Wer Cloud-Dienste nutzt, trägt Verantwortung – auch gegenüber Behörden, Partnern und Kunden. Das C5-Testat des BSI schafft dabei Klarheit: Es belegt unabhängig geprüft, dass ein Cloud-Anbieter definierte Sicherheitsstandards einhält. Was das Testat konkret aussagt, welchen Unterschied Typ 1 und Typ 2 machen – und warum das für Scopevisio-Kunden direkt relevant ist.
- Was versteht man unter C5?
- Welches Aspekte umfasst der C5-Kriterienkatalog?
- Was ist ein C5-Testat und wer stellt es aus?
- Wie unterscheiden sich C5 Typ 1 vs. Typ 2?
- Das C5-Testat Typ 2 von Scopevisio
- Für welche Branchen ist das C5-Testat relevant?
- Warum profitieren auch andere Branchen vom C5-Testat?
- Regulatorischer Kontext: C5 als Brücke zur Compliance
- Fazit
Was versteht man unter C5?
Das BSI Cloud Computing Compliance Criteria Catalogue – kurz C5 – ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Kritereinkatalog für Cloud-Dienste. Er definiert Mindestanforderungen an Informationssicherheit, Verfügbarkeit, Datenschutz und weiteren Kontrollbereichen.
Der Kriterienkatalog C5 wurde erstmals im Jahr 2016 veröffentlicht und hat sich in den letzten Jahren erfolgreich im Markt durchgesetzt. Die aktuelle Version – C5:2020 – wurde auf Basis internationaler Prüfungsstandards überarbeitet und berücksichtigt Cloud-spezifische Risiken aus aktueller Prüfungspraxis.
C5 richtet sich sowohl an Cloud-Anbieter als auch an Unternehmen, die Cloud-Dienste nutzen. Für Anbieter ist es ein Instrument, um Vertrauenswürdigkeit transparent nachzuweisen. Für nutzende Unternehmen ist es ein verlässlicher Anhaltspunkt bei der Lieferantenbewertung und im Rahmen eigener Compliance-Anforderungen.
Gerade in regulierten Branchen – etwa im Finanzwesen, in der öffentlichen Verwaltung oder im Gesundheitwesen – stellt sich bei Cloud-Einsatz regelmäßig die Frage: Wie sicher ist der Anbieter wirklich? Das C5-Testat gibt darauf eine prüfbare Antwort.
Welches Aspekte umfasst der C5-Kriterienkatalog?
Der C5-Kriterienkatalog ist eine Sammlung von Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten. Er umfasst 121 Kriterien, die in 17 Themengebiete eingeteilt sind und sich auf verschiedene Aspekte der Informationssicherheit beziehen.
Ausgewählte Beispiele für C5-Kriterien
- Compliance und rechtliche Anforderungen: Die Einhaltung relevanter gesetzlicher Vorgaben – insbesondere der DSGVO – muss lückenlos dokumentiert und nachweisbar sein, besonders für Unternehmen in regulierten Branchen.
- Zugriffs- und Berechtigungsmanagement: Zugriffe auf Kundendaten sind strikt auf das notwendige Minimum zu beschränken. Konten mit erweiterten Rechten – etwa von Systemadministratoren, die auf kritische Infrastruktur zugreifen können – müssen besonders gesichert und regelmäßig überprüft werden.
- Umgang mit Sicherheitsvorfällen: Der Anbieter muss Vorfälle schnell erkennen, bewältigen und Kunden zeitnah informieren. Transparenz im Ernstfall ist ein wesentliches Qualitätsmerkmal.
Was ist ein C5-Testat und wer stellt es aus?
Ein C5-Testat ist das Ergebnis einer Prüfung von Sicherheitsstandards im Cloud Computing durch einen unabhängigen Wirtschaftsprüfer. Der Prüfer bewertet, ob ein Cloud-Anbieter die im C5-Katalog des BSI definierten Kontrollanforderungen erfüllt. Nur „unabhängige und sachverständige Wirtschaftsprüfer“ sind laut C5-Kriterienkatalog dazu berechtigt, das Testat auszustellen.
