Schlagwortarchiv für: WP-Testate

BSI C5 im Jahr 2025: Was sich geändert hat und warum es wichtiger denn je ist

Der Cloud-Compliance-Standard im Wandel

Der Cloud Computing Compliance Criteria Catalogue (BSI C5)  des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat sich seit seiner Einführung im Jahr 2016 als De-facto-Standard für Cloud-Sicherheit in Deutschland etabliert. Als direkte Reaktion auf die zunehmende Cloud-Nutzung in deutschen Unternehmen und Behörden entwickelt, hat sich der Standard kontinuierlich weiterentwickelt – zuletzt mit bedeutenden Aktualisierungen für 2025.

In diesem Blogbeitrag beleuchten wir die wichtigsten Änderungen und erklären, warum BSI C5 für Cloud-Anbieter und -Nutzer relevanter ist als je zuvor.

Was ist BSI C5 und wer ist betroffen?

BSI C5 definiert einen umfassenden Kriterienkatalog für die Informationssicherheit von Cloud-Diensten. Der Standard richtet sich in erster Linie an:

  • Cloud-Service-Provider: Von großen Hyperscalern bis zu spezialisierten SAAS-Anbietern
  • Rechenzentren und Hosting-Anbieter: Mit Fokus auf Cloud-Infrastruktur
  • Anbieter branchenspezifischer Cloud-Lösungen: Besonders im Gesundheitswesen, Finanzsektor und für kritische Infrastrukturen

Während BSI C5 formal kein gesetzlich vorgeschriebener Standard ist, hat er in der Praxis quasi-verbindlichen Charakter erlangt. Besonders im öffentlichen Sektor und bei regulierten Branchen wird er zunehmend als Ausschreibungskriterium gefordert.

Die wichtigsten Änderungen 2025

Stärkere Integration mit europäischen Standards

Die neueste Iteration des BSI C5 wurde stärker an die europäischen Compliance-Anforderungen angeglichen. Konkret bedeutet das:

  • Harmonisierung mit ENISA-Vorgaben: Abstimmung mit dem European Cybersecurity Certification Scheme for Cloud Services
  • NIS2-Kompatibilität: Einbindung der Anforderungen aus der überarbeiteten EU-Richtlinie für Netz- und Informationssicherheit
  • DSGVO-Verzahnung: Verbesserte Integration der datenschutzrechtlichen Anforderungen

Diese Harmonisierung reduziert den Compliance-Aufwand für Anbieter, die in mehreren europäischen Ländern aktiv sind.

Verschärfte Anforderungen an die Lieferkette

In Reaktion auf die zunehmenden Supply-Chain-Angriffe wurde der BSI C5 um detailliertere Kontrollen zur Lieferkettensicherheit erweitert:

  • Lieferantenrisikomanagement: Tiefergehende Bewertung von Drittanbietern
  • Code-Integritätsprüfungen: Verstärkte Anforderungen an die Sicherheit von Drittanbieter-Code
  • Kontinuierliche Überwachung: Laufende Bewertung der Sicherheitsmaßnahmen in der Lieferkette

Neue Kontrollen für verteilte Arbeitsumgebungen

Die Post-Pandemie-Arbeitswelt mit Remote- und hybriden Arbeitsmodellen spiegelt sich in neuen Anforderungen wider:

  • Zero-Trust-Architektur: Erhöhte Anforderungen an Authentifizierung und Zugriffskontrolle
  • Endpoint-Sicherheit: Spezifische Kontrollen für den Zugriff von Remote-Arbeitsplätzen
  • Collaboration-Security: Sicherheitsanforderungen für kollaborative Tools und Plattformen

Fokus auf Portabilität und Exit-Strategien

Ein besonderer Schwerpunkt liegt auf der Vermeidung von Vendor Lock-in und der Sicherstellung nahtloser Migration:

  • Standardisierte Datenportabilität: Klarere Anforderungen an Datenexport-Funktionen
  • Exit-Management: Detaillierte Prozessanforderungen für Anbieterwechsel
  • Interoperabilität: Stärkere Betonung offener Standards und Schnittstellen

Branchenspezifische Auswirkungen

Für Healthcare SAAS-Anbieter

Besonders im Gesundheitssektor haben die Aktualisierungen weitreichende Auswirkungen:

  • Patientendatenschutz: Erhöhte Anforderungen an die Verarbeitung besonders schützenswerter Gesundheitsdaten
  • Verfügbarkeitsanforderungen: Strengere SLAs für geschäftskritische Anwendungen
  • Schnittstellensicherheit: Neue Vorgaben für die Integration mit Gesundheits-IT-Systemen

Die verstärkten Anforderungen spiegeln die zunehmende Digitalisierung im Gesundheitswesen wider, bei der die Sicherheit und Vertraulichkeit von Patientendaten oberste Priorität hat.

