Der deutsche Sicherheitsstandard für Cloud-Dienste.
Der Cloud Computing Compliance Criteria Catalogue des BSI definiert die Mindestanforderungen an Informationssicherheit in der Cloud. Wir begleiten Sie von der Gap-Analyse bis zum Typ-2-Testat — standardsicher, prüffähig, praxisnah.
- 2016erstmals veröffentlicht, 2020 grundlegend überarbeitet
- 121Prüfkriterien in Basis- und Zusatzkriterien
- 17Anforderungsbereiche von OIS bis PCS
- § 393SGB V — seit Juli 2025 verpflichtend im Gesundheitswesen
- ISAE3000 / IDW PS 860 — Prüfung durch Wirtschaftsprüfer
Was ist der Kriterienkatalog C5?
Der deutsche Prüf- und Attestierungsstandard für Cloud-Dienste — entwickelt vom Bundesamt für Sicherheit in der Informationstechnik, um ein allgemein akzeptiertes Sicherheitsniveau nachweisbar zu machen.
Der Standard
Der C5 übersetzt etablierte Rahmenwerke wie ISO/IEC 27001, ISO/IEC 27017 und die AICPA Trust Services Criteria in einen prüfbaren, cloud-spezifischen Kriterienkatalog — und gilt als Benchmark für Cloud-Sicherheit im DACH-Raum.
Das Prinzip
Das BSI definiert was erfüllt werden muss — nicht wie. Die konkrete Umsetzung liegt beim Cloud-Anbieter, die unabhängige Prüfung bei Wirtschaftsprüfern nach ISAE 3000 (revised) beziehungsweise IDW PS 860.
Die Pflicht
Bundesbehörden fordern C5 nach EVB-IT Cloud ein. Seit 01. Juli 2025 schreibt § 393 SGB V (DigiG) Cloud-Diensten im Gesundheitswesen ein C5-Typ-2-Testat oder einen gleichwertigen Nachweis vor.
Die 17 Anforderungsbereiche des C5.
Jeder Bereich enthält konkrete, prüfbare Basiskriterien sowie optionale Zusatzkriterien für höhere Schutzniveaus. Die Kürzel folgen der BSI-Nomenklatur und bilden die Grundlage Ihrer Kontrollmatrix.
Organisation der Informationssicherheit
Rollen, Verantwortlichkeiten, Managementengagement
Sicherheitsrichtlinien & -anweisungen
Dokumentierte Policies, Freigabe und Review
Personal
Einstellung, Awareness, Austrittsprozesse
Asset Management
Inventarisierung, Klassifizierung, Umgang
Physische Sicherheit
Rechenzentren, Zutritt, Umgebungsschutz
Regelbetrieb
Kapazität, Protokollierung, Schwachstellenmanagement
Identitäts- & Berechtigungsmanagement
IAM, privilegierte Zugriffe, MFA
Kryptographie & Schlüsselmanagement
Algorithmen, Keys, Lifecycle
Kommunikationssicherheit
Netzwerksegmentierung, TLS, Übertragung
Portabilität & Interoperabilität
Export, Standards, Datenrückgabe
Beschaffung, Entwicklung & Änderung
Secure SDLC, Change-Management
Dienstleister & Lieferanten
Subdienstleister, Steuerung, Überwachung
Sicherheitsvorfallmanagement
Erkennung, Reaktion, Nachbereitung
Geschäftsfortführung & BCM
BIA, Wiederanlauf, Tests
Compliance
Rechtliche, regulatorische und vertragliche Anforderungen
Ermittlungsanfragen staatl. Stellen
Rechtmäßigkeit, Transparenz, Prozesse
Produktsicherheit
Sichere Bereitstellung und Betrieb des Cloud-Dienstes
Transparenzanforderungen
Offenlegung von Subunternehmern, Datenspeicherorten, Rechtssystemen
Typ 1 oder Typ 2 — was passt wann?
Der C5 kennt zwei Berichtstypen. Das BSI empfiehlt den Typ-2-Bericht, da nur die Wirksamkeitsprüfung eine aussagekräftige Bewertung über einen Zeitraum hinweg liefert.
Angemessenheitsprüfung
Beurteilt zu einem Stichtag, ob das dienstleistungsbezogene interne Kontrollsystem geeignet ist, die C5-Kriterien zu erfüllen. Sinnvoll als Erstprüfung beim Einstieg in den Standard — laut BSI nicht für wiederholte Berichterstattung gedacht.
