifischer und konkretisiert viele ISO-27001-Anforderungen für den Cloud-Kontext: Mandantentrennung, Transparenzanforderungen gegenüber Kunden, Portabilität und spezifische Datenschutzanforderungen nach DSGVO sind Themen, die C5 deutlich detaillierter adressiert. ISO 27001 bietet den allgemeinen ISMS-Rahmen; C5 liefert den cloud-spezifischen Anforderungskatalog. In der Praxis wird eine kombinierte Prüfung empfohlen, um Synergien zu nutzen. Wer ein ISO-27001-Zertifikat und ein C5-Testat kombiniert, demonstriert ein umfassendes Sicherheitsniveau.

Eine Besonderheit von C5 sind die umfangreichen Transparenzanforderungen: Cloud-Anbieter müssen im Testat eine Systemsbeschreibung veröffentlichen, die Auskunft über Subunternehmer und deren Sicherheitsniveau, Datenspeicherorte und -verarbeitung (insbesondere außerhalb des EWR), anwendbare Rechtssysteme und mögliche Behördenzugriffe sowie die Architektur der Cloud-Umgebung gibt. Diese "Umfeldinformationen" (Environment Information) erlauben Cloud-Nutzern eine informierte Risikoabwägung - besonders relevant bei der Frage nach US-Cloud-Anbietern und dem Cloud Act. Für Anbieter bedeutet das: vollständige Transparenz über alle Subdienstleister, die sicherheitsrelevante Dienste erbringen.

Ein C5-Testat wird von einer unabhängigen Wirtschaftsprüfungsgesellschaft auf Basis des internationalen Prüfstandards ISAE 3000 (revised) bzw. des deutschen Äquivalents IDW PS 860 durchgeführt. Der Prüfer bewertet alle 121 C5-Kriterien in vier Phasen: Zunächst erstellt der Cloud-Anbieter eine detaillierte Systembeschreibung mit Architektur, Kontrollen und Scope-Abgrenzung. Dann plant der Prüfer die Prüfungshandlungen und legt bei Typ 2 den Beobachtungszeitraum fest (6-12 Monate). In der Durchführungsphase prüft er durch Dokumentenanalyse, Interviews, Beobachtungen und Stichproben. Abschließend erstellt er den Testatbericht im SOC-2-Format mit Prüfungsurteil und Feststellungen je Kriterium. Der Testatbericht bietet Cloud-Nutzern eine belastbare Grundlage für ihre eigene Risikobeurteilung. Kosten bewegen sich je nach Scope zwischen 80.000 und 250.000 Euro für ein Typ-2-Testat.

ISAE 3000 (revised) - International Standard on Assurance Engagements - ist der vom IAASB (International Auditing and Assurance Standards Board) entwickelte internationale Prüfstandard für Attestierungsaufträge außerhalb der klassischen Abschlussprüfung. C5-Testierungen basieren auf diesem Standard (bzw. dem deutschen Äquivalent IDW PS 860), weil er ein einheitliches Rahmenwerk für Qualität, Unabhängigkeit und Berichterstattung schafft. ISAE 3000 unterscheidet zwischen Reasonable Assurance (hinreichende Sicherheit, höchstes Prüfniveau - erforderlich für Typ 2) und Limited Assurance (begrenzte Sicherheit - kann für Typ 1 ausreichen). Der Standard regelt Anforderungen an den Prüfer (Unabhängigkeit, Fachkompetenz), Art der Prüfungshandlungen (Inspektionen, Beobachtungen, Befragungen, Nachberechnungen) und das Format des Prüfberichts. Da ISAE 3000 auch die Grundlage für SOC-2-Berichte nach AICPA bildet, ermöglicht er kombinierte C5/SOC-2-Prüfungen mit erheblichen Synergien.

Das Krankenhausinformationssystem (KIS) und alle Cloud-Dienste, in denen Sozialdaten von gesetzlich Versicherten verarbeitet werden, müssen ab dem 1. Juli 2025 von Anbietern mit gültigem C5-Testat bezogen werden. Das betrifft praktisch alle Cloud-Services in der Patientenversorgung: elektronische Patientenakten-Plattformen, Telematikinfrastruktur-Konnektoren, Laborinformationssysteme in der Cloud, Radiologie-PACS-Lösungen und Abrechnungssysteme. Krankenhäuser und andere Leistungserbringer tragen die Verantwortung, nur C5-testierte Anbieter einzusetzen und dies nachweisen zu können. Anbieter ohne Testat verlieren de facto ihre Marktzulassung im deutschen Gesundheitsmarkt. Die KBV und GKV-Spitzenverband haben entsprechende Anforderungen in ihre Vertragsstrukturen integriert.

Ja - C5 und SOC 2 Type II (der amerikanische Pendant-Standard) sind inhaltlich gut kompatibel und werden häufig kombiniert geprüft. Viele internationale Cloud-Anbieter streben beide Attestierungen an: SOC 2 für den US-Markt und C5 für Deutschland bzw. Europa. Das AICPA und das BSI haben eine Mapping-Tabelle veröffentlicht, die die Überschneidungen zwischen Trust Service Criteria (SOC 2) und C5-Kriterien dokumentiert. Bei einer kombinierten Prüfung können signifikante Effizienzgewinne erzielt werden, da viele Kontrollen und Nachweismittel für beide Standards genutzt werden. Für einen internationalen Cloud-Anbieter mit deutschen Kunden aus regulierten Branchen ist die Kombination C5 + ISO 27001 + SOC 2 die empfehlenswerte Attestierungsstrategie.

Das BSI hat Ende 2025 angekündigt, eine aktualisierte Version des C5-Katalogs im ersten Quartal 2026 zu veröffentlichen. C5:2025 soll den Katalog an aktuelle Entwicklungen anpassen - erwartet werden unter anderem verstärkte Anforderungen an Supply-Chain-Security, KI-spezifische Cloud-Dienste und Zero-Trust-Architekturen sowie eine engere Verzahnung mit der EU-Cybersicherheitszertifizierung (EUCS). Bis zur Veröffentlichung bleibt C5:2020 der maßgebliche Standard. Unternehmen, die jetzt mit der C5-Vorbereitung beginnen, sind gut beraten: Die bestehenden 121 Kriterien werden voraussichtlich erweitert, nicht grundlegend verändert. Eine solide C5:2020-Basis erleichtert den Übergang auf die neue Version erheblich.

AWARE7 unterstützt Cloud-Anbieter und Cloud-Nutzer auf dem gesamten C5-Weg: Für Cloud-Anbieter führen wir zunächst ein C5 Readiness Assessment durch - einen strukturierten Abgleich der vorhandenen Sicherheitskontrollen gegen alle 121 C5-Kriterien mit klarer Gap-Darstellung und priorisiertem Maßnahmenplan. Wir unterstützen beim Aufbau fehlender Kontrollen, der Erstellung der erforderlichen Dokumentation und der Systemsbeschreibung, bis zur Readiness-Prüfung kurz vor dem eigentlichen Testat. Als Offensive-Security-Unternehmen übernehmen wir zusätzlich die C5-geforderten Penetrationstests und Vulnerability Assessments. Für Cloud-Nutzer aus regulierten Branchen (Gesundheitswesen, Finanz) prüfen wir, ob bestehende Anbieter-Testate die eigenen regulatorischen Anforderungen abdecken.