Schlagwortarchiv für: Zertifizierung

Die zunehmende Größe und Komplexität des Marktes für Cloud-Lösungen stellt Kunden vor die Frage, welcher Anbieter bzw. welche Cloudlösung die eigenen Anforderungen zur Informationssicherheit am besten abdeckt. Mit der Einführung des BSI C5-Standards hat das BSI einen anspruchsvollen Sicherheitsstandard für Cloud-Dienstleistungen geschaffen, der dieses Problem adressiert. Mit einem auf dem BSI C5-Standard basierenden BSI C5-Testat und dem zugrundeliegenden Prüfbericht können Cloudanbieter ihren Kunden die Sicherheit ihrer Clouddienste transparent darstellen und nachweisen.

Was ist der BSI C5-Standard?

Die Abkürzung C5 steht für die 5 Anfangsbuchstaben des Cloud Computing Compliance Criteria Catalogue des BSI (kurz: BSI C5). Der  ist ein Katalog, der Mindestanforderungen (Kriterien) zur Informationssicherheit eines Cloud-Dienstes beschreibt und ist in Europa der führende Standard für Informationssicherheit im Cloud Computing.

Die darin definierten Mindestanforderungen können von Clouddienst-Anbietern als Orientierung genutzt werden, um die richtigen Maßnahmen zur Gewährleistung der Informationssicherheit der angebotenen Cloudlösungen zu implementieren. Darüber dient der C5-Kriterienkatalog auch als Grundlage für eine standardisierte Prüfung durch externe Auditoren. Mit einem C5 Testat und dem Ergebnisbericht können Clouddienst-Anbieter ihren Kunden die Einhaltung der im C5-Katalog enthaltenen Kriterien zur Informationssicherheit belegen.

Wer hat BSI C5 entwickelt?

Der C5-Katalog wurde von der staatlichen Behörde Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 entwickelt. Das BSI ist eine deutsche Bundesoberbehörde, die zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn gehört, und für alle Themen rund um Informationssicherheit und Cybersecurity zuständig ist. Seit der Erstveröffentlichung wurde der BSI C5-Katalog weiterentwickelt und die überarbeitete zweite Fassung im Jahr 2020 veröffentlicht (C5: 2020).

Was ist der konkrete Nutzen von BSI C5?

Der Nutzen des C5-Katalogs resultiert maßgeblich aus dessen Testierfähigkeit. Mit einem C5-Testat können Anbieter von Clouddienstleistungen ihren Kunden transparent nachweisen, dass die im C5 definierten Kriterien zur Informationssicherheit eingehalten werden.

  1. Differenzierung und Wettbewerbsvorteil im Markt für Clouddienstleistungen
    Ob SaaS, PaaS oder IaaS – im stetig wachsenden Markt für Clouddienstleistungen aller Art mit einer weiter zunehmenden Zahl an international agierenden Anbietern ist es schwer, sich von der Konkurrenz abzuheben und den eigenen Mehrwert herauszustellen. Mit einem C5-Testat können sich Clouddienst-Anbieter jedoch wirkungsvoll im Wettbewerb profilieren, denn der Standard ist international bekannt, die zugrundliegende Thematik der Informationssicherheit maßgeblich entscheidungsrelevant für Kunden, und die Einhaltung der C5-Kriterien durchaus anspruchsvoll.
    Darüber hinaus kann ein Clouddienst-Anbieter mit einer einmaligen Prüfung und Testierung einer Vielzahl von Kunden und Interessenten die Einhaltung der C5-Kriterien nachweisen. Damit wird vermieden, dass jeder Kunde oder Interessent individuell Auskünfte beim Anbieter einholen, oder eigene Auditoren mit der Prüfung der Sicherheit seiner Daten beim Clouddienstleister beauftragen muss.
    Ein weitere wichtiger Punkt ist die Tatsache, dass im öffentlichen Sektor bzw. von Bundesbehörden Aufträge, bei denen Clouddienstleistungen erforderlich sind, nur unter der Voraussetzung vergeben werden, dass vom Bieter ein aktuelles C5-Testat vorgelegt wird, welches die Erfüllung der C5-Kriterien nachweist.
  2. Orientierungshilfe für Kunden bei der Auswahl von Clouddienstleistern und Clouddiensten
    Die Größe und Komplexität des Markts für Clouddienstleistungen ist aber nicht nur für die Anbieter eine Herausforderung, sondern insbesondere für Kunden ist es nicht einfach festzustellen, welcher Anbieter und welches Produkt die eigenen Anforderungen zur Informationssicherheit abdeckt. Mit der Vorlage eines C5-Testats und des dazu gehörenden Prüfberichts kann ein Clouddienst-Anbieter den potenziellen Kunden helfen, hierbei die richtige Entscheidung zu treffen.

Was ist der Unterschied zwischen BSI C5 und DIN ISO 27001?

Eine BSI c5-Testat orientiert sich methodisch am Vorgehen in der Wirtschaftsprüfung, bei der unter Einhaltung der vorgegebenen Prüfungsstandards initial die Angemessenheit der Kontrollen des internen Kontrollsystems (IKS) mit Einhaltung der zugrunde liegenden Anforderungen (C5-Kriterien), und dann in regelmäßigen Abständen (z.B. alle 6 Monate oder jährlich) deren Wirksamkeit über die gesamte Berichtsperiode geprüft, und von einem Wirtschaftsprüfer bescheinigt wird.

Eine Zertifizierung nach ISO 27001 hingegen weist zu einem bestimmten Zeitpunkt und (unter Berücksichtigung der jährlichen Überwachungsaudits) danach alle 3 Jahre das Vorhandensein eines Informationssicherheits-Managementsystems (ISMS) mit Abdeckung der Normanforderungen nach, berücksichtigt aber nicht den Nachweis für die dauerhafte Wirksamkeit der implementierten Kontrollen. Das ISO-Zertifikat wird dabei von einer für ISO 27001 akkreditierten Zertifizierungsstelle und nicht von einem Wirtschaftsprüfer ausgestellt.

Für wen ist ein C5-Testat relevant?

Eine Testierung nach dem C5-Katalog kommt grundsätzlich für alle Anbieter in Frage, die ihren Kunden eine Cloud-Dienstleistung anbieten. Dies umfasst z.B. auch Cloud-Lösungen, die aus den Leistungen von Unterauftragnehmer des Cloud-Dienstleister zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

  • SaaS (z.B. ERP-Systeme, Finanz-Dienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualization, etc.) 
  • PaaS (Entwicklungsplattformen) 
  • IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen) 

Interessant ist ein BSI C5-Testat insbesondere für Cloudanbieter, die ihre Leistungen für eine Vielzahl von Kunden anbieten und bereits einen Großteil der C5-Kriterien erfüllen, oder mit absehbarem zeitlichem Aufwand erfüllen können. 

Was beinhaltet der C5-Katalog?

Der Kriterienkatalog C5: 2020 beinhaltet neben den Anforderungen der allgemeinen Rahmenbedingungen 125 Kriterien, die sich auf 17 Themengebiete aufteilen:

1 Organisation der Informationssicherheit (OIS)
2 Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3 Personal (HR)
4 Asset Management (AM)
5 Physische Sicherheit (PS)
6 Regelbetrieb (OPS)
7 Identitäts- und Berechtigungsmanagement (IDM)
8 Kryptographie und Schlüsselmanagement (CRY)
9 Kommunikationssicherheit (COS)
10 Portabilität und Interoperabilität (PI)
11 Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12 Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13 Umgang mit Sicherheitsvorfällen (SIM)
14 Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15 Compliance (COM)
16 Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17 Produktsicherheit (PSS)

Die 125 Kriterien gliedern sich dabei in sog. Basiskriterien sowie Zusatzkriterien. Die Basiskriterien beinhalten dabei Anforderungen, die ein Clouddienst erfüllen muss, um den Anforderungen einer sicheren Verarbeitung von Daten mit normalem Schutzbedarf zu gewährleisten.

Sofern Kunden sensible Informationen mit erhöhtem Schutzbedarf in der Cloud verarbeiten wollen, sollte der betreffenden Cloudanbieter darüber hinaus auch die sog. Zusatzkriterien erfüllen, die weiterführenden Maßnahmen zur Gewährleistung der Informationssicherheit seitens des Cloudanbieters erfordern.

Darüber hinaus enthält der Kriterienkatalog umfassende Informationen für den Konformitätsnachweis durch eine unabhängige Prüfung, die idealerweise zu einem C5-Testat führt.

Wer darf ein BSI C5-Testat ausstellen?

Die Prüfungen werden typischerweise von externen IT-Prüfern aus dem Umfeld der Wirtschaftsprüfung durchgeführt. Die eigentliche Ausstellung des Testats erfolgt durch einen Wirtschaftsprüfer.

Wie läuft eine BSI C5-Testierung ab?

Um nicht erst während der C5-Prüfung festzustellen, dass das gewünschte Ergebnis in Form eines positiven C5-Testats nicht realistisch ist, bedarf es beim Cloud-Dienstleister einer sorgfältigen Vorbereitung mit entsprechendem zeitlichem Vorlauf und der Einplanung der Ressourcen für Systemanpassungen sowie dem Aufbau des internen Kontrollsystems.
Grundlegende Voraussetzungen sollten möglichst vorab bereits vor Beauftragung der Prüforganisation gelegt werden, u.a.:

  • Festlegung des Produkt-/DL-Scopes für das Testat
  • Systembeschreibung des Cloudanbieters
  • Interne Vorab-Prüfung bzgl. der Erfüllung der C5-Kriterien
  • Festlegung der anzuwendenden Kriterien (Basiskriterien, Zusatzkriterien, nichtanwendbare Kriterien)
  • Implementierung des internen Kontrollsystems (IKS) mit Zuordnung der Kontrollen zu C5-Kriterien
  • Bestimmung der erforderlichen korrespondierende Kontrollen auf Kundenseite
  • Festlegung der einzubeziehenden Sub-Dienstleister (inklusive oder Carve out-Methode)
  • Aufbau und Beschreibung der C5-relevanten Kontrollen des IKS

TypI

Nach der Beauftragung einer geeigneten Prüforganisation (meist in Form eines Wirtschaftsprüfers) beginnt die Phase der intensiven Prüfungstätigkeiten, für die auf Seite des Clouddienstleisters die Verfügbarkeit und die zeitlichen Kapazitäten der erforderlichen Experten eingeplant werden sollte. Im Rahmen der Erstprüfung wird zunächst eine Prüfung nach Typ 1 durchgeführt, bei der der Wirtschaftsprüfer das interne Kontrollsystem bzw. die zur Erfüllung des C5 -Kriterien erforderlichen Kontrollen auf Angemessenheit des Kontrolldesigns bewertet. Die wesentlichen Aufgaben hierbei sind:

  • Prüfung der Erfüllung aller C5-Rahmenbedingungen durch den Clouddienst
  • Prüfung der Abdeckung der C5-Kriterien durch Systemeigenschaften und interne Kontrollen
  • Prüfung des Mappings Kriterien / Kontrollen
  • Prüfung der Angemessenheit der den C5-Kriterien zugeordneten Kontrollen
  • Erstellung Bericht und Testat Typ 1 (z.B. auf Basis IDW PS 951, ISAE 3402)

TypII

Nach Festlegung des avisierten Berichtszeitraum kann die Prüfung und Testierung des internen Kontrollsystems für die C5-Kriterien nach Typ 2 avisiert werden. Dies setzt voraus, dass der Clouddienstleister sein internes Kontrollsystem über den gesamten für den Bericht bzw. die Testierung relevanten Berichtszeitraum erfolgreich betrieben hat und die durchgängige Durchführung der internen Kontrollen belegt werden kann. Die Aktivitäten zu Erstellung des -Typ 2-Berichts sind identisch zum Typ 1-Bericht, allerdings wird hier nicht nur das Design bzw. die Angemessenheit der internen, für C5 relevanten Kontrollen geprüft, sondern deren Wirksamkeit über den gesamten Berichtszeitraum.

Fazit

BSI C5 ist der führende Standard für die Umsetzung und Prüfung der Sicherheit von Cloud-Diensten in Deutschland. Der Standard deckt alle wichtigen Aspekte der Cloud-Sicherheit ab und stellt sicher, dass Cloud-Provider angemessene Sicherheitsmaßnahmen umsetzen, um die Daten ihrer Kunden zu schützen. Die Testierung nach BSI C5 bietet Kunden zusätzliche Sicherheit und Vertrauen in den Cloud-Provider und ist daher ein wertvolles Instrument für Cloud-Provider, um ihre Wettbewerbsfähigkeit auf dem deutschen Markt zu erhöhen und neue Kunden zu gewinnen.

Die BSI C5 Testierung 2025 stellt viele Cloud-Anbieter im Gesundheitsbereich vor neue Herausforderungen. Ab dem 1. Juli 2025 gelten deutlich strengere Anforderungen an die Informationssicherheit. Wer Cloud-Services anbietet und dabei mit Patientendaten oder Sozialdaten umgeht, muss künftig ein C5-Testat vorweisen – andernfalls drohen massive Einschränkungen bei der weiteren Geschäftstätigkeit.

Dank der neuen C5-Gleichwertigkeitsverordnung (C5GleichwV) gibt es jedoch Möglichkeiten, den Übergang rechtssicher zu gestalten. In diesem Beitrag erklären wir, welche Übergangslösungen bestehen, was es dabei zu beachten gilt – und wie Unternehmen im Gesundheitssektor jetzt strategisch vorgehen sollten, um die BSI C5 Testierung 2025 erfolgreich zu erreichen.


Aktuelle und kommende C5-Testierungspflicht im Gesundheitswesen

Die C5-Testierung basiert auf dem „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ziel des Kriterienkatalogs ist es, die Sicherheit und Transparenz bei der Nutzung von Cloud-Diensten zu verbessern – insbesondere dann, wenn sensible Daten wie Gesundheits- oder Sozialdaten betroffen sind.

Im Gesundheitswesen ist die C5-Testierungspflicht gesetzlich verankert: § 393 Abs. 4 SGB V verpflichtet Anbieter von Cloud-Computing-Diensten zur C5-Testierung, wenn sie Patientendaten oder Sozialdaten verarbeiten.

Die gesetzliche Frist sieht folgende Übergangsregelung vor:

  • Bis zum 30. Juni 2025 genügt ein C5 TypI-Testat (Angemessenheitsprüfung der implementierten Sicherheitsmaßnahmen).

  • Ab dem 1. Juli 2025 ist ein C5 TypII-Testat verpflichtend. Hier wird zusätzlich geprüft, ob die Maßnahmen auch wirksam umgesetzt wurden – anhand eines Beobachtungszeitraums von mindestens sechs Monaten.

Vor allem kleinere Cloud-Anbieter im Gesundheitswesen stehen nun vor erheblichen Herausforderungen: Zeit, Budget und Know-how für eine vollständige C5-Testierung sind knapp.


Die C5-Gleichwertigkeitsverordnung: Temporäre Brückenlösungen

Mit der neuen Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Dienste im Gesundheitswesen (C5GleichwV) wird ein Rechtsrahmen geschaffen, um betroffenen Unternehmen den Übergang zu erleichtern.

Die gute Nachricht: Für maximal 24 Monate können alternative Sicherheitsnachweise anerkannt werden – sofern bestimmte Bedingungen erfüllt sind. Das bedeutet: Die Verpflichtung zum C5-Typ-2-Testat zum 1. Juli 2025 bleibt bestehen, kann jedoch temporär ersetzt werden, wenn gleichwertige Maßnahmen und ein realistischer Umsetzungsplan vorliegen.


C5 Testierung Gesundheitswesen 2025: Diese Nachweise gelten als gleichwertig

Laut Verordnung gelten folgende Zertifizierungen als temporär C5-konform, sofern ein entsprechendes Mapping und Maßnahmenplan vorgelegt wird:

Anerkannte Sicherheitsnachweise:

Zusätzliche Anforderungen:

  • Ein detailliertes Mapping, das aufzeigt, welche C5-Anforderungen nicht durch die Zertifizierung abgedeckt sind.

  • Ein konkreter Maßnahmenplan zur Schließung der Lücken, inklusive Umsetzungszeitplan (max. 12 Monate).

  • Ein Nachweis, wie innerhalb von 18 Monaten ein C5-Typ-1-Testat und innerhalb von 24 Monaten ein C5-Typ-2-Testat erreicht werden soll.

Wichtig: Die Fristen laufen parallel, nicht nacheinander. Das bedeutet: Unternehmen müssen spätestens bis Mitte 2027 ein vollständiges Typ-2-Testat vorlegen – idealerweise deutlich früher.


Risiken und Herausforderungen

Auch wenn die Gleichwertigkeitsverordnung einen pragmatischen Übergang ermöglicht, sollten sich Unternehmen nicht in falscher Sicherheit wiegen. Die  BSI C5-Testierung im Gesundheitswesen 2025 ist und bleibt ein Muss – und der Weg dorthin ist komplex:

  • Hoher Aufwand für Dokumentation, technische Umsetzung und Auditvorbereitung

  • Kostenintensive Prüfung, da das Testat ausschließlich von Wirtschaftsprüfern mit entsprechender Zulassung durchgeführt werden darf

  • Risiko des Nichtbestehens, wenn Anforderungen nicht korrekt umgesetzt oder dokumentiert sind

  • Wettbewerbsnachteile, wenn Kunden oder Partner die Gleichwertigkeitslösung nicht anerkennen


Jetzt handeln: Empfehlungen für Gesundheitsunternehmen

Wer Cloud-Dienste im Gesundheitsbereich anbietet und auch nach Juli 2025 rechtskonform tätig sein will, sollte folgende Schritte einleiten:

  1. Ist-Analyse und Gap-Assessment: Welche Sicherheitsmaßnahmen sind bereits vorhanden? Welche C5-Kriterien sind (noch) nicht erfüllt?

  2. Zertifikatsprüfung: Gibt es bereits eine ISO- oder CCM-Zertifizierung, auf der man aufbauen kann?

  3. Maßnahmenplanung: Welche zusätzlichen Prozesse, Kontrollen oder Tools müssen eingeführt werden?

  4. Zeitplan und Ressourcenmanagement: Wer macht was bis wann – intern und mit externen Partnern?

  5. Frühzeitige Prüfungsplanung: Der Markt für qualifizierte Prüfer ist begrenzt – wer zu spät kommt, bekommt unter Umständen keinen Termin.


Unser Beitrag zu Ihrer erfolgreichen C5-Testierung

Unser Ziel ist es, Unternehmen gezielt bei der BSI C5 Testierung 2025 zu begleiten – von der Gap-Analyse bis zur finalen Auditierung.

Unser Leistungsspektrum:

  • Gap-Analyse und Mapping Ihrer bestehenden Zertifizierungen zu den C5-Anforderungen

  • Entwicklung realistischer Maßnahmenpläne zur Schließung dokumentierter Lücken

  • Beratung zur Auswahl der passenden Übergangslösung auf Basis der Gleichwertigkeitsverordnung

  • Projektmanagement und Prüfungsbegleitung bis zur erfolgreichen Testierung

 


Fazit: Aufschub ist kein Ersatz

Die C5-Gleichwertigkeitsverordnung bietet eine sinnvolle Übergangslösung – aber keinen Ersatz für die vollständige Testierung. Gesundheitsunternehmen sollten den Spielraum nutzen, um sich gut vorbereitet und rechtssicher aufzustellen. Denn wer die neuen Anforderungen nicht erfüllt, wird künftig keine Cloud-Dienste für Patientendaten mehr anbieten dürfen.

Jetzt ist der richtige Zeitpunkt, um aktiv zu werden. Wir begleiten Sie auf dem Weg zur C5-Compliance – professionell, effizient und zukunftssicher.

Der Cloud-Compliance-Standard im Wandel

Der Cloud Computing Compliance Criteria Catalogue (BSI C5)  des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat sich seit seiner Einführung im Jahr 2016 als De-facto-Standard für Cloud-Sicherheit in Deutschland etabliert. Als direkte Reaktion auf die zunehmende Cloud-Nutzung in deutschen Unternehmen und Behörden entwickelt, hat sich der Standard kontinuierlich weiterentwickelt – zuletzt mit bedeutenden Aktualisierungen für 2025.

In diesem Blogbeitrag beleuchten wir die wichtigsten Änderungen und erklären, warum BSI C5 für Cloud-Anbieter und -Nutzer relevanter ist als je zuvor.

Was ist BSI C5 und wer ist betroffen?

BSI C5 definiert einen umfassenden Kriterienkatalog für die Informationssicherheit von Cloud-Diensten. Der Standard richtet sich in erster Linie an:

  • Cloud-Service-Provider: Von großen Hyperscalern bis zu spezialisierten SAAS-Anbietern
  • Rechenzentren und Hosting-Anbieter: Mit Fokus auf Cloud-Infrastruktur
  • Anbieter branchenspezifischer Cloud-Lösungen: Besonders im Gesundheitswesen, Finanzsektor und für kritische Infrastrukturen

Während BSI C5 formal kein gesetzlich vorgeschriebener Standard ist, hat er in der Praxis quasi-verbindlichen Charakter erlangt. Besonders im öffentlichen Sektor und bei regulierten Branchen wird er zunehmend als Ausschreibungskriterium gefordert.

Die wichtigsten Änderungen 2025

Stärkere Integration mit europäischen Standards

Die neueste Iteration des BSI C5 wurde stärker an die europäischen Compliance-Anforderungen angeglichen. Konkret bedeutet das:

  • Harmonisierung mit ENISA-Vorgaben: Abstimmung mit dem European Cybersecurity Certification Scheme for Cloud Services
  • NIS2-Kompatibilität: Einbindung der Anforderungen aus der überarbeiteten EU-Richtlinie für Netz- und Informationssicherheit
  • DSGVO-Verzahnung: Verbesserte Integration der datenschutzrechtlichen Anforderungen

Diese Harmonisierung reduziert den Compliance-Aufwand für Anbieter, die in mehreren europäischen Ländern aktiv sind.

Verschärfte Anforderungen an die Lieferkette

In Reaktion auf die zunehmenden Supply-Chain-Angriffe wurde der BSI C5 um detailliertere Kontrollen zur Lieferkettensicherheit erweitert:

  • Lieferantenrisikomanagement: Tiefergehende Bewertung von Drittanbietern
  • Code-Integritätsprüfungen: Verstärkte Anforderungen an die Sicherheit von Drittanbieter-Code
  • Kontinuierliche Überwachung: Laufende Bewertung der Sicherheitsmaßnahmen in der Lieferkette

Neue Kontrollen für verteilte Arbeitsumgebungen

Die Post-Pandemie-Arbeitswelt mit Remote- und hybriden Arbeitsmodellen spiegelt sich in neuen Anforderungen wider:

  • Zero-Trust-Architektur: Erhöhte Anforderungen an Authentifizierung und Zugriffskontrolle
  • Endpoint-Sicherheit: Spezifische Kontrollen für den Zugriff von Remote-Arbeitsplätzen
  • Collaboration-Security: Sicherheitsanforderungen für kollaborative Tools und Plattformen

Fokus auf Portabilität und Exit-Strategien

Ein besonderer Schwerpunkt liegt auf der Vermeidung von Vendor Lock-in und der Sicherstellung nahtloser Migration:

  • Standardisierte Datenportabilität: Klarere Anforderungen an Datenexport-Funktionen
  • Exit-Management: Detaillierte Prozessanforderungen für Anbieterwechsel
  • Interoperabilität: Stärkere Betonung offener Standards und Schnittstellen

Branchenspezifische Auswirkungen

Für Healthcare SAAS-Anbieter

Besonders im Gesundheitssektor haben die Aktualisierungen weitreichende Auswirkungen:

  • Patientendatenschutz: Erhöhte Anforderungen an die Verarbeitung besonders schützenswerter Gesundheitsdaten
  • Verfügbarkeitsanforderungen: Strengere SLAs für geschäftskritische Anwendungen
  • Schnittstellensicherheit: Neue Vorgaben für die Integration mit Gesundheits-IT-Systemen

Die verstärkten Anforderungen spiegeln die zunehmende Digitalisierung im Gesundheitswesen wider, bei der die Sicherheit und Vertraulichkeit von Patientendaten oberste Priorität hat.

Für Rechenzentren und Cloud-Provider

Infrastrukturanbieter sehen sich mit diesen Hauptherausforderungen konfrontiert:

  • Physische Sicherheit: Erweiterte Anforderungen an Zutrittskontrollen und Überwachungssysteme
  • Energieeffizienz: Neue Nachhaltigkeitsaspekte im Rechenzentrumsbereich
  • Mandantentrennung: Verschärfte Kontrollen für Multi-Tenant-Umgebungen

Gleichzeitig bietet BSI C5 diesen Anbietern einen klaren Wettbewerbsvorteil im deutschen und zunehmend im europäischen Markt.

Warum die Automatisierung der BSI C5-Compliance entscheidend wird

Mit der steigenden Komplexität der Anforderungen wächst der Bedarf an effizienten Compliance-Prozessen. Eine manuelle Nachweisführung ist nicht nur zeitaufwändig, sondern auch fehleranfällig. Moderne Compliance-Plattformen wie Drata können:

  • Bis zu 60% des manuellen Aufwands reduzieren
  • Die kontinuierliche Überwachung der Kontrollen automatisieren
  • Prüfungsnachweise zentral und revisionssicher sammeln
  • Die Vorbereitung auf Audits erheblich beschleunigen

Der Weg zur BSI C5-Konformität

Ein systematischer Ansatz zur Erlangung und Aufrechterhaltung der BSI C5-Konformität umfasst typischerweise diese Schritte:

  1. Gap-Analyse: Bewertung des aktuellen Stands gegenüber den BSI C5-Anforderungen
  2. Maßnahmenplanung: Priorisierung von Maßnahmen zur Schließung identifizierter Lücken
  3. Implementierung: Umsetzung der Maßnahmen und Etablierung eines internen Kontrollsystems
  4. Automatisierung: Einführung von Tools zur Effizienzsteigerung und kontinuierlichen Überwachung
  5. Testvorbereitung: Durchführung interner Audits zur Validierung der Maßnahmen
  6. Zertifizierung: Formelle Prüfung durch einen unabhängigen Wirtschaftsprüfer

Fazit: BSI C5 als strategischer Wettbewerbsvorteil

Die Bedeutung von BSI C5 geht weit über die reine Compliance-Erfüllung hinaus. Eine erfolgreiche Implementierung:

  • Stärkt das Vertrauen von Kunden und Partnern
  • Eröffnet Zugänge zu neuen Märkten, besonders im öffentlichen Sektor
  • Minimiert Sicherheitsrisiken und potenzielle Datenschutzvorfälle
  • Schafft ein strukturiertes Informationssicherheitsmanagement

Gerade für Anbieter im Gesundheitssektor und für Cloud-Provider bietet BSI C5 die Chance, sich als vertrauenswürdiger Partner zu positionieren und regulatorische Anforderungen effizient zu erfüllen.

Kostenfreies Webinar: 360° BSI C5: Compliance effizient und sicher implementieren

Von der Theorie zur Praxis

Möchten Sie mehr über die praktische Umsetzung von BSI C5 und die Automatisierung mit Drata erfahren? In unserem 45-minütigen Webinar am 22. Mai 2025 zeigen wir Ihnen:

  • Die aktuellen BSI C5-Anforderungen im Detail
  • Praxisbeispiele für Healthcare SAAS und Rechenzentren
  • Wie Sie mit Drata den Implementierungsaufwand erheblich reduzieren können

Jetzt kostenfrei anmelden →

Über den Autor:

Thomas Pfützenreuter ist Geschäftsführer und BSI C5-Experte bei Securance-iAP mit über 20 Jahren Erfahrung in der Implementierung von Compliance-Lösungen für regulierte Branchen.

 

In der modernen Geschäftswelt steht Sicherheit und Qualität an erster Stelle. Insbesondere für Unternehmen im Bereich Rechenzentren und Cloudbetreuung ist das Wirtschaftsprüfer-Testat entscheidend geworden, das weit mehr ist als nur eine Bescheinigung.

Die Relevanz einer Rechenzentrums-Zertifizierung

Die fortschreitende Digitalisierung und der verstärkte Einsatz von Cloud-Infrastrukturen machen die Sicherheit von Rechenzentren zur Schlüsselkomponente für den Geschäftserfolg. Die Zertifizierung durch einen unabhängigen Wirtschaftsprüfer gewährleistet, dass Ihre IT-Infrastruktur und Dienstleistungen höchsten Sicherheits- und Qualitätsstandards entsprechen.

Warum ein Wirtschaftsprüfer-Testat?

Ein Wirtschaftsprüfer-Testat bietet eine unabhängige, neutrale und objektive Überprüfung Ihrer Prozesse, die über Mindeststandards hinausgeht. Es identifiziert potenzielle Schwachstellen und stärkt die Glaubwürdigkeit Ihrer Organisation, was das Vertrauen Ihrer Kunden und Geschäftspartner fördert.

Die Vorteile im Detail:

  1. Risikobewertung und -management: Wir evaluieren nicht nur vorhandene Sicherheitslücken, sondern bieten auch maßgeschneiderte Empfehlungen zur Risikominderung. Unser Fokus liegt darauf, Ihre Organisation proaktiv vor potenziellen Bedrohungen zu schützen und gleichzeitig die Integrität Ihrer IT-Infrastruktur zu stärken. Durch eine umfassende Analyse identifizieren wir Risiken, präsentieren klare Empfehlungen und begleiten Sie partnerschaftlich auf dem Weg zu einer widerstandsfähigen Sicherheitsstrategie. In einer sich ständig wandelnden digitalen Landschaft sind eine effektive Risikobewertung und proaktives Management entscheidend.
  2. Individuelle Anpassung: Jedes Unternehmen ist einzigartig. Unser Wirtschaftsprüfer-Testat wird präzise an die spezifischen Anforderungen Ihrer Organisation angepasst. Wir erkennen die Einzigartigkeit Ihres Unternehmens an und stellen sicher, dass die Sicherheitsstandards genau auf Ihre Bedürfnisse zugeschnitten sind.
  3. Rechtsverbindlichkeit: Das Wirtschaftsprüfer-Testat bietet erhöhte rechtliche Verbindlichkeit, wodurch Ihrer Organisation eine zusätzliche rechtliche Absicherung gewährt wird.

Vertrauen schaffen durch Transparenz

Ein Wirtschaftsprüfer-Testat bietet nicht nur eine Bestätigung der Einhaltung internationaler Standards, sondern schafft auch Vertrauen bei Kunden und Geschäftspartnern. Die transparente Dokumentation von Prüfergebnissen, Empfehlungen und Maßnahmen zur kontinuierlichen Verbesserung gibt Aufschluss über die Verlässlichkeit der IT-Infrastruktur.

Zeit- und Kostenersparnis durch Standardisierung

Die Zertifizierung nach internationalen Standards wie SOC1, SOC2ISAE3402, EN 50600 oder BSI C5 ermöglicht eine Standardisierung der Sicherheitsprozesse. Dies führt nicht nur zu einer effizienteren Implementierung von Sicherheitsmaßnahmen, sondern erspart auch die Notwendigkeit kundenindividueller Audits, wodurch wiederum Zeit und Ressourcen gespart werden können.

Prüfung des dienstleistungsbezogenen internen Kontrollsystems (IKS)

Die Grundlage für die Prüfung sind die Standards IDW PS 951, ISAE 3402 oder SSAE 18, die sich auf (rechnungslegungsrelevante) Dienstleistungen des Unternehmens konzentrieren. Das interne Kontrollsystem des Dienstleistungsunternehmens bildet die Basis für die Überprüfung.

Die Ergebnisse der Prüfung werden in einem Bericht festgehalten, der den Abschlussprüfern der Kunden des Dienstleistungsunternehmens als Prüfungsergebnisse Dritter dient. Die Prüfung kann zeitpunkt- oder zeitraumbezogen sein und sich auf bestimmte Dienstleistungen konzentrieren. Dabei kann die Tiefe der Prüfung zwei Typen umfassen:

  • Typ 1: Beurteilung der Angemessenheit und des Designs der beschriebenen Kontrollen (Berichterstattung Typ A).
  • Typ 2: Zusätzlich die Beurteilung der Wirksamkeit der Kontrollen im Internen Kontrollsystem (Berichterstattung Typ B).

Die Wahl des Prüfungstyps hängt vom Dienstleistungsangebot und den geschlossenen Verträgen mit den auslagernden Unternehmen ab. Der Prüfungstyp A erfordert weitere Prüfungen durch die Kunden bzw. auslagernden Unternehmen.

Unsere Dienstleistungen im Bereich Rechenzentrums-Zertifizierung

Unsere Expertise erstreckt sich über verschiedene Zertifizierungsstandards, um Ihren individuellen Anforderungen gerecht zu werden. Wir unterstützen Sie nicht nur bei der Zertifizierung Ihres Rechenzentrums, sondern begleiten Sie auch bei der Implementierung von Optimierungsmaßnahmen. Unsere ganzheitliche Herangehensweise ermöglicht es Ihnen, nicht nur die Zertifizierungsanforderungen zu erfüllen, sondern auch Ihre IT-Infrastruktur kontinuierlich zu optimieren und an sich wandelnde Branchenstandards anzupassen.

Schlussgedanken

In einer Zeit, in der Datensicherheit und -integrität entscheidend sind, wird eine Rechenzentrums-Zertifizierung zum Wettbewerbsvorteil. Vertrauen Sie auf unsere Erfahrung und Kompetenz, um die Sicherheit Ihrer IT-Infrastruktur nachhaltig zu gewährleisten.

Unsere umfassende Expertise in den Bereichen Prüfung & Zertifizierung, IT-Sicherheit & Cyber Security, Nachhaltigkeit & ESG und Datenschutz macht uns zum idealen Partner für die Sicherheit Ihrer IT-Infrastruktur und die Durchführung von Prüfungen des dienstleistungsbezogenen internen Kontrollsystems.

Besuchen Sie uns für weitere Informationen über die Zertifizierung für Rechenzentren und Cloudbetreiber und Prüfungen Ihres internen Kontrollsystems (IKS) auf https://audit-professionals.de/lp-rechenzentrums-zertifizierung. Ihr Vertrauen ist unser Maßstab für Qualität.

 

Foto: istockphoto.com/oselote

Die zunehmende Digitalisierung der Geschäftsprozesse in Unternehmen – meist mit Einsatz eines ERP-Systems – hat die Bedeutung der IT-Prüfung im Rahmen der Jahresabschlussprüfung verstärkt, insbesondere nach den Standards der International Standards on Auditing (ISA) 315. In diesem Artikel werfen wir einen genaueren Blick auf die Herausforderungen der IT-Prüfung durch den Wirtschaftsprüfer und beleuchten spezifische Aspekte im Hinblick auf die Prüfungsdurchführung.

  1. Sorgfältige Prüfungsplanung der Jahresabschlußprüfung

    In der intensiven Prüfungssaison zum Ende eines jeden Jahres – vor allem aufgrund des gängigen Bilanzstichtags zum 31.12. – ist eine sorgfältige Prüfungsplanung von entscheidender Bedeutung. Dies umfasst insbesondere eine präzise Planung und Zuweisung der knappen Personalressourcen, um spezifische Risiken im IT-Bereich angemessen zu bewerten. Hierbei spielt die Identifikation kritischer Geschäftsprozesse, die Abhängigkeit von IT-Systemen und die Bewertung der Kontrollumgebung eine entscheidende Rolle.

  2. Vorab-Anfrage von Nachweisdokumentation beim Mandanten

    Um die Effizienz der Prüfung zu maximieren, setzen Wirtschaftsprüfer auf die Vorab-Anfrage von Nachweisdokumentation beim Mandanten. Diese Strategie ermöglicht eine frühzeitige Anforderung relevanter Unterlagen, um besser vorbereitet in den Prüfungstermin zu gehen. Durch diesen Vorab-Prozess stellen Prüfer sicher, dass alle notwendigen Informationen verfügbar sind, was den Ablauf der Prüfung erheblich erleichtert.

  3. Prüfungstermin

    Die begrenzte Zeit während des Prüfungstermins ist eine zentrale Herausforderung. In nur wenigen Stunden müssen die Prüfer eine umfassende Prüfung der IT-Kontrollen durchführen. Dies erfordert eine klare Strukturierung des Prüfungsablaufs und eine zielgerichtete Analyse der zuvor identifizierten Risikobereiche. Eine effiziente Nutzung dieser begrenzten Zeit ist entscheidend, um eine gründliche Prüfung durchzuführen.

  4. Nachbereitung des Prüfungstermins

    Der Prüfungstermin muss anschließend sorgfältig nachbereitet werden, da dies einen entscheidenden Einfluss auf die Qualität und Aussagekraft der Prüfungsergebnisse hat. Die sorgfältige Nachbereitung umfasst die Dokumentation aller während des Prüfungstermins durchgeführten Prüfungshandlungen. Eine klare und detaillierte Dokumentation ist wichtig, um den Prüfungsprozess nachvollziehbar und transparent zu gestalten. Dies ist nicht nur für die Prüfer selbst wichtig, sondern dient auch als Basis für etwaige spätere externe Überprüfungen und die Kommunikation mit anderen Prüfungsstellen.

  5. Anforderung zusätzlicher Dokumentation

    Während des Prüfungstermins werden in der Regel aus dem Gesprächsverlauf heraus auch zusätzliche Dokumentationsanforderungen identifiziert, die über die ursprüngliche Vorab-Anfrage hinausgehen. Die Fähigkeit der Prüfer, flexibel auf solche Entwicklungen zu reagieren und die erforderliche Dokumentation zu erlangen, ist entscheidend, um eine ganzheitliche Prüfung sicherzustellen.

  6. Qualitätssicherung der Prüfungsergebnisse

    Die Qualitätssicherung der Prüfungsergebnisse bildet einen kritischen Schritt, um sicherzustellen, dass die erlangten Erkenntnisse korrekt und aussagekräftig sind. Dieser Prozess beinhaltet die eingehende Überprüfung der Prüfungsdokumentation, die Gewährleistung der Konsistenz der durchgeführten Prüfungshandlungen und die sorgfältige Abstimmung mit den ermittelten Risiken und Kontrollen.

  7. Dokumentation und Abschluss

    Die abschließende Dokumentation und Integration der Ergebnisse in einen Prüfungsbericht sind von entscheidender Bedeutung. Neben der detaillierten Auflistung festgestellter Risiken und Schwachstellen sollten auch klare Handlungsempfehlungen für die Geschäftsführung bereitgestellt werden. Die Dokumentation erfolgt idealerweise unter Verwendung geeigneter Anwendungen oder Tools, um eine systematische Erfassung, GoBD-konforme Archivierung und Verlinkung der vom Mandanten bereitgestellten Nachweise zu gewährleisten.
    Die Abschlussphase dient jedoch nicht nur der formalen Vollendung der Prüfung. Sie bietet auch die Gelegenheit, in einen aktiven Dialog mit der Geschäftsführung zu treten. Der Austausch über die ermittelten Schwachstellen, mögliche Handlungsschritte und präventive Maßnahmen fördert nicht nur das Vertrauen, sondern stärkt auch die Rolle des Wirtschaftsprüfers als strategischer Berater.

  8. Kontinuierliche Verbesserung des Prüfvorgehens

    Eine ganzheitliche Betrachtung der Prüfungssaison zum Jahresende erfordert auch eine Analyse der durchgeführten Prüfungen, um Verbesserungsmöglichkeiten zu identifizieren. Kontinuierliche Schulungen der Prüfer und die Anpassung von Prüfungsansätzen sind entscheidend, um den ständig wechselnden Anforderungen der digitalen Wirtschaft gerecht zu werden.

Fazit

Eine ganzheitliche Betrachtung der Prüfungssaison zum Jahresende erfordert eine kontinuierliche Analyse und Anpassung der durchgeführten Prüfungen. Die Identifizierung von Verbesserungsmöglichkeiten ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess.

Kontinuierliche Schulungen der Prüfer sind dabei ebenso wichtig wie die Anpassung von Prüfungsansätzen an aktuelle Entwicklungen. Die Digitalisierung eröffnet ständig neue Herausforderungen, denen Wirtschaftsprüfer durch eine offene Lernkultur und eine flexible Anpassung ihrer Methoden begegnen sollten.

Die kontinuierliche Verbesserung ermöglicht es Prüfern, sich den sich wandelnden Gegebenheiten anzupassen und das Vertrauen in die Jahresabschlussprüfung zu stärken.

Foto: istockphoto.com/Evkaz

Viele Dienstleister – vor allem Rechenzentrumsbetreiber, Cloud Provider und IT-Service Provider aller Art – möchten sicherstellen und ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen implementiert haben.

Gleichzeitig suchen immer mehr Unternehmen nach verlässlichen Partnern für die Auslagerung geschäftskritischer Prozesse. Dabei spielt es eine entscheidende Rolle, wie effektiv und vertrauenswürdig die internen Kontrollen der Dienstleister ausgestaltet sind – insbesondere im Hinblick auf eine hochverfügbare und sichere Datenverarbeitung. Viele Unternehmen stellen sich die Frage, welche Unterschiede zwischen SOC 1, SOC 2 und SOC 3 bestehen und welcher Bericht für ihre Anforderungen relevant ist.

Verantwortung trotz Auslagerung

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z. B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert.

SOC 1, SOC 2 und SOC 3 im Vergleich: Die wichtigsten Unterschiede

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach sogenannten SOC-Reports bzw. -Attestierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Attestierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 – und daraus resultierend: Welcher SOC-Report ist für wen sinnvoll? 

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA
dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch ein Wirtschaftsprüfer-Testat nachweisen wollen.

SOC 1® — Interne Kontrolle der Finanzberichterstattung (ICFR)

Der SOC 1-Standard ist speziell auf Kontrollen ausgelegt, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Diese Berichte werden von einem unabhängigen Wirtschaftsprüfer beim Dienstleister erstellt und dienen den Abschlussprüfern des Kunden als Prüfungsnachweis.

Man unterscheidet zwei Berichtstypen:

Typ 1:
Nachweis über die Eignung des Aufbaus und die Angemessenheit der Kontrollen zu einem bestimmten Stichtag.

Typ 2:
Bewertung der Wirksamkeit der Kontrollen über einen definierten Zeitraum (in der Regel 6 bis 12 Monate).

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht bewertet die Kontrollen hinsichtlich der sogenannten Trust Services Criteria for Security, insbesondere:

  • Sicherheit (Security)

  • Verfügbarkeit (Availability)

  • Verarbeitungssintegrität (Processing Integrity)

  • Vertraulichkeit (Confidentiality)

  • Datenschutz (Privacy)

SOC 2-Berichte richten sich an Unternehmen, die Dienstleistungen im Bereich Cloud, Hosting oder Applikationsbetrieb erbringen, und ihren Kunden dokumentieren möchten, dass ihre Systeme gegen Risiken wie Datenverlust, Cyberangriffe oder Systemausfälle geschützt sind.

Auch hier gibt es Typ 1- und Typ 2-Berichte, wobei Typ 2 in der Praxis häufiger eingesetzt wird, da er über einen Zeitraum hinweg die tatsächliche Wirksamkeit der Kontrollen beurteilt.

SOC 2-Berichte sind vertraulich und nur für das Management des Dienstleisters, seine Kunden, deren Wirtschaftsprüfer und weitere berechtigte Geschäftspartner vorgesehen.

SOC 3® – Trust Services Criteria für die öffentliche Verwendung

SOC 3-Berichte beruhen auf denselben Trust Services Criteria wie SOC 2-Berichte, sind jedoch für die öffentliche Kommunikation gedacht. Sie beinhalten keine detaillierten Beschreibungen der getesteten Kontrollen oder der Prüfergebnisse, sondern lediglich ein kompaktes Testat über die Wirksamkeit der Maßnahmen.

Ein SOC 3-Bericht ist immer ein Typ 2-Bericht, der auf einem zugrunde liegenden SOC 2 Typ 2 basiert. Dienstleister nutzen ihn in der Regel als Marketing-Instrument und stellen ihn z. B. auf ihrer Website zur Verfügung, um Vertrauen bei potenziellen Kunden aufzubauen.

Fazit: Welcher SOC-Bericht passt zu Ihrem Unternehmen?

Wenn Sie rechnungslegungsrelevante oder finanzkritische Prozesse an einen Dienstleister auslagern, sollten Sie auf einen SOC 1-Bericht bestehen. Das betrifft z. B. E-Commerce-Plattformen, die Zahlungsabwicklung oder ERP-Systeme im Fremdbetrieb.

Geht es hingegen um die Auslagerung sensibler Daten, Cloud-Dienste oder Hosting, ist ein SOC 2-Bericht für den Dienstleister die richtige Wahl. Er belegt gegenüber dem Kunden, dass angemessene Sicherheits- und Verfügbarkeitskontrollen wirksam implementiert sind.

SOC 3-Berichte wiederum werden von Dienstleistern proaktiv veröffentlicht, um allgemeines Vertrauen zu schaffen – sie sind nicht vertraulich, dafür aber auch nicht so detailliert.

Wenn Sie die Unterschiede zwischen SOC 1, SOC 2 und SOC 3 verstehen, fällt Ihnen die Auswahl des passenden Berichts leichter – sei es für Ihr eigenes Unternehmen oder als Anforderung an Ihre Dienstleister.

Unser Angebot

Wir unterstützen Dienstleistungsunternehmen – insbesondere IT-Service Provider, Rechenzentrums- und Cloud-Anbieter – bei der professionellen Vorbereitung auf SOC-Prüfungen. Von der Gap-Analyse über die Weiterentwicklung des internen Kontrollsystems bis zur prüfungssicheren Dokumentation: Als unabhängige Wirtschaftsprüfer erstellen wir für Sie SOC 1– und SOC 2-Berichte nach AICPA-Standards und beraten Sie bei der gezielten Positionierung eines SOC 3-Berichts zur Stärkung Ihres Marktauftritts.
Sprechen Sie uns gerne an – wir begleiten Sie mit Fachkompetenz und Branchenverständnis durch den gesamten Prüfprozess.