Interview mit Christian Hemminghaus, Head of Information Security bei Scopevisio
- Warum hat sich Scopevisio für die C5-Testierung entschieden?
- Welche Anforderungen müssen für das C5-Testat erfüllt werden? Und was ist der Unterschied zwischen Typ 1 und 2?
- Welche Aspekte der Sicherheitsstrategie werden im Rahmen der Testierung besonders genau geprüft?
- Gibt es Herausforderungen im Testierungsprozess, die besonders erwähnenswert sind?
- Wie profitieren die Scopevisio-Kunden konkret vom C5-Testat?
- Warum unterscheidet sich Scopevisio durch das C5-Testat von anderen Cloud-Anbietern am Markt?
- Über das C5-Testat
Die Scopevisio befindet sich derzeit im Prozess der C5-Testierung und erwartet das C5-Testat im Herbst 2025. Dies haben wir zum Anlass genommen, mit dem IT-Sicherheitsleiter bei Scopevisio über die Hintergründe und den Prüfprozess zu sprechen.
Christian Hemminghaus verantwortet als Head of Information Security bei der Scopevisio AG den Schutz sensibler Kundendaten und entwickelt strategische Sicherheitskonzepte für die Cloud-basierte Unternehmenssoftware. Als ehemaliger Sicherheitsforscher am Fraunhofer Institut FKIE bringt er tiefgreifende Expertise aus der Bewertung komplexer IT-Architekturen mit und hat zahlreiche Unternehmen beim Aufbau robuster Entwicklungsprozesse für sichere Systeme begleitet. Seine Arbeit verbindet wissenschaftliche Präzision mit praxisorientierten Lösungen für die Herausforderungen der modernen Cybersicherheit.
Warum hat sich Scopevisio für die C5-Testierung entschieden?
Christian: Die Entscheidung für die C5-Testierung war ein strategischer Schritt, der mehrere wichtige Aspekte berücksichtigt. Zunächst ist C5 der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Kriterienkatalog mit Mindestanforderungen an sicheres Cloud-Computing. Als deutscher Cloud-Anbieter sehen wir es als unsere Verantwortung an, die höchsten nationalen Sicherheitsstandards zu erfüllen.
Darüber hinaus erwarten unsere Kunden zunehmend transparente Nachweise über die Sicherheit ihrer Daten. Das C5-Testat dient für Cloud-Kunden als wichtiger Orientierungspunkt bei der Auswahl eines Anbieters. Besonders im Geschäftsumfeld unserer Kunden – von mittelständischen Unternehmen bis hin zu größeren Organisationen – ist das Vertrauen in die Datensicherheit entscheidend für die Kaufentscheidung.
Ein weiterer wichtiger Faktor ist die regulatorische Entwicklung: Für Unternehmen aus dem Gesundheitswesen ist ab Juli 2025 ein BSI C5 Typ 2 Testat verbindlich, und auch andere Branchen folgen diesem Trend. Mit der C5-Testierung positionieren wir uns proaktiv für diese Entwicklungen.
Welche Anforderungen müssen für das C5-Testat erfüllt werden? Und was ist der Unterschied zwischen Typ 1 und 2?
Christian: Der Katalog C5:2020 besteht aus 121 Kriterien, die sich in 17 Themengebiete gliedern. Diese decken alle Aspekte der Cloud-Sicherheit ab – von der Organisationssicherheit über technische Schutzmaßnahmen bis hin zu Compliance und Transparenz.
Der Unterschied zwischen Typ 1 und Typ 2 ist fundamental:
Beim C5 Typ 1-Testat gibt der Auditor ein Prüfungsurteil darüber ab, ob die Kontrollen zum Zeitpunkt der Prüfung angemessen ausgestaltet und eingerichtet sind, um die Kriterien des C5 mit hinreichender Sicherheit zu erfüllen. Es handelt sich also um eine Momentaufnahme.
Beim C5 Typ 2-Testat umfasst das Prüfungsurteil neben der Aussage zur Angemessenheit auch eine Aussage über die Wirksamkeit der Kontrollen in einem Prüfungszeitraum. Das Typ 2-Testat kann dabei nicht ohne eine initial durchlaufene Typ 1-Auditierung erworben werden. Der Prüfungszeitraum für das Typ 2-Testat beträgt üblicherweise sechs bis zwölf Monate.
Nach Auffassung des BSI ist eine Wirksamkeitsprüfung (Typ 2) erforderlich, um eine angemessene Aussagekraft zu erzielen. Daher streben wir direkt das Typ 2-Testat an, da es den Goldstandard darstellt.
Welche Aspekte der Sicherheitsstrategie werden im Rahmen der Testierung besonders genau geprüft?
Christian: Die C5-Testierung ist sehr umfassend und bezieht sich auf alle Ebenen unserer Sicherheitsarchitektur. Besonders intensiv geprüft werden dabei unsere technischen Sicherheitsmaßnahmen wie Verschlüsselungsverfahren, Zugriffskontrollen, Netzwerksicherheit und Monitoring-Systeme. Ein Beispiel ist das Basiskriterium OPS-02, das technische und organisatorische Maßnahmen zur Überwachung fordert. Hier müssen wir nicht nur nachweisen, dass diese Systeme existieren, sondern auch, dass sie dauerhaft wirksam arbeiten.
Darüber hinaus stehen organisatorische Kontrollen wie Sicherheitsrichtlinien, Schulungsprogramme, Incident-Response-Prozesse und die klare Trennung von Verantwortlichkeiten im Fokus.
