BSI C5 Testat

Einführung in BSI C5 - Definition

Das BSI C5-Testat (Cloud Computing Compliance Criteria Catalogue) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Anforderungskatalog. Er dient als Nachweis dafür, dass ein Cloud-Anbieter bestimmte Mindestanforderungen an Informationssicherheit, Datenschutz und Transparenz erfüllt.

Gerade für Organisationen, die auf Cloud Computing setzen, ist das C5-Testat eine wichtige Entscheidungsgrundlage. Es schafft Vertrauen und bietet Sicherheit – vor allem in Branchen mit hohen Anforderungen an Sicherheit und Compliance wie Behörden und öffentliche Verwaltung, dem Gesundheitswesen oder der Finanzindustrie. Zu den geprüften Services zählen unter anderem Cloud-Lösungen für sicheren Austausch von sensiblen Daten und Informationen, E-Mail-Verschlüsselung oder virtuelle Datenräume.

Warum wurde der BSI C5-Katalog entwickelt?

Mit dem wachsenden Einsatz von Cloud Computing steigen auch die Risiken für Datenmissbrauch, Systemausfälle und Compliance-Verstöße. Das BSI hat den C5-Katalog entwickelt, um diese Risiken zu minimieren – durch klar definierte Anforderungen an Cloud-Anbieter, die überprüfbar und vergleichbar sind.

Der C5-Katalog bietet eine einheitliche Basis zur Bewertung von Cloud Services. Unternehmen haben so die Möglichkeit, nachzuvollziehen, wie gut ein Anbieter in Sachen Sicherheit, Verfügbarkeit und Verantwortlichkeit aufgestellt ist.

Was beinhaltet der BSI C5-Kriterienkatalog?

Der C5-Katalog (aktuelle Version: C5:2020) definiert eine Vielzahl konkreter Anforderungen, gegliedert in Prüfkategorien. Diese betreffen unter anderem folgende sicherheitsrelevanten Bereiche:

  • Informationssicherheit: Schutz der Daten und Systeme vor unbefugtem Zugriff

  • Transparenz: Offenlegung von Informationen wie Rechenzentrumsstandorten, Subunternehmern, eingesetzten Technologien

  • Compliance & Governance: Erfüllung gesetzlicher Vorgaben wie DSGVO

  • Verfügbarkeit & Notfallmanagement: Kontinuität und Resilienz im Cloud-Betrieb

  • Auditierbarkeit: Möglichkeit der internen Revision und externen Prüfung durch unabhängige Prüfer

Die neuere Version C5:2020 berücksichtigt aktuelle Entwicklungen in der Cloud-Branche, darunter DevOps-Prozesse, Multi-Cloud-Strategien sowie die zunehmende Bereitstellung von Cloud-nativen Services.

Sichere Cloud-Services im Gesundheitswesen.

Lesen Sie in unserem Blogartikel, welche Chancen moderne und nach BSI C5 Typ zertifizierte Cloud-Lösungen im Healthcare-Bereich bieten. Wir zeigen auf, wie Kliniken, Krankenhäuser, Arztpraxen und anderen Einrichtungen ganz unkompliziert ihre Prozesse optimieren und gleichzeitig gesetzliche Anforderungen erfüllen können.

Zum Blogbeitrag

C5 Typ 1 vs. C5 Typ 2: Wo liegt der Unterschied?

Das BSI C5-Testat unterscheidet zwei Prüfarten: Typ 1 und Typ 2. Beide prüfen, ob ein Cloud-Anbieter die im C5-Katalog festgelegten Mindestanforderungen an Informationssicherheit erfüllt – der Unterschied liegt im Prüfzeitraum und in der Aussagekraft.

  • C5 Typ 1 prüft, ob die Sicherheitsmaßnahmen zum Zeitpunkt der Prüfung korrekt beschrieben und angemessen umgesetzt wurden. Es ist eine Momentaufnahme der implementierten Kontrollen.

  • C5 Typ 2 geht weiter: Hier wird nicht nur die Konzeption geprüft, sondern auch, ob die Sicherheitsmaßnahmen über einen bestimmten Zeitraum hinweg (z. B. 6 bis 12 Monate) zuverlässig funktioniert haben. Es ist somit ein belastbarer Nachweis für die kontinuierliche Wirksamkeit der Prozesse im laufenden Betrieb.

Gerade für Organisationen mit hohen Sicherheitsanforderungen bietet BSI C5 Typ 2 deutlich mehr Aussagekraft – zum Beispiel bei der Bewertung von Betriebsrisiken oder der Auswahl langfristiger Cloud-Lösungen.