Für Rechenzentren und Cloud-Provider

Infrastrukturanbieter sehen sich mit diesen Hauptherausforderungen konfrontiert:

  • Physische Sicherheit: Erweiterte Anforderungen an Zutrittskontrollen und Überwachungssysteme
  • Energieeffizienz: Neue Nachhaltigkeitsaspekte im Rechenzentrumsbereich
  • Mandantentrennung: Verschärfte Kontrollen für Multi-Tenant-Umgebungen

Gleichzeitig bietet BSI C5 diesen Anbietern einen klaren Wettbewerbsvorteil im deutschen und zunehmend im europäischen Markt.

Warum die Automatisierung der BSI C5-Compliance entscheidend wird

Mit der steigenden Komplexität der Anforderungen wächst der Bedarf an effizienten Compliance-Prozessen. Eine manuelle Nachweisführung ist nicht nur zeitaufwändig, sondern auch fehleranfällig. Moderne Compliance-Plattformen wie Drata können:

  • Bis zu 60% des manuellen Aufwands reduzieren
  • Die kontinuierliche Überwachung der Kontrollen automatisieren
  • Prüfungsnachweise zentral und revisionssicher sammeln
  • Die Vorbereitung auf Audits erheblich beschleunigen

Der Weg zur BSI C5-Konformität

Ein systematischer Ansatz zur Erlangung und Aufrechterhaltung der BSI C5-Konformität umfasst typischerweise diese Schritte:

  1. Gap-Analyse: Bewertung des aktuellen Stands gegenüber den BSI C5-Anforderungen
  2. Maßnahmenplanung: Priorisierung von Maßnahmen zur Schließung identifizierter Lücken
  3. Implementierung: Umsetzung der Maßnahmen und Etablierung eines internen Kontrollsystems
  4. Automatisierung: Einführung von Tools zur Effizienzsteigerung und kontinuierlichen Überwachung
  5. Testvorbereitung: Durchführung interner Audits zur Validierung der Maßnahmen
  6. Zertifizierung: Formelle Prüfung durch einen unabhängigen Wirtschaftsprüfer

Fazit: BSI C5 als strategischer Wettbewerbsvorteil

Die Bedeutung von BSI C5 geht weit über die reine Compliance-Erfüllung hinaus. Eine erfolgreiche Implementierung:

  • Stärkt das Vertrauen von Kunden und Partnern
  • Eröffnet Zugänge zu neuen Märkten, besonders im öffentlichen Sektor
  • Minimiert Sicherheitsrisiken und potenzielle Datenschutzvorfälle
  • Schafft ein strukturiertes Informationssicherheitsmanagement

Gerade für Anbieter im Gesundheitssektor und für Cloud-Provider bietet BSI C5 die Chance, sich als vertrauenswürdiger Partner zu positionieren und regulatorische Anforderungen effizient zu erfüllen.

Kostenfreies Webinar: 360° BSI C5: Compliance effizient und sicher implementieren

Von der Theorie zur Praxis

Möchten Sie mehr über die praktische Umsetzung von BSI C5 und die Automatisierung mit Drata erfahren? In unserem 45-minütigen Webinar am 22. Mai 2025 zeigen wir Ihnen:

  • Die aktuellen BSI C5-Anforderungen im Detail
  • Praxisbeispiele für Healthcare SAAS und Rechenzentren
  • Wie Sie mit Drata den Implementierungsaufwand erheblich reduzieren können

Jetzt kostenfrei anmelden →

Über den Autor:

Thomas Pfützenreuter ist Geschäftsführer und BSI C5-Experte bei Securance-iAP mit über 20 Jahren Erfahrung in der Implementierung von Compliance-Lösungen für regulierte Branchen.