Ebenso legt das BSI großen Wert auf Compliance und Transparenz: Cloudanbieter müssen detaillierte Systembeschreibungen vorlegen, Angaben zu Gerichtsbarkeit und Datenstandorten machen und Zertifizierungen sowie Offenlegungspflichten dokumentieren.
Schließlich wird auch die physische Sicherheit unserer Rechenzentren, also Zugangskontrollen und baulicher Umgebungsschutz, sorgfältig betrachtet.
Gibt es Herausforderungen im Testierungsprozess, die besonders erwähnenswert sind?
Christian: Ja, der C5-Testierungsprozess ist durchaus anspruchsvoll. Eine der größten Herausforderungen liegt in der Dokumentationstiefe, da jedes Detail beschrieben und die Wirksamkeit jeder Maßnahme belegt werden muss.
Hinzu kommt das kontinuierliche Monitoring: Für ein Typ 2-Testat müssen wir über den gesamten Prüfungszeitraum hinweg beweisen, dass unsere Kontrollen nicht nur bestehen, sondern auch zuverlässig funktionieren. Das erfordert etwa lückenlose Protokolldateien und Nachweise.
Eine weitere Herausforderung ist die enge Zusammenarbeit verschiedener Teams. Neben der IT-Sicherheit sind auch Development, Operations, Compliance, Legal und Management eingebunden.
Und schließlich dürfen wir die sich entwickelnden Standards nicht aus dem Blick verlieren. Mit C5:2025 steht schon die nächste Version bevor, was ständige Anpassungen unserer Prozesse verlangt.
Wie profitieren die Scopevisio-Kunden konkret vom C5-Testat?
Christian: Unsere Kunden profitieren in mehrfacher Hinsicht. Mit einem C5-Testat können wir transparent nachweisen, dass die im Katalog definierten Kriterien zur Informationssicherheit eingehalten werden. Das schafft Vertrauen und bietet gleichzeitig objektive Nachweise durch unabhängige Wirtschaftsprüfer. Für viele Kunden ist das auch eine Unterstützung bei ihren eigenen regulatorischen Verpflichtungen, weil sie mit einem geprüften Cloud-Anbieter arbeiten.
Darüber hinaus senkt die wiederholte Prüfung Risiken und gibt Sicherheit über lange Zeiträume hinweg. Ein weiterer Vorteil ist, dass organisatorischer Aufwand reduziert wird: Kunden müssen nicht mehr individuell Auskünfte einholen oder eigene Auditoren beauftragen. Und nicht zuletzt bietet die Testierung Zukunftssicherheit, da unsere Kunden für kommende regulatorische Anforderungen in Deutschland und Europa gerüstet sind.
Warum unterscheidet sich Scopevisio durch das C5-Testat von anderen Cloud-Anbietern am Markt?
Christian: Die Testierung verschafft uns gleich mehrere Differenzierungsmerkmale. Als deutscher Anbieter mit C5-Testat können wir sicherstellen, dass Daten nach den strengsten hiesigen Standards geschützt sind. Besonders hervorheben möchte ich, dass wir nicht mit einem Typ 1-Testat beginnen, sondern direkt das anspruchsvollere Typ 2-Testat anstreben. Das zeigt unser klares Commitment zu höchster Sicherheit von Anfang an.
Hinzu kommt, dass wir mit der C5-Testierung unsere bestehenden Maßnahmen zu einem umfassenden Sicherheitskonzept ergänzen, das speziell auf die Bedürfnisse deutscher und europäischer Unternehmen zugeschnitten ist. Für Kunden aus streng regulierten Branchen wie dem Gesundheitswesen oder KRITIS schafft das eine besonders wichtige Grundlage für Compliance.
Vielen Dank für das Interview!
Über das C5-Testat
Das C5-Testat ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Standard für Cloud Dienste. Es ergänzt internationale Normen wie ISO/IEC 27001 oder den IT-Grundschutz und definiert detaillierte Anforderungen an Sicherheit, Transparenz und Compliance. Grundlage ist der Cloud Computing Compliance Criteria Catalogue (C5), der seit seiner Einführung als Referenz für die Bewertung von Cloud Computing Diensten dient.
Ein Cloud Dienstleister oder eine datenverarbeitende Stelle, die ein aktuelles C5-Testat vorweisen kann, dokumentiert damit ein ähnliches oder höheres Sicherheitsniveau im Vergleich zu anderen etablierten Standards. Durch die Zertifizierung nach ISO 27001 allein lassen sich viele Anforderungen abdecken, doch erst das C5-Testat stellt sicher, dass die Mindestanforderungen des BSI erfüllt werden. Damit erhalten Anwender die Gewissheit, dass sicherheitsrelevante Aspekte wie Datenhaltung, Zugriffskontrollen und rechtliche Rahmenbedingungen transparent geprüft sind.
Im Gesundheitswesen ist das C5-Testat seit neuestem Pflicht für Cloud-Dienstleistungen, die Gesundheits‑ und Sozialdaten betreffen – darunter insbesondere Software as a Service‑Anwendungen im Gesundheitsbereich. Bis zum 30. Juni 2025 war ein C5‑Typ 1‑Testat noch ausreichend. Seit dem 1. Juli 2025 ist zwingend ein C5‑Typ 2‑Testat erforderlich. Diese neue Pflicht stammt aus dem § 393 SGB V, der im Rahmen des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) eingeführt wurde.
