BSI C5 Testat: Der Leitfaden für Cl...

Das BSI C5 Testat hat sich in den letzten Jahren vom freiwilligen Qualitätsnachweis zum unverzichtbaren Marktzugangserfordernis für Cloud-Dienstleister in Deutschland entwickelt. Spätestens seit dem Inkrafttreten des Digital-Gesetzes (DigiG) im Jahr 2024 ist klar: Wer Cloud-Dienste für das deutsche Gesundheitswesen, den öffentlichen Sektor oder kritische Infrastrukturen bereitstellen will, kommt am C5 Testat nicht mehr vorbei. Für Anbieter digitaler Gesundheitsanwendungen (DiGA) und digitaler Pflegeanwendungen (DiPA) ist der Nachweis eines C5 Typ 2 Testats seit Juli 2025 verpflichtend. Dieser Leitfaden erklärt, was das C5 Testat umfasst, wie der Prüfprozess abläuft und welche Schritte Cloud-Anbieter unternehmen müssen, um die Anforderungen zu erfüllen.

Was ist das BSI C5 Testat?

C5 steht für Cloud Computing Compliance Criteria Catalogue und ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Anforderungskatalog. Er definiert Mindestanforderungen an die Informationssicherheit von Cloud-Diensten und richtet sich primär an Cloud-Service-Provider (CSP), die Kunden in Deutschland bedienen. Der Katalog wurde erstmals 2016 veröffentlicht und 2020 grundlegend überarbeitet (C5:2020). Die aktuelle Fassung umfasst 17 Anforderungsbereiche mit insgesamt über 120 Einzelanforderungen.

Im Unterschied zu einer Zertifizierung wie ISO 27001 handelt es sich beim C5 um ein Testat, das von einem Wirtschaftsprüfer nach den Prüfungsstandards ISAE 3402 bzw. ISAE 3000 erteilt wird. Der Wirtschaftsprüfer beurteilt, ob die vom Cloud-Anbieter beschriebenen Kontrollen angemessen gestaltet sind (Typ 1) bzw. ob sie über einen definierten Zeitraum wirksam funktioniert haben (Typ 2). Das Ergebnis ist ein Prüfungsbericht, der Kunden und Aufsichtsbehörden als verbindlicher Nachweis der Cloud-Sicherheit dient.

C5 Typ 1 vs. Typ 2: Unterschiede im Überblick

Das C5 Testat wird in zwei Varianten erteilt. Die Wahl zwischen Typ 1 und Typ 2 hängt von der Reife der Organisation und den Anforderungen der Kunden ab. Für die meisten regulatorischen Anforderungen, insbesondere im Gesundheitswesen, ist ein Typ 2 Testat erforderlich.

Merkmal	C5 Typ 1	C5 Typ 2
Gegenstand	Angemessenheit der Kontrollen zu einem Stichtag	Wirksamkeit der Kontrollen über einen Prüfzeitraum (mind. 6 Monate)
Prüfungsumfang	Design und Implementierung der Kontrollen	Design, Implementierung und operative Wirksamkeit
Zeitbezug	Stichtagsbetrachtung	Betrachtungszeitraum (typisch 6-12 Monate)
Prüfungstiefe	Geringer – keine Betriebsnachweise erforderlich	Höher – Stichproben und Tests der operativen Wirksamkeit
Eignung	Erstmalige Prüfung, Einstieg	Fortlaufender Nachweis, regulatorische Pflicht
Akzeptanz bei Kunden	Eingeschränkt, als Zwischenschritt akzeptiert	Voller Nachweis, von Aufsichtsbehörden gefordert
Typische Dauer	2-4 Monate	6-12 Monate (inkl. Beobachtungszeitraum)

Die 17 Anforderungsbereiche des C5 Katalogs

Der C5:2020 Katalog gliedert sich in 17 Anforderungsbereiche, die das gesamte Spektrum der Informationssicherheit in Cloud-Umgebungen abdecken. Jeder Bereich enthält Basisanforderungen, die für alle Cloud-Anbieter verbindlich sind, sowie ergänzende Anforderungen für erhöhte Schutzbedarfe.

