C5 Readiness: Scope, Systembeschreibung, Nachweise

Marcel Rieger

Managing Director, Cyber Risk

BSI C5:2026 – der Cloud Computing Compliance Criteria Catalogue – ist die aktuellste Version des BSI Standards für Cloud-Sicherheit in Deutschland. Er ist für Anbieter von Cloud-basierter Anwendungen welche Sozialdaten und Gesundheitsdaten verarbeiten nach §393 SGB V (Abs.4) verpflichtend.

Was C5 von Cloud-Dienstleistern fordert

C5 umfasst 17 Themenbereiche: Organisation der Informationssicherheit, Sicherheitsrichtlinien, Personal, Asset Management, Physische Sicherheit, Betriebssicherheit, Identitäts- und Zugriffsmanagement, Kryptografie und Schlüsselmanagement, Kommunikationssicherheit, Portabilität und Interoperabilität, Beschaffung, Entwicklung und Änderung

von Informationssystemen, Steuerung und Überwachung von

Dienstleistern und Lieferanten, Sicherheitsvorfallmanagement, Kontinuität des Geschäftsbetriebs und Notfallmanagement, Compliance, Umgang mit Ermittlungsanfragen staatlicher Stellen und Produktsicherheit. Das ist ein umfassender Standard der alle Aspekte des Betriebs eines Cloud-Dienstleisters abdeckt.

Was bereits vorhanden ist – und was neu aufgebaut werden muss

Eine Gap-Analyse gegen C5 zeigt typischerweise: 60 bis 70 Prozent der Anforderungen sind mit einem bestehenden ISMS nach ISO27001 bereits erfüllt. Die restlichen 30 bis 40 Prozent sind cloud-spezifisch und teilweise vertiefend konkretisierte Anforderungen an zum Beispiel Mandantentrennung und Cloud-spezifische Betriebsprozesse.

Unser 12-Wochen-Ansatz zur C5-Auditfähigkeit

Phase 1 (Wochen 1-2): Vollständige Gap-Analyse, Scope-Definition, Priorisierungsplan.

Phase 2 (Wochen 3-10): Artefakte und Controls aufbauen – Policies, technische Konfigurationsnachweise, Prozessdokumentationen, Evidence-Struktur.

Phase 3 (Wochen 11-12): Evidence-Paket zusammenstellen, Audit-Vorbereitung, Mock-Audit mit unseren Experten. Output: vollständiges internes Kontrollsystem, Auditfähigkeit für einen C5-Typ-1-Bericht.

Was BSI C5 für Ihren Vertrieb bedeutet: Mit einem C5-Bericht können Sie gegenüber Bundesbehörden, Kunden und großen Konzernen nachweisen, dass Ihre Cloud-Dienste den höchsten deutschen Sicherheitsstandard erfüllen. Das ist ein echter Differenziator in Ausschreibungen.

Was C5 für internationale Kunden bedeutet: BSI C5 wird zunehmend auch von europäischen Unternehmen außerhalb Deutschlands als Referenz für Cloud-Sicherheit genutzt – besonders in regulierten Branchen. Ein C5-Report öffnet Türen die mit ISO 27001 allein verschlossen bleiben. Beginnen Sie mit einer Gap-Analyse gegen C5 – in zwei Wochen wissen Sie, wie weit Sie von einem vollständigen C5-Audit entfernt sind und was der realistischste Weg dorthin ist. C5 ist erreichbar – auch ohne Jahre Vorlauf. Unser strukturierter 12-Wochen-Ansatz bringt Sie von der Gap-Analyse zum auditfähigen internen Kontrollsystem.