 

/von

Zertifizierung für Rechenzentren und Cloudbetreiber

In der modernen Geschäftswelt steht Sicherheit und Qualität an erster Stelle. Insbesondere für Unternehmen im Bereich Rechenzentren und Cloudbetreuung ist das Wirtschaftsprüfer-Testat entscheidend geworden, das weit mehr ist als nur eine Bescheinigung.

Die Relevanz einer Rechenzentrums-Zertifizierung

Die fortschreitende Digitalisierung und der verstärkte Einsatz von Cloud-Infrastrukturen machen die Sicherheit von Rechenzentren zur Schlüsselkomponente für den Geschäftserfolg. Die Zertifizierung durch einen unabhängigen Wirtschaftsprüfer gewährleistet, dass Ihre IT-Infrastruktur und Dienstleistungen höchsten Sicherheits- und Qualitätsstandards entsprechen.

Warum ein Wirtschaftsprüfer-Testat?

Ein Wirtschaftsprüfer-Testat bietet eine unabhängige, neutrale und objektive Überprüfung Ihrer Prozesse, die über Mindeststandards hinausgeht. Es identifiziert potenzielle Schwachstellen und stärkt die Glaubwürdigkeit Ihrer Organisation, was das Vertrauen Ihrer Kunden und Geschäftspartner fördert.

Die Vorteile im Detail:

  1. Risikobewertung und -management: Wir evaluieren nicht nur vorhandene Sicherheitslücken, sondern bieten auch maßgeschneiderte Empfehlungen zur Risikominderung. Unser Fokus liegt darauf, Ihre Organisation proaktiv vor potenziellen Bedrohungen zu schützen und gleichzeitig die Integrität Ihrer IT-Infrastruktur zu stärken. Durch eine umfassende Analyse identifizieren wir Risiken, präsentieren klare Empfehlungen und begleiten Sie partnerschaftlich auf dem Weg zu einer widerstandsfähigen Sicherheitsstrategie. In einer sich ständig wandelnden digitalen Landschaft sind eine effektive Risikobewertung und proaktives Management entscheidend.
  2. Individuelle Anpassung: Jedes Unternehmen ist einzigartig. Unser Wirtschaftsprüfer-Testat wird präzise an die spezifischen Anforderungen Ihrer Organisation angepasst. Wir erkennen die Einzigartigkeit Ihres Unternehmens an und stellen sicher, dass die Sicherheitsstandards genau auf Ihre Bedürfnisse zugeschnitten sind.
  3. Rechtsverbindlichkeit: Das Wirtschaftsprüfer-Testat bietet erhöhte rechtliche Verbindlichkeit, wodurch Ihrer Organisation eine zusätzliche rechtliche Absicherung gewährt wird.

Vertrauen schaffen durch Transparenz

Ein Wirtschaftsprüfer-Testat bietet nicht nur eine Bestätigung der Einhaltung internationaler Standards, sondern schafft auch Vertrauen bei Kunden und Geschäftspartnern. Die transparente Dokumentation von Prüfergebnissen, Empfehlungen und Maßnahmen zur kontinuierlichen Verbesserung gibt Aufschluss über die Verlässlichkeit der IT-Infrastruktur.

Zeit- und Kostenersparnis durch Standardisierung

Die Zertifizierung nach internationalen Standards wie SOC1, SOC2,  ISAE3402, EN 50600 oder BSI C5 ermöglicht eine Standardisierung der Sicherheitsprozesse. Dies führt nicht nur zu einer effizienteren Implementierung von Sicherheitsmaßnahmen, sondern erspart auch die Notwendigkeit kundenindividueller Audits, wodurch wiederum Zeit und Ressourcen gespart werden können.

Prüfung des dienstleistungsbezogenen internen Kontrollsystems (IKS)

Die Grundlage für die Prüfung sind die Standards IDW PS 951, ISAE 3402 oder SSAE 18, die sich auf (rechnungslegungsrelevante) Dienstleistungen des Unternehmens konzentrieren. Das interne Kontrollsystem des Dienstleistungsunternehmens bildet die Basis für die Überprüfung.

Die Ergebnisse der Prüfung werden in einem Bericht festgehalten, der den Abschlussprüfern der Kunden des Dienstleistungsunternehmens als Prüfungsergebnisse Dritter dient. Die Prüfung kann zeitpunkt- oder zeitraumbezogen sein und sich auf bestimmte Dienstleistungen konzentrieren. Dabei kann die Tiefe der Prüfung zwei Typen umfassen:

  • Typ 1: Beurteilung der Angemessenheit und des Designs der beschriebenen Kontrollen (Berichterstattung Typ A).
  • Typ 2: Zusätzlich die Beurteilung der Wirksamkeit der Kontrollen im Internen Kontrollsystem (Berichterstattung Typ B).