Das Testat ist kein Zertifikat im klassischen Sinne. Es ist ein Prüfbericht nach den Standards des Instituts der Wirtschaftsprüfer (IDW), konkret nach IDW PS 880 bzw. international nach ISAE 3000. Für ein C5-Testat müssen die Kriterien des C5-Kriterienkataloges vollständig erfüllt werden. Man unterscheidet beim C5-Testat nach C5 Typ 1 und C5 Typ 2.
Wie unterscheiden sich C5 Typ 1 vs. Typ 2?
C5 Typ 1 prüft, ob die Sicherheitskontrollen eines Cloud-Anbieters zu einem bestimmten Stichtag geeignet sind – C5 Typ 2 geht weiter und belegt über einen Zeitraum von mindestens sechs Monaten, dass diese Kontrollen auch tatsächlich wirksam funktionieren.
| Merkmal | Typ 1 | Typ 2 |
|---|---|---|
| Prüfgegenstand | Eignung der Kontrollen | Eignung und Wirksamkeit |
| Zeitpunkt | Stichtagsbezogen | Über einen Zeitraum (mind. 6 Monate) |
| Aussagekraft | Kontrollen sind vorhanden | Kontrollen funktionieren nachweislich |
| Aufwand für den Softwareanbieter | Geringer | Höher |
| Relevanz für Kunden | Einstieg | Höheres Vertrauen, nutzbar für eigene Compliance |
Für Unternehmen mit eigenen Compliance-Anforderungen ist Typ 2 deshalb klar zu bevorzugen: Es lässt sich gegenüber Behörden, Auditoren und Geschäftspartnern belastbar nachweisen, dass der genutzte Cloud-Anbieter kontinuierlich sicher arbeitet.
Das C5-Testat Typ 2 von Scopevisio
Scopevisio – die Cloud-ERP-Plattform für den Mittelstand – verfügt über ein C5-Testat Typ 2. Das bedeutet: Die Sicherheitskontrollen der Scopevisio-Plattform wurden nicht nur konzipiert, sondern über einen definierten Prüfzeitraum auf ihre tatsächliche Wirksamkeit überprüft.
Im Scopevisio Trust Center können Sie Zertifkate der Scopevisio – zum Beispiel zur ISO 27011 oder zur GoBD-Konformität (IDW PS 880) – einsehen und herunterladen.
Abgedeckte Kontrollbereiche
Das Testat umfasst unter anderem folgende Bereiche aus dem BSI-Katalog:
- Informationssicherheitsrichtlinien – Dokumentierte und gelebte Sicherheitsvorgaben
- Physische Sicherheit – Schutz der Rechenzentrumsinfrastruktur
- Verfügbarkeit und Ausfallsicherheit – Redundanzen, Backup-Konzepte, Wiederherstellungszeiten
- Zugriffskontrolle und Identitätsmanagement – Wer darf was – und wird das auch durchgesetzt?
- Incident Management – Erkennung, Reaktion und Dokumentation von Sicherheitsvorfällen
- Datenschutz und Verschlüsselung – DSGVO-konforme Verarbeitung und Übertragungssicherheit
- Lieferantenmanagement – Kontrolle von Unterauftragnehmern und Dienstleistern
Prüfstelle und Zeitraum
Das Testat wurde durch einen anerkannten Wirtschaftsprüfer ausgestellt und deckt einen Berichtszeitraum von mindestens sechs Monaten ab. Die vollständigen Informationen zum aktuellen Testat – inklusive Prüfstelle und Gültigkeitszeitraum – stellt Scopevisio auf Anfrage zur Verfügung.
Lesen Sie zum C5-Testat von Scopevisio auch das Interview mit unserem Head of Security, Christian Hemminghaus.
Was bedeutet das C5-Testat für Scopevisio-Kunden?
Kunden, die Scopevisio nutzen, können das Testat in ihrer eigenen Compliance-Dokumentation verwenden. Konkret:
- Beim Nachweis gegenüber Behörden oder Kunden, dass eingesetzte Cloud-Software geprüft ist
- Im Rahmen von Datenschutz-Folgenabschätzungen nach DSGVO Art. 35
- Bei der Bewertung und Dokumentation von IT-Lieferanten gemäß ISO 27001 oder internen Vorgaben
Das spart internen Aufwand – und liefert gleichzeitig belastbare Argumente.