•Organisation der Informationssicherheit (OIS): Sicherheitsorganisation, Rollen und Verantwortlichkeiten, Leitlinien und Richtlinien.
•Sicherheitsrichtlinien und Arbeitsanweisungen (SP): Dokumentation, Kommunikation und regelmäßige Überprüfung von Sicherheitsrichtlinien.
•Personal (HR): Sicherheitsüberprüfungen, Schulungen, Sensibilisierung und Regelungen bei Personalwechsel.
•Asset Management (AM): Inventarisierung, Klassifizierung und Umgang mit Informationswerten und IT-Assets.
•Physische Sicherheit (PS): Schutz von Rechenzentren, Zutrittskontrolle, Umgebungsüberwachung und Stromversorgung.
•Regelbetrieb (OPS): Change Management, Kapazitätsmanagement, Trennung von Entwicklungs-, Test- und Produktivumgebungen.
•Identitäts- und Berechtigungsmanagement (IDM): Authentifizierung, Autorisierung, Zugriffskontrollen und privilegierte Zugänge.
•Kryptographie und Schlüsselmanagement (CRY): Verschlüsselungsstandards, Schlüsselerzeugung, -speicherung und -rotation.
•Kommunikationssicherheit (COS): Netzwerksicherheit, Segmentierung, Firewall-Regeln und Schutz der Datenübertragung.
•Portabilität und Interoperabilität (PI): Datenexport, Schnittstellen und Vermeidung von Vendor-Lock-in.
•Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV): Secure Development Lifecycle, Code Reviews und Schwachstellenmanagement.
•Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO): Third-Party-Risikomanagement und Lieferantensteuerung.
•Umgang mit Sicherheitsvorfällen (SIM): Incident-Response-Prozesse, Meldewege und Nachbereitung von Vorfällen.
•Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM): Business Continuity, Disaster Recovery und Wiederanlaufplanung.
•Compliance (COM): Einhaltung gesetzlicher und regulatorischer Anforderungen, interne und externe Audits.
•Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ): Prozesse für behördliche Anfragen, Transparenz und Datenschutz.
•Produktsicherheit (PSS): Sicherheit des Cloud-Produkts selbst, Mandantentrennung und sichere Standardkonfigurationen.

Wer braucht ein C5 Testat?

Die Relevanz des C5 Testats hat sich in den vergangenen Jahren erheblich ausgeweitet. Was ursprünglich als Orientierungshilfe für die öffentliche Verwaltung gedacht war, ist heute in mehreren Sektoren zum Standard geworden. Unternehmen, die C5-Prüfer vergleichen möchten, finden auf unserer Plattform spezialisierte Anbieter für jeden Sektor.

•Cloud-Anbieter für den öffentlichen Sektor: Bundes- und Landesbehörden verlangen das C5 Testat als Mindestvoraussetzung für die Beschaffung von Cloud-Diensten. Die Empfehlung des BSI hat sich in vielen Vergabeverfahren zur faktischen Pflicht entwickelt.
•Gesundheitswesen (DiGA/DiPA): Das Digital-Gesetz schreibt seit Juli 2025 ein C5 Typ 2 Testat für alle Cloud-Infrastrukturen vor, die digitale Gesundheitsanwendungen oder digitale Pflegeanwendungen hosten. Betroffen sind sowohl die App-Hersteller selbst als auch deren Cloud-Unterauftragnehmer.
•Finanzsektor: Die BaFin berücksichtigt das C5 Testat bei der Bewertung von Auslagerungen an Cloud-Anbieter. Banken, Versicherungen und Zahlungsdienstleister erwarten zunehmend ein aktuelles C5 Typ 2 Testat von ihren Cloud-Dienstleistern.
•Kritische Infrastrukturen (KRITIS): Betreiber kritischer Infrastrukturen sind gemäß BSI-Gesetz verpflichtet, angemessene Sicherheitsmaßnahmen nachzuweisen. Das C5 Testat bietet einen strukturierten Nachweis für Cloud-Komponenten innerhalb der KRITIS-Infrastruktur.
•SaaS-Anbieter im B2B-Bereich: Auch außerhalb regulierter Branchen fragen Unternehmenskunden zunehmend nach dem C5 Testat als Nachweis der Cloud-Sicherheit, insbesondere bei der Verarbeitung sensibler oder personenbezogener Daten.

C5 vs. SOC 2 vs. ISO 27001: Welcher Standard passt?

Cloud-Anbieter stehen häufig vor der Frage, welcher Sicherheitsnachweis für ihre Zielmärkte der richtige ist. Die drei gängigsten Standards unterscheiden sich grundlegend in Herkunft, Prüfansatz und Marktakzeptanz. Ein SOC 2 Audit ist vor allem für den US-Markt relevant, während ISO 27001 international anerkannt ist. Für den deutschen Markt führt am C5 jedoch kein Weg vorbei.