Wichtig zu wissen: Das C5-Testat ist keine Zertifizierung im klassischen Sinne, sondern ein Bestätigungsvermerk einer Prüfung. Es dient als vertrauenswürdiger Nachweis gegenüber Kunden, Partnern und Behörden, dass ein Anbieter definierte Sicherheitsstandards erfüllt.

Die Auditierung und Beurteilung erfolgt durch unabhängige Stellen und gibt konkrete Hinweise zur Umsetzung einzelner Anforderungen. Für viele Cloud-Kunden ist ein gültiges C5-Testat (Typ 2) ein wichtiges Kriterium.

Mehr Sicherheit für Cloud Computing

Ein C5-Testat bringt zahlreiche Vorteile mit sich:

  • Rechtssicherheit bei der Verwendung von Cloud-Diensten

  • Vertrauensbildung gegenüber Kunden, Partnern und Aufsichtsbehörden

  • Nachweis von Datenschutz- und Sicherheitsmaßnahmen

  • Unterstützung bei internen Audits und externen Prüfungen

  • Orientierung bei der Auswahl der Cloud-Anbieter

Gerade in regulierten Branchen ist eine C5-Bescheinigung heute oft Voraussetzung für den Einsatz bestimmter Cloud-Lösungen.

BSI C5 im Vergleich zu anderen Standards

Im Unterschied zu internationalen Standards wie ISO 27001 oder SOC 2 ist das BSI C5-Testat speziell auf Cloud-Sicherheit ausgerichtet – mit Fokus auf deutsche und europäische Anforderungen.

Während ISO-Zertifizierungen allgemeine Sicherheitsrahmen bieten, definiert C5 konkrete Anforderungen an die technische und organisatorische Umsetzung in der Cloud. Für viele Unternehmen ist C5 daher eine sinnvolle Ergänzung zu bestehenden Zertifizierungen.

Made and hosted in Germany.

Lesen Sie hier, warum die deutsche Cloud immer noch die sicherste Wahl ist.

Jetzt lesen

Geprüfte Cloud-Sicherheit für sensible Daten: FTAPI erfolgreich nach BSI C5 Typ 2 testiert

Cloud-Sicherheit ist nicht mehr nur wünschenswert, sondern Grundvoraussetzung – besonders, wenn es um sensible Daten, rechtliche Vorgaben oder kritische Geschäftsprozesse geht. Genau deshalb setzt FTAPI auf geprüfte Standards.

FTAPI wurde nach dem BSI C5:2020 Standard (Typ 2) erfolgreich geprüft. Das bedeutet konkret: Unsere Cloud-Dienste erfüllen nicht nur alle Mindestanforderungen an Informationssicherheit, sondern diese wurden auch über einen längeren Zeitraum hinweg nachgewiesen – und das durch unabhängige Wirtschaftsprüfer.

Was wird dabei geprüft? Unter anderem:

  • Wie sicher laufen Betrieb und Datenverarbeitung ab?

  • Welche Schutzmaßnahmen greifen im Fall eines Notfalls?

  • Wie wird der Zugriff auf vertrauliche Informationen gesteuert?

  • Und: Werden alle Vorgaben des Cloud Computing Compliance Criteria Catalogue auch im Alltag eingehalten?

FTAPI erfüllt diese Anforderungen – und mehr. Das Testat wurde von der Wirtschaftsprüfungsgesellschaft HKKG durchgeführt. Für unsere Kunden bedeutet das: Objektiv geprüfte Cloud-Sicherheit, nachvollziehbar dokumentiert und auf Wunsch auch belegbar.

Weitere Informationen zu unserem C5-Testat finden Sie hier – inklusive dem vollständigen Kriterienkatalog.

Bei Fragen oder wenn Sie das Prüfungsurteil einsehen möchten, schreiben Sie uns einfach eine E-Mail.

Fazit

BSI C5 definiert Anforderungen für die Sicherheit von Cloud-Diensten. Er dient als Basis für eine transparente und vergleichbare Sicherheitsbewertung von Cloud-Services und ist besonders für Anbieter und Nutzer von Cloud-Diensten relevant. Der Katalog umfasst verschiedene Kontrollbereiche wie Informationssicherheitsmanagement, operative Sicherheit und Datenschutz. BSI C5 ist international anerkannt und wird häufig als Grundlage für Zertifizierungen im Bereich Cloud-Sicherheit herangezogen. Organisationen, die den BSI C5 Standard erfüllen, demonstrieren damit ein hohes Maß an Sicherheit und Vertrauenswürdigkeit in ihren Cloud-Diensten.