Für welche Branchen ist das C5-Testat relevant?
C5-Testate sind sind insbesondere in regulierten Branchen relevant, insbesondere in den Bereichen Finanzwesen, Gesundheitswesen, öffentliche Verwaltung und kritische Infrastrukturen.
Mit der Einführung des § 393 SGB am 1. Juli 2024 wurde das C5-Testat im Gesundheits- und Sozialwesen verpflichtend. Dieser Paragraf soll hohe Sicherheitsstandards bei der Verarbeitung von Gesundheits- und Sozialdaten gewährleisten. Arztpraxen, Krankenhäuser, Krankenkassen und weitere Einrichtungen im Gesundheitswesen müssen seitdem darauf achten, dass ihre Cloud-Dienstleister aktuelle C5-Testate vorweisen können. Bis zum 30. Juni 2025 reicht ein C5-Typ-1-Testat aus. Seit dem 1. Juli 2025 ist das C5-Typ-2-Testat Pflicht.
Für Cloud-Anbieter, die im Versorgungswesen tätig sind oder mit Betreibern kritischer Infrastrukturen (KRITIS) zusammenarbeiten, sind C5-Testate ebenfalls laut IT-Sicherheitsgesetz verpflichtend.
Auch Cloud-Dienstleister, die im Allgemeinen öffentliche Aufträge anstreben oder mit Behörden zusammenarbeiten, benötigen C5-Testate. Für Bundesbehörden ist das Testat laut § 8 BSI-Gesetz verpflichtend.
Warum profitieren auch andere Branchen vom C5-Testat?
Mittelständische Unternehmen stehen unter zunehmendem Druck: Eigene Kunden, Versicherungen oder Geschäftspartner fordern immer häufiger Nachweise über den sicheren Umgang mit Daten. Die Nutzung einer geprüften Cloud-Plattform wie Scopevisio schafft hier direkte Entlastung.
Konkrete Vorteile im Überblick:
- Vertrauensbasis für Ihre Kunden: Sie können belegen, dass Ihre Geschäftsdaten auf einer BSI-geprüften Plattform liegen.
- Weniger Aufwand bei eigenen Audits: Das Testat reduziert den Dokumentationsaufwand bei Lieferantenbewertungen erheblich.
- Risikominimierung: Ein unabhängig geprüfter Anbieter reduziert das Risiko unentdeckter Sicherheitslücken in Ihrer IT-Lieferkette.
Regulatorischer Kontext: C5 als Brücke zur Compliance
C5 ist kein isoliertes Nischenthema. Der Standard ist eng verknüpft mit zentralen regulatorischen Anforderungen: Das BSI hat C5 so konzipiert, dass es als Nachweisinstrument im Rahmen von DSGVO, KRITIS-Regulierung, NIS2 und ISO 27001 eingesetzt werden kann.
Wer einen C5-Typ-2-geprüften Anbieter nutzt, hat in vielen dieser Kontexte einen dokumentierten Vorsprung. Die Europäische Agentur für Cybersicherheit (ENISA) hat C5 zudem als nationales Schema im Rahmen des EU Cybersecurity Act anerkannt. Das bedeutet: C5 wird zukünftig noch stärker an regulatorischer Bedeutung gewinnen, auch auf EU-Ebene.
Fazit
Das C5-Testat – vor allem in der Variante Typ 2 – ist kein bürokratischer Formalismus. Es ist ein konkreter, unabhängig geprüfter Nachweis, dass ein Cloud-Anbieter seine Sicherheitsversprechen auch einhält.
Für Unternehmen, die Scopevisio einsetzen, bedeutet das: Sie nutzen eine Plattform, die nicht nur Compliance verspricht, sondern sie auch belegt. Und das reduziert Ihren eigenen Aufwand bei Audits, Lieferantenbewertungen und Kundengesprächen spürbar.