Die Wahl des Prüfungstyps hängt vom Dienstleistungsangebot und den geschlossenen Verträgen mit den auslagernden Unternehmen ab. Der Prüfungstyp A erfordert weitere Prüfungen durch die Kunden bzw. auslagernden Unternehmen.

Unsere Dienstleistungen im Bereich Rechenzentrums-Zertifizierung

Unsere Expertise erstreckt sich über verschiedene Zertifizierungsstandards, um Ihren individuellen Anforderungen gerecht zu werden. Wir unterstützen Sie nicht nur bei der Zertifizierung Ihres Rechenzentrums, sondern begleiten Sie auch bei der Implementierung von Optimierungsmaßnahmen. Unsere ganzheitliche Herangehensweise ermöglicht es Ihnen, nicht nur die Zertifizierungsanforderungen zu erfüllen, sondern auch Ihre IT-Infrastruktur kontinuierlich zu optimieren und an sich wandelnde Branchenstandards anzupassen.

Schlussgedanken

In einer Zeit, in der Datensicherheit und -integrität entscheidend sind, wird eine Rechenzentrums-Zertifizierung zum Wettbewerbsvorteil. Vertrauen Sie auf unsere Erfahrung und Kompetenz, um die Sicherheit Ihrer IT-Infrastruktur nachhaltig zu gewährleisten.

Unsere umfassende Expertise in den Bereichen Prüfung & Zertifizierung, IT-Sicherheit & Cyber Security, Nachhaltigkeit & ESG und Datenschutz macht uns zum idealen Partner für die Sicherheit Ihrer IT-Infrastruktur und die Durchführung von Prüfungen des dienstleistungsbezogenen internen Kontrollsystems.

Besuchen Sie uns für weitere Informationen über die Zertifizierung für Rechenzentren und Cloudbetreiber und Prüfungen Ihres internen Kontrollsystems (IKS) auf https://audit-professionals.de/lp-rechenzentrums-zertifizierung. Ihr Vertrauen ist unser Maßstab für Qualität.

 

Foto: istockphoto.com/oselote

/von

SOC 1, SOC 2 oder SOC 3 – welcher Compliance-Standard passt für Sie?

Viele Dienstleister – vor allem Rechenzentrumbetreiber, Cloud Provider und IT-Service Provider aller Art möchten sicherstellen und auch ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen installiert haben.   

Auf der anderen Seite suchen die Kunden von Dienstleistungsunternehmen den richtigen Partner für die Auslagerung von Geschäftsprozessen. Dabei spielt es eine immer wichtigere Rolle, wie effektiv und verlässlich die internen Kontrollen zur Gewährleistung einer hochverfügbaren und sicheren Datenverarbeitung der Dienstleister sind.   

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z.B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert. 

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach so genannten SOC-Reports bzw. -Zertifizierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Zertifizierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 und daraus resultierend, welcher SOC-Report ist für wen sinnvoll? 

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch eine Wirtschaftsprüfer-Testat nachweisen wollen. 

SOC 1® — Interne Kontrolle der Finanzberichterstattung (ICFR)

Der SOC 1 Standard wurde speziell für die Überprüfung derjenigen Kontrollen bei den Dienstleistern konzipiert, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Die Auditoren bzw. Wirtschaftsprüfer des Dienstleistungsnehmers nehmen im Rahmen der Prüfung für einen SOC 1-Bericht i.d.R. eine Risikobewertung vor und erstellen mit dem SOC 1-Bericht einen Prüfungsnachweis über die Kontrollen des Dienstleisters.  

Für den SOC 1 Bericht gibt es zwei Berichts-Typen: 

Typ 1

Bericht über die Eignung des Aufbaus und der Angemessenheit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele zu einem bestimmten Zeitpunkt 

Typ 2

Bericht über die Wirksamkeit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele während eines bestimmten Zeitraums (üblicherweise 6 Monate oder 1 Jahr). 

