In einem Satz. Der BSI Cloud Computing Compliance Criteria Catalogue (C5) ist ein 2016 vom BSI eingeführter und 2020 aktualisierter Kriterienkatalog mit 121 Anforderungen in 17 Themenbereichen, der Cloud-Anbietern den auditierten Nachweis ihrer Sicherheit ermöglicht — heute De-facto-Standard für Bundesbehörden und regulierte Branchen in Deutschland.
C5 baut auf ISO 27001 auf, schärft die Anforderungen jedoch mit Fokus auf Transparenz, Datenstandort und Subdienstleister. AWS, Microsoft Azure, Google Cloud und SAP halten C5-Testate für definierte Service-Bereiche vor. Für DSGVO-Auftragsverarbeitungen ist C5 das stärkste Argument im AVV. Siehe Auftragsverarbeitungsvertrag.
Wichtige Punkte
- C5:2020 enthält 121 Kriterien in 17 Themenbereichen (vorher C5:2016: 114 Kriterien).
- Zwei Testat-Typen: Typ 1 (Konzept-Audit) und Typ 2 (Wirksamkeit über Zeitraum).
- BaFin akzeptiert C5 für Bankenauslagerungen (MaRisk AT 9, BAIT).
- AWS, Azure, Google Cloud, SAP, IONOS halten aktive C5-Testate.
- Audit nach ISAE 3000 oder ISAE 3402 durch unabhängige Wirtschaftsprüfer.
1. Hintergrund und Zielsetzung
BSI veröffentlichte C5 ursprünglich 2016 nach Snowden-Enthüllungen, um deutschen Behörden und Unternehmen einen Cloud-Sicherheitsmaßstab zu geben. Update 2020 ergänzte Themen wie DevOps und Container. Das Update C5:2020 ist heute der gültige Stand.
2. Struktur des Kriterienkatalogs
17 Themenbereiche, jeweils mit Basis- und Zusatzkriterien:
| Bereich | Kriterien (Auswahl) |
|---|---|
| Organisation der Informationssicherheit | OIS-01 bis OIS-07 |
| Personalsicherheit | HR-01 bis HR-06 |
| Asset Management | AM-01 bis AM-06 |
| Physische Sicherheit | PS-01 bis PS-07 |
| Operations und Kommunikationssicherheit | OPS-01 bis OPS-22 |
| Identitäts- und Berechtigungsmanagement | IDM-01 bis IDM-09 |
| Kryptographie und Schlüsselmanagement | CRY-01 bis CRY-04 |
| Compliance | COM-01 bis COM-04 |
3. Typ-1 vs. Typ-2 Testat
| Typ | Inhalt | Zeitbezug | Aussagekraft |
|---|---|---|---|
| Typ 1 | Eignung der Kontrollen | Stichtag | Konzept-Nachweis |
| Typ 2 | Wirksamkeit über Zeitraum | 6-12 Monate | Operativer Nachweis |
Für ernsthafte Cloud-Nutzung sollte Typ 2 verlangt werden — Typ 1 ist nur Einstieg.
4. Audit-Prozess
- Vorbereitung: Definition Service-Scope und Subdienstleister
- Readiness Assessment durch internen oder externen Prüfer
- Audit nach ISAE 3000/3402 durch akkreditierten Wirtschaftsprüfer
- Testat-Erstellung mit Befundliste
- Veröffentlichung in NDA-geschützter Form
Dauer: 3-9 Monate je nach Reifegrad.
5. Wer hält C5-Testate?
- AWS: zahlreiche Services (EC2, S3, RDS, Lambda) in eu-central-1 (Frankfurt) und eu-west-1
- Microsoft Azure: Compute, Storage, SQL Database, AKS in West/North Europe
- Google Cloud: GCE, GCS, BigQuery in europe-west3 (Frankfurt)
- SAP: SAP HANA Cloud, SAP BTP
- IONOS Cloud, Open Telekom Cloud, Deutsche Telekom: vollständige Plattformen
Aktuelle Liste auf bsi.bund.de.
6. C5 und DSGVO
C5-Testate liefern starke Argumente für DSGVO-Auftragsverarbeitung nach Artikel 28 DSGVO:
- Nachweis “hinreichender Garantien” (Art. 28 Abs. 1)
- Subdienstleister-Transparenz (Anhang II AVV)
- Sicherheitsmaßnahmen nach Art. 32
Aber: C5 ersetzt nicht den AVV, sondern unterstützt ihn.
7. C5 und BaFin/MaRisk
BaFin-Rundschreiben 10/2017 (MaRisk) und BAIT akzeptieren C5-Testate als Auslagerungsbeleg. Banken müssen jedoch ergänzend:
- Eigene Risikobewertung durchführen
- Exit-Strategie nachweisen
- Auditrechte sicherstellen
8. C5 und NIS2
NIS2 verlangt von wesentlichen Einrichtungen Sicherheitsanforderungen an Lieferketten. C5-Testate erfüllen diese Anforderung für Cloud-Dienstleister — der Auditbericht kann der BSI-Aufsicht vorgelegt werden. Siehe NIS2 Deutschland.
9. Einschränkungen und Kritik
- Testat bezieht sich nur auf definierten Service-Scope, nicht auf gesamten Anbieter
- Nicht alle Regionen abgedeckt (Hyperscaler-Testate meist nur eu-central-1)
- Subdienstleister-Tiefe variabel
- Kosten für Anbieter hoch (200-500k Euro pro Audit-Zyklus)
10. C5 in der Kundenprüfung
Kunden sollten prüfen:
- Ist der genutzte Service im Testat-Scope?
- Ist die genutzte Region abgedeckt?
- Wie aktuell ist das Testat (max. 12 Monate alt)?
- Welche Befunde wurden festgestellt?
- Welche Subdienstleister sind eingebunden?
11. Tool-Unterstützung
Legiscope verwaltet Cloud-Anbieter, ihre C5-Testate und die Verknüpfung zu DSGVO-AVVs und Verarbeitungstätigkeiten — inklusive Erneuerungs-Tracking.
Fazit
C5 ist das deutsche Cloud-Vertrauenssiegel mit Substanz. Für jeden Cloud-Einsatz in regulierter Umgebung ist ein gültiges C5-Typ-2-Testat der Mindeststandard — alles andere bedeutet bei Aufsichtsfragen offene Flanken.
FAQ
Was kostet ein C5-Testat?
Für Cloud-Anbieter 200-500k Euro pro Audit, je nach Scope. Kunden zahlen indirekt über Service-Preise.
Wie unterscheidet sich C5 von ISO 27001?
C5 baut auf ISO 27001 auf, ist aber spezifischer (Cloud-Fokus), strenger (Datenstandort, Transparenz) und Audit-pflichtig nach ISAE.
Ersetzt C5 die Schrems-II-Prüfung?
Nein. C5 sagt nichts über Drittlandtransfer aus. Für US-Anbieter bleibt TIA und SCC erforderlich.
Welche Cloud-Anbieter haben kein C5?
Viele kleinere SaaS-Anbieter, oft auch Hyperscaler-Services außerhalb des Kern-Scopes. Prüfen Sie immer die aktuelle Liste.
Wie alt darf ein C5-Testat sein?
Maximal 12 Monate für die Nutzung als Compliance-Nachweis. Typ-2-Berichte beziehen sich auf einen Zeitraum, der enden sollte innerhalb der letzten 12 Monate.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial