BSI C5 — Cloud Computing Compliance Criteria Catalogue

Ein deutsches SaaS-Unternehmen für HR-Software erhält von einem DAX-Konzern eine Vendor-Due-Diligence-Anfrage: 180 Sicherheits-Fragen, davon 60 mit explizitem Verweis auf C5-Kriterien. Die Frist beträgt zwei Wochen. Ohne C5-Testat oder zumindest C5-konforme Dokumentation wird der Aufwand pro Großkunde dreistellig im Personentage-Bereich.

BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist der vom Bundesamt für Sicherheit in der Informationstechnik veröffentlichte Anforderungs-Katalog für Cloud-Dienste. Er definiert Mindest-Sicherheits-Anforderungen, die Cloud-Anbieter erfüllen müssen, und erlaubt Cloud-Kunden eine standardisierte Bewertung. Die Prüfung erfolgt durch Wirtschaftsprüfer als Attestierung nach ISAE 3000 oder IDW PS 860.

Was umfasst der Standard?

C5:2020 enthält rund 125 Basis-Kriterien in 17 Themen-Bereichen, ergänzt um zusätzliche Kriterien für höhere Vertraulichkeits-Anforderungen.

Die 17 Themen-Bereiche

OIS — Organisation der Informationssicherheit
SP — Sicherheits-Richtlinien und Vorgaben
HR — Personal
AM — Asset-Management
PS — Physische Sicherheit
RB — Regelbetrieb
IDM — Identitäts- und Berechtigungsmanagement
KRY — Kryptographie und Schlüsselmanagement
KOS — Kommunikationssicherheit
PI — Portabilität und Interoperabilität
BEI — Beschaffung, Entwicklung und Änderung von Informationssystemen
DLL — Steuerung und Überwachung von Dienstleistern und Lieferanten
SIM — Sicherheitsvorfall-Management
BCM — Notfall-Management
COM — Compliance
INQ — Umgang mit Untersuchungs-Anfragen staatlicher Stellen
PSS — Produktsicherheit (besonders für SaaS-Angebote)

Inhalte einzelner Kriterien

Jedes Kriterium enthält Beschreibung, Anforderung, ergänzende Hinweise sowie ein Mapping zu ISO/IEC 27001:2013, NIST SP 800-53, BSI IT-Grundschutz und CSA Cloud Controls Matrix. Beispiel:

OIS-01 — Verantwortlichkeiten für die Informationssicherheit: Es ist eine Person benannt, die für Aufbau, Umsetzung und Aufrechterhaltung des Informationssicherheits-Managementsystems verantwortlich ist. Die Verantwortlichkeit ist dokumentiert und der obersten Leitung zugeordnet.

Wer ein ISMS nach ISO 27001 betreibt, erfüllt einen Großteil der C5-Kriterien automatisch. Die C5-spezifischen Schwerpunkte liegen bei:

Transparenz für Cloud-Kunden: Welche Daten werden wo verarbeitet? Welche Subdienstleister sind involviert?
Umgang mit staatlichen Anfragen (INQ): Dokumentierte Prozesse für Behörden-Anfragen, Berichts-Pflichten an Kunden.
Portabilität (PI): Datenexport-Möglichkeiten, Vermeidung von Vendor-Lock-in.
Produktsicherheit (PSS): Sichere Default-Konfigurationen, Schwachstellen-Management im Produkt.

Attestierungs-Prozess

C5 wird attestiert statt zertifiziert. Wirtschaftsprüfer (in Deutschland nach IDW PS 860, international nach ISAE 3000) erstellen einen Bericht über Angemessenheit und Wirksamkeit der Kontrollen.

Typ 1 — Angemessenheit zum Stichtag. Der Prüfer bewertet, ob die Kontrollen geeignet sind, die C5-Kriterien zu erfüllen. Stichtag-Bezug, kein Wirksamkeits-Nachweis. Geeignet für junge Anbieter oder kurz nach Einführung.

Typ 2 — Wirksamkeit über einen Zeitraum. Zusätzlich zum Typ 1 prüft der Prüfer die operative Wirksamkeit der Kontrollen über einen Zeitraum (typisch 6–12 Monate). Stichproben aus dem operativen Betrieb. Industriestandard für etablierte Anbieter.

Bericht-Adressaten: Der C5-Bericht ist vertraulich und wird Cloud-Kunden auf Anfrage unter NDA bereitgestellt. Eine öffentliche Zertifikats-Datenbank wie bei ISO 27001 existiert nicht. Anbieter werben mit „Wir haben ein C5-Testat”, der Bericht selbst bleibt unter Verschluss.

Aufwand pro Audit-Zyklus: Erst-Attestierung Typ 1: 5–15 Prüfer-Tage plus interne Vorbereitung. Typ-2-Folge-Attestierungen jährlich: 10–25 Prüfer-Tage je nach Geltungsbereich.

Mapping zu anderen Standards

Standard	Verhältnis zu C5
ISO/IEC 27001:2022	Erfüllung deckt 60–80 % der C5-Kriterien ab; explizites Mapping im C5-Katalog
ISO/IEC 27002:2022	Umsetzungs-Hinweise zu Annex-A-Kontrollen; ergänzt C5 in der Praxis
ISO/IEC 27017	Cloud-spezifische Sicherheits-Kontrollen; thematisch sehr nah an C5
ISO/IEC 27018	Schutz personenbezogener Daten in der Cloud; ergänzt C5 im DSGVO-Kontext
SOC 2 Type 2	US-Pendant; rund 70 % inhaltliche Überlappung
BSI IT-Grundschutz	Mapping zu Bausteinen verfügbar; bei kombinierter Strategie sinnvoll
CSA Cloud Controls Matrix	Internationaler Cloud-Kontroll-Katalog; Mapping im C5-Dokument

Implementierungs-Aufwand

SaaS-Startup (10–50 Personen): 9–15 Monate Aufbau bis zum ersten Typ-1-Testat. ISMS nach ISO 27001 als Voraussetzung — wer ohne ISMS startet, plant 12–24 Monate ein.

Etablierter SaaS- oder PaaS-Anbieter (50–500 Personen): 6–12 Monate von der Entscheidung zum Typ-2-Testat, wenn ISO 27001 vorhanden ist. Laufender Aufwand 1–3 FTE für Compliance-Team plus Beteiligung aus Engineering, IT-Operations und Recht.

Hyperscaler (>10.000 Personen): Eigene Compliance-Programme; jährliche Typ-2-Testate für mehrere Cloud-Regionen und Service-Familien. Industrialisierter Prozess mit dedizierten Compliance-Engineering-Teams.

Wesentliche Kostentreiber:

Wirtschaftsprüfer-Honorare (oft sechsstellig pro Jahr für mittlere Anbieter)
Werkzeug-Investitionen (GRC-Plattform, Logging, Schwachstellen-Scanner)
Aufwand für Subdienstleister-Steuerung (DLL): jeder Subprozessor wird im Bericht aufgeführt und braucht eigene Vertrags- und Kontroll-Nachweise

Quellen

BSI: Cloud Computing Compliance Criteria Catalogue (C5) — offizieller Katalog (kostenfrei)
BSI C5:2020 Kriterien-Katalog (PDF) — vollständige Kriterien-Liste
IDW PS 860 — Prüfungs-Standard für C5-Attestierung in Deutschland
ISAE 3000 — internationaler Prüfungs-Standard für Assurance-Engagements

Häufig gestellte Fragen

Brauche ich C5 als Cloud-Anbieter zwingend?

Pflicht ist C5 nicht. Wer aber an deutsche Bundesbehörden, Landesbehörden, Banken oder größere DAX-Konzerne verkauft, wird in der Beschaffung regelmäßig nach einem C5-Testat gefragt. Cloud-Hyperscaler (AWS, Azure, Google Cloud, IBM) haben C5-Testate für ihre deutschen Regionen. Für SaaS-Anbieter ist C5 ein wesentliches Vertrauens-Argument im DACH-Markt.

Was ist der Unterschied zwischen C5 Typ 1 und Typ 2?

Typ 1 prüft die Angemessenheit der Kontroll-Gestaltung zu einem Stichtag. Typ 2 prüft zusätzlich die Wirksamkeit über einen Zeitraum (typisch 6–12 Monate). Typ 2 ist der eigentliche Industrie-Standard und wird von ernsthaften Kunden verlangt. Typ 1 ist ein Zwischenschritt für Anbieter, die noch nicht genug Betriebs-Historie für Typ 2 haben.

Wie verhält sich C5 zu SOC 2?

Beide sind Attestierungs-Berichte für Cloud-Dienste, ausgestellt nach Prüfungs-Standards (C5 nach ISAE 3000/IDW PS 860, SOC 2 nach SSAE 18). C5 ist deutscher Markt-Standard mit ~125 Kriterien aus dem BSI-Katalog, SOC 2 ist US-Standard mit den fünf Trust Service Criteria. Inhaltlich überlappen sich rund 70 Prozent. Wer global verkauft, braucht oft beide; im DACH-Raum reicht C5 meistens.