Wirksamkeitsprüfung
Beurteilt über einen definierten Zeitraum (i. d. R. 6–12 Monate), ob die Kontrollen nicht nur angemessen gestaltet, sondern auch wirksam umgesetzt wurden. Der vom Markt — und seit DigiG auch vom Gesetzgeber — erwartete Nachweis.
In fünf Schritten zum C5-Nachweis.
Wir begleiten Sie als GRC- und Informationssicherheitspartner strukturiert durch alle Phasen — von der ersten Lückenanalyse bis zum Wirtschaftsprüfer-Testat.
Für wen ist der C5 relevant?
C5 betrifft sowohl Cloud-Anbieter, die ein Testat nachweisen müssen, als auch Cloud-Nutzer aus regulierten Branchen, die von ihren Anbietern ein Testat einfordern.
Cloud-Service-Anbieter
SaaS-, PaaS- und IaaS-Anbieter, die ihre Sicherheitsreife gegenüber Kunden, Auditoren und Regulatoren nachweisen möchten.
Gesundheitswesen
Kliniken, Krankenkassen und Leistungserbringer nach § 393 SGB V — seit Juli 2025 mit gesetzlicher Nachweispflicht für ihre Cloud-Dienstleister.
Öffentliche Hand
Bundes-, Landes- und Kommunalbehörden, die externe Cloud-Dienste nach EVB-IT Cloud und BSI-Mindeststandard beschaffen.
Regulierte Branchen
Finanzdienstleister, Energieversorger und KRITIS-Unternehmen, die C5 als Ergänzung zu ISO 27001, DORA oder NIS2 etablieren.
Häufige Fragen zum C5.
Ist der C5 eine Zertifizierung?
Nein. Der C5 ist ein Testierungsstandard. Ein unabhängiger Wirtschaftsprüfer prüft nach ISAE 3000 (revised) bzw. IDW PS 860 und stellt einen Prüfbericht mit Testat aus. Das BSI selbst führt keine Audits durch und vergibt keine Zertifikate.
Wie verhält sich der C5 zu ISO 27001?
Ein bestehendes ISO/IEC 27001-Zertifikat bildet eine sehr gute Grundlage. Viele C5-Kriterien referenzieren direkt auf Kontrollen des Annex A. Das BSI stellt Kreuzreferenztabellen bereit, mit denen sich Lücken zwischen einem ISMS und den cloud-spezifischen C5-Anforderungen effizient identifizieren lassen.
Was ist der Unterschied zwischen Basiskriterien und Zusatzkriterien?
Für ein C5-Testat müssen alle anwendbaren Basiskriterien vollständig erfüllt sein — sie bilden das Mindestniveau. Zusatzkriterien sind optional und adressieren erhöhte Schutzbedarfe. Kunden mit besonders sensiblen Workloads fordern diese häufig explizit ein.
Wie lange dauert der Weg zum ersten Typ-2-Testat?
Realistisch 9 bis 18 Monate, abhängig vom Reifegrad des bestehenden ISMS. Davon entfallen typischerweise 3–6 Monate auf Gap-Analyse und Umsetzung, 6–12 Monate auf den Prüfzeitraum für die Wirksamkeitsprüfung, plus die eigentliche Prüfung und Berichtserstellung.
Was ändert sich mit C5:2026?
Der nachfolgende C5:2026 baut auf dem C5:2020 auf und ergänzt die Kriterien u. a. um Bezüge zu NIS2, CEN/TS 18026 und aktualisierten AICPA Trust Services Criteria. Bereits testierte Cloud-Dienste behalten ihren Status — für neue Prüfzeiträume gelten die neuen Kriterien gemäß BSI-Übergangsfristen.
Gilt der C5 auch, wenn wir Subdienstleister einsetzen?
Ja — und er adressiert diesen Fall explizit. Kontrollen, die in den Verantwortungsbereich von Subdienstleistern fallen (z. B. IaaS-Anbieter bei SaaS-Diensten), werden als Complementary Subservice Organization Controls in die Systembeschreibung aufgenommen. Details regelt Abschnitt 3.4.5 des C5:2020.
„C5 ist kein Häkchen auf einer Liste — er ist der Vertrauensbeweis, den regulierte Kunden heute von Cloud-Anbietern erwarten. Wir bauen das interne Kontrollsystem so auf, dass es im Audit trägt — nicht nur formal besteht."
Bereit für den C5-Standard?
30 Minuten mit Valeri Milke: Wir klären Ihren Ausgangspunkt, bewerten Ihre Cloud-Architektur und zeigen den realistischen Weg zum Typ-2-Testat auf — inklusive Aufwandsschätzung und Timeline.
Termin buchen