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht wurde konzipiert für die Überprüfung der Kontrollen bzgl. Sicherheit (security), Verfügbarkeit (availability), Integrität (processing integrity) der Systeme, die der Dienstleister für die Verarbeitung der Daten der Dienstleistungsnehmer verwendet, sowie der Kontrollen zu Datenschutz und Vertraulichkeit (privacy of the information) der verarbeiteten Daten. 

Die Dienstleister für die ausgelagerten Dienstleistungen agieren dabei praktisch als „Lieferanten“ für ihre Kunden. Die SOC 2-Berichte dienen dazu, zum Risikomanagement des Dienstleistungsnehmers eine adäquate und mit einem angemessenen Detaillierungsgrad versehene Bewertung unter Berücksichtigung des SOC 2 Standards abzugeben. Die Berichte setzen ein angemessenes Maß an Fachkenntnissen und Wissen über die Abläufe, sowie die Art und Weise voraus, wie die Dienstleistungen hergestellt und angeboten werden. Daher ist Anwenderkreis für den SOC 2-Bericht eingeschränkt auf das Management des Dienstleistungsunternehmens, den Dienstleistungsnehmer und seine Wirtschaftsprüfer, aktuelle und potenzielle Geschäftspartner und Revisoren. 

Die zu überprüfenden Kontrollen bei SOC 2- und SOC 3-Berichten werden gegen die so genannten Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy geprüft. 

SOC 2- Berichte können ebenfalls als Typ 1 (Angemessenheit der Kontrollen) oder Typ 2 (Wirksamkeit der Kontrollen über einen bestimmten Zeitraum) erstellt werden. 

SOC 3® – Trust Services Criteria zur allgemeinen Verwendung

Genauso wie bei einem SOC 2-Bericht bezieht sich auch ein SOC 3-Bericht auf die Kontrollen bzgl. Sicherheit, Verfügbarkeit, Integrität sowie Datenschutz/Vertraulichkeit. Die SOC 3-Berichte unterliegen den gleichen Prüfkriterien wie SOC 2-Berichte. Es gibt allerdings einige Unterschiede zwischen SOC 2 und SOC 3: Zum einen sind die SOC 2-Berichte vertraulich und werden nur bestimmten Kunden zur Verfügung gestellt. Die SOC 3-Berichte sind hingegen für die Öffentlichkeit gedacht und stehen in der Regel als Marketing-Instrument auf der Webseite der Unternehmen (der Dienstleister).  

SOC 3-Berichte beinhalten im Gegensatz zu SOC 2-Berichten keine detaillierten Informationen über die internen Prozesse oder Kontrollen des Unternehmens sowie die exakte Art und Weise, wie die Kontrollen getestet wurden oder was das Ergebnis der jeweiligen Tests und Prüfungen im Detail war. Der Bericht ist wesentlich kürzer gefasst und wird i.d.R. in Form eines Whitepapers bereitgestellt. Ein weiterer Unterschied ist, dass ein SOC 3-Bericht nur für einen Berichtszeitraum, also als Typ 2-Bericht erstellt wird. 

Fazit

Wenn rechnungslegungsrelevante bzw. finanzkritische Daten und Verarbeitungsprozesse ausgelagert werden, sollten Unternehmen bei ihren künftigen Dienstleistern nach einem SOC 1-Bericht fragen, z.B. wenn Unternehmen ihre E-Commerce-Aktivitäten auslagern möchten. 

Wenn ein Unternehmen, z.B. die Verarbeitung seiner sensiblen Kundendaten an einen externen Dienstleister auslagern möchte (Cloud/RZ), kommt für den betreffenden IT-Dienstleister der SOC 2-Bericht in Frage. Der Dienstleistungsnehmer möchte mit seiner Anfrage nach einem solchen Bericht sicherstellen, dass der Dienstleister wirksame Mechanismen (Kontrollen) installiert hat, die die Daten seiner Kunden vor fremdem Zugriff schützen und die Hochverfügbarkeit der IT-Umgebung des Dienstleisters sicherstellen. 

Nach einem SOC 3-Bericht fragen die Kunden der Dienstleister i.d.R. nicht. Die Dienstleister stellen den SOC 3-Bericht der Öffentlichkeit selbst zur Verfügung und transportieren damit eine zertifizierte Sicherheit ihrer Dienstleistungen, ohne zu viele Details kommunizieren zu müssen. 

/von

Cloud Security nach BSI C5 – Was bringt ein C5-Testat?

Die zunehmende Größe und Komplexität des Marktes für Cloud-Lösungen stellt Kunden vor die Frage, welcher Anbieter bzw. welche Cloudlösung die eigenen Anforderungen zur Informationssicherheit am besten abdeckt. Mit der Einführung des BSI C5-Standards hat das BSI einen anspruchsvollen Sicherheitsstandard für Cloud-Dienstleistungen geschaffen, der dieses Problem adressiert. Mit einem auf dem BSI C5-Standard basierenden BSI C5-Testat und dem zugrundeliegenden Prüfbericht können Cloudanbieter ihren Kunden die Sicherheit ihrer Clouddienste transparent darstellen und nachweisen.

Was ist BSI C5?

Die Abkürzung C5 steht für die 5 Anfangsbuchstaben des Cloud Computing Compliance Criteria Catalogue des BSI (kurz: BSI C5). Der  ist ein Katalog, der Mindestanforderungen (Kriterien) zur Informationssicherheit eines Cloud-Dienstes beschreibt und ist in Europa der führende Standard für Informationssicherheit im Cloud Computing.

Die darin definierten Mindestanforderungen können von Clouddienst-Anbietern als Orientierung genutzt werden, um die richtigen Maßnahmen zur Gewährleistung der Informationssicherheit der angebotenen Cloudlösungen zu implementieren. Darüber dient der C5-Kriterienkatalog auch als Grundlage für eine standardisierte Prüfung durch externe Auditoren. Mit einem C5 Testat und dem Ergebnisbericht können Clouddienst-Anbieter ihren Kunden die Einhaltung der im C5-Katalog enthaltenen Kriterien zur Informationssicherheit belegen.

Wer hat BSI C5 entwickelt?

Der C5-Katalog wurde von der staatlichen Behörde Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 entwickelt. Das BSI ist eine deutsche Bundesoberbehörde, die zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn gehört, und für alle Themen rund um Informationssicherheit und Cybersecurity zuständig ist. Seit der Erstveröffentlichung wurde der BSI C5-Katalog weiterentwickelt und die überarbeitete zweite Fassung im Jahr 2020 veröffentlicht (C5: 2020).

Was ist der konkrete Nutzen von BSI C5?

Der Nutzen des C5-Katalogs resultiert maßgeblich aus dessen Testierfähigkeit. Mit einem C5-Testat können Anbieter von Clouddienstleistungen ihren Kunden transparent nachweisen, dass die im C5 definierten Kriterien zur Informationssicherheit eingehalten werden.

Der Nutzen einer C5-Testierung liegt in zwei grundlegenden Bereichen:

  1. Differenzierung und Wettbewerbsvorteil im Markt für Clouddienstleistungen
    Ob SaaS, PaaS oder IaaS – im stetig wachsenden Markt für Clouddienstleistungen aller Art mit einer weiter zunehmenden Zahl an international agierenden Anbietern ist es schwer, sich von der Konkurrenz abzuheben und den eigenen Mehrwert herauszustellen. Mit einem C5-Testat können sich Clouddienst-Anbieter jedoch wirkungsvoll im Wettbewerb profilieren, denn der Standard ist international bekannt, die zugrundliegende Thematik der Informationssicherheit maßgeblich entscheidungsrelevant für Kunden, und die Einhaltung der C5-Kriterien durchaus anspruchsvoll.
    Darüber hinaus kann ein Clouddienst-Anbieter mit einer einmaligen Prüfung und Testierung einer Vielzahl von Kunden und Interessenten die Einhaltung der C5-Kriterien nachweisen. Damit wird vermieden, dass jeder Kunde oder Interessent individuell Auskünfte beim Anbieter einholen, oder eigene Auditoren mit der Prüfung der Sicherheit seiner Daten beim Clouddienstleister beauftragen muss.
    Ein weitere wichtiger Punkt ist die Tatsache, dass im öffentlichen Sektor bzw. von Bundesbehörden Aufträge, bei denen Clouddienstleistungen erforderlich sind, nur unter der Voraussetzung vergeben werden, dass vom Bieter ein aktuelles C5-Testat vorgelegt wird, welches die Erfüllung der C5-Kriterien nachweist.
  2. Orientierungshilfe für Kunden bei der Auswahl von Clouddienstleistern und Clouddiensten
    Die Größe und Komplexität des Markts für Clouddienstleistungen ist aber nicht nur für die Anbieter eine Herausforderung, sondern insbesondere für Kunden ist es nicht einfach festzustellen, welcher Anbieter und welches Produkt die eigenen Anforderungen zur Informationssicherheit abdeckt. Mit der Vorlage eines C5-Testats und des dazu gehörenden Prüfberichts kann ein Clouddienst-Anbieter den potenziellen Kunden helfen, hierbei die richtige Entscheidung zu treffen.

Was ist der Unterschied zwischen BSI C5 und DIN ISO 27001?

Eine C5-Testierung orientiert sich methodisch am Vorgehen in der Wirtschaftsprüfung, bei der unter Einhaltung der vorgegebenen Prüfungsstandards initial die Angemessenheit der Kontrollen des internen Kontrollsystems (IKS) mit Einhaltung der zugrunde liegenden Anforderungen (C5-Kriterien), und dann in regelmäßigen Abständen (z.B. alle 6 Monate oder jährlich) deren Wirksamkeit über die gesamte Berichtsperiode geprüft, und von einem Wirtschaftsprüfer bescheinigt wird.

Eine Zertifizierung nach ISO 27001 hingegen weist zu einem bestimmten Zeitpunkt und (unter Berücksichtigung der jährlichen Überwachungsaudits) danach alle 3 Jahre das Vorhandensein eines Informationssicherheits-Managementsystems (ISMS) mit Abdeckung der Normanforderungen nach, berücksichtigt aber nicht den Nachweis für die dauerhafte Wirksamkeit der implementierten Kontrollen. Das ISO-Zertifikat wird dabei von einer für ISO 27001 akkreditierten Zertifizierungsstelle und nicht von einem Wirtschaftsprüfer ausgestellt.

Für wen kommt eine BSI C5-Testierung in Frage?

Eine Testierung nach dem C5-Katalog kommt grundsätzlich für alle Anbieter in Frage, die ihren Kunden eine Cloud-Dienstleistung anbieten. Dies umfasst z.B. auch Cloud-Lösungen, die aus den Leistungen von Unterauftragnehmer des Cloud-Dienstleister zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

  • SaaS (z.B. ERP-Systeme, Finanz-Dienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualization, etc.) 
  • PaaS (Entwicklungsplattformen) 
  • IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen) 

Interessant ist eine C5-Testierung insbesondere für Cloudanbieter, die ihre Leistungen für eine Vielzahl von Kunden anbieten und bereits einen Großteil der C5-Kriterien erfüllen, oder mit absehbarem zeitlichem Aufwand erfüllen können. 

Was beinhaltet BSI C5?

Der Kriterienkatalog C5: 2020 beinhaltet neben den Anforderungen der allgemeinen Rahmenbedingungen 125 Kriterien, die sich auf 17 Themengebiete aufteilen:

1 Organisation der Informationssicherheit (OIS)
2 Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3 Personal (HR)
4 Asset Management (AM)
5 Physische Sicherheit (PS)
6 Regelbetrieb (OPS)
7 Identitäts- und Berechtigungsmanagement (IDM)
8 Kryptographie und Schlüsselmanagement (CRY)
9 Kommunikationssicherheit (COS)
10 Portabilität und Interoperabilität (PI)
11 Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12 Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13 Umgang mit Sicherheitsvorfällen (SIM)
14 Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15 Compliance (COM)
16 Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17 Produktsicherheit (PSS)

Die 125 Kriterien gliedern sich dabei in sog. Basiskriterien sowie Zusatzkriterien. Die Basiskriterien beinhalten dabei Anforderungen, die ein Clouddienst erfüllen muss, um den Anforderungen einer sicheren Verarbeitung von Daten mit normalem Schutzbedarf zu gewährleisten.

Sofern Kunden sensible Informationen mit erhöhtem Schutzbedarf in der Cloud verarbeiten wollen, sollte der betreffenden Cloudanbieter darüber hinaus auch die sog. Zusatzkriterien erfüllen, die weiterführenden Maßnahmen zur Gewährleistung der Informationssicherheit seitens des Cloudanbieters erfordern.

Darüber hinaus enthält der Kriterienkatalog umfassende Informationen für den Konformitätsnachweis durch eine unabhängige Prüfung, die idealerweise zu einem C5-Testat führt.

Wer darf eine BSI C5-Testierung durchführen?

Die Prüfungen werden typischerweise von externen IT-Prüfern aus dem Umfeld der Wirtschaftsprüfung durchgeführt. Die eigentliche Ausstellung des Testats erfolgt durch einen Wirtschaftsprüfer.

Wie läuft eine BSI C5-Testierung ab?

Um nicht erst während der C5-Prüfung festzustellen, dass das gewünschte Ergebnis in Form eines positiven C5-Testats nicht realistisch ist, bedarf es beim Cloud-Dienstleister einer sorgfältigen Vorbereitung mit entsprechendem zeitlichem Vorlauf und der Einplanung der Ressourcen für Systemanpassungen sowie dem Aufbau des internen Kontrollsystems.
Grundlegende Voraussetzungen sollten möglichst vorab bereits vor Beauftragung der Prüforganisation gelegt werden, u.a.:

  • Festlegung des Produkt-/DL-Scopes für das Testat
  • Systembeschreibung des Cloudanbieters
  • Interne Vorab-Prüfung bzgl. der Erfüllung der C5-Kriterien
  • Festlegung der anzuwendenden Kriterien (Basiskriterien, Zusatzkriterien, nichtanwendbare Kriterien)
  • Implementierung des internen Kontrollsystems (IKS) mit Zuordnung der Kontrollen zu C5-Kriterien
  • Bestimmung der erforderlichen korrespondierende Kontrollen auf Kundenseite
  • Festlegung der einzubeziehenden Sub-Dienstleister (inklusive oder Carve out-Methode)
  • Aufbau und Beschreibung der C5-relevanten Kontrollen des IKS

Nach der Beauftragung einer geeigneten Prüforganisation (meist in Form eines Wirtschaftsprüfers) beginnt die Phase der intensiven Prüfungstätigkeiten, für die auf Seite des Clouddienstleisters die Verfügbarkeit und die zeitlichen Kapazitäten der erforderlichen Experten eingeplant werden sollte. Im Rahmen der Erstprüfung wird zunächst eine Prüfung nach Typ 1 durchgeführt, bei der der Wirtschaftsprüfer das interne Kontrollsystem bzw. die zur Erfüllung des C5 -Kriterien erforderlichen Kontrollen auf Angemessenheit des Kontrolldesigns bewertet. Die wesentlichen Aufgaben hierbei sind:

  • Prüfung der Erfüllung aller C5-Rahmenbedingungen durch den Clouddienst
  • Prüfung der Abdeckung der C5-Kriterien durch Systemeigenschaften und interne Kontrollen
  • Prüfung des Mappings Kriterien / Kontrollen
  • Prüfung der Angemessenheit der den C5-Kriterien zugeordneten Kontrollen
  • Erstellung Bericht und Testat Typ 1 (z.B. auf Basis IDW PS 951, ISAE 3402)

Nach Festlegung des avisierten Berichtszeitraum kann die Prüfung und Testierung des internen Kontrollsystems für die C5-Kriterien nach Typ 2 avisiert werden. Dies setzt voraus, dass der Clouddienstleister sein internes Kontrollsystem über den gesamten für den Bericht bzw. die Testierung relevanten Berichtszeitraum erfolgreich betrieben hat und die durchgängige Durchführung der internen Kontrollen belegt werden kann. Die Aktivitäten zu Erstellung des -Typ 2-Berichts sind identisch zum Typ 1-Bericht, allerdings wird hier nicht nur das Design bzw. die Angemessenheit der internen, für C5 relevanten Kontrollen geprüft, sondern deren Wirksamkeit über den gesamten Berichtszeitraum.

Fazit

BSI C5 ist der führende Standard für die Umsetzung und Prüfung der Sicherheit von Cloud-Diensten in Deutschland. Der Standard deckt alle wichtigen Aspekte der Cloud-Sicherheit ab und stellt sicher, dass Cloud-Provider angemessene Sicherheitsmaßnahmen umsetzen, um die Daten ihrer Kunden zu schützen. Die Testierung nach BSI C5 bietet Kunden zusätzliche Sicherheit und Vertrauen in den Cloud-Provider und ist daher ein wertvolles Instrument für Cloud-Provider, um ihre Wettbewerbsfähigkeit auf dem deutschen Markt zu erhöhen und neue Kunden zu gewinnen.

/von