Kriterium	BSI C5	SOC 2	ISO 27001
Herausgeber	BSI (Deutschland)	AICPA (USA)	ISO/IEC (international)
Art des Nachweises	Testat durch Wirtschaftsprüfer	Bericht durch CPA-Firma	Zertifikat durch akkreditierte Stelle
Prüfungsgrundlage	C5-Anforderungskatalog (17 Bereiche)	Trust Services Criteria (5 Kategorien)	ISO 27001 Annex A Controls
Fokus	Cloud-spezifische Sicherheit	Dienstleistungsorganisationen allgemein	Informationssicherheit allgemein
Regulatorische Akzeptanz DE	Sehr hoch – BSI-Empfehlung, DigiG-Pflicht	Begrenzt – kein deutscher Standard	Hoch – aber nicht cloud-spezifisch
Gültigkeitsdauer	Typ 2: jährliche Erneuerung	Typ 2: jährliche Erneuerung	3 Jahre (jährliche Überwachungsaudits)
Mandantentrennung	Explizite Anforderungen	Nicht explizit adressiert	Nicht explizit adressiert
Portabilität / Lock-in	Explizite Anforderungen	Nicht adressiert	Nicht adressiert
Kosten (Richtwert)	40.000 – 150.000 EUR	30.000 – 100.000 EUR	15.000 – 50.000 EUR

Der C5-Prüfprozess Schritt für Schritt

Der Weg zum C5 Testat folgt einem strukturierten Ablauf. Eine sorgfältige Vorbereitung ist entscheidend, da der Prüfprozess erhebliche Ressourcen bindet und die Nachbesserung von Mängeln während der Prüfung zu Verzögerungen und Mehrkosten führt.

•Schritt 1 – Scoping und Gap-Analyse: Bestimmen Sie, welche Cloud-Dienste und Standorte in den Prüfungsumfang fallen. Führen Sie anschließend eine Gap-Analyse gegen den C5:2020 Katalog durch, um Handlungsbedarf systematisch zu identifizieren. Für komplexe Multi-Cloud-Umgebungen empfiehlt sich die Einbindung eines erfahrenen Beraters.
•Schritt 2 – Maßnahmenplanung und Implementierung: Schließen Sie identifizierte Lücken durch Einführung technischer und organisatorischer Maßnahmen. Dokumentieren Sie alle Kontrollen in einer Systembeschreibung, die Architektur, Datenflüsse, Rollen und Verantwortlichkeiten umfasst.
•Schritt 3 – Auswahl des Wirtschaftsprüfers: Beauftragen Sie eine Wirtschaftsprüfungsgesellschaft mit C5-Erfahrung. Der Prüfer muss unabhängig sein und über ausreichende Cloud-Security-Expertise verfügen. Vergleichen Sie spezialisierte C5-Prüfer auf unserer Plattform.
•Schritt 4 – Readiness Assessment (optional): Viele Anbieter führen vor der eigentlichen Prüfung ein Readiness Assessment durch, um verbleibende Schwachstellen aufzudecken und zu beheben. Dieser Schritt ist nicht verpflichtend, reduziert jedoch das Risiko von Beanstandungen erheblich.
•Schritt 5 – Formelle Prüfung: Der Wirtschaftsprüfer prüft die Systembeschreibung, testet die Kontrollen (bei Typ 2 über den gesamten Beobachtungszeitraum) und erstellt den Prüfungsbericht. Der Bericht enthält eine Beschreibung des Cloud-Dienstes, die geprüften Kontrollen und das Prüfungsurteil.
•Schritt 6 – Berichterstattung und Nachverfolgung: Sie erhalten den finalen Prüfungsbericht, den Sie Kunden und Aufsichtsbehörden vorlegen können. Eventuelle Abweichungen werden dokumentiert und sollten zeitnah behoben werden, um den nächsten Prüfzyklus nicht zu gefährden.

C5 Testat für Ihren Cloud-Dienst benötigt?

Vergleichen Sie spezialisierte C5-Prüfer und Wirtschaftsprüfungsgesellschaften und erhalten Sie ein unverbindliches Angebot für Ihr C5-Prüfprojekt.

C5-Prüfer vergleichen

Kosten und Zeitrahmen eines C5 Testats

Die Kosten für ein C5 Testat variieren erheblich je nach Komplexität des Cloud-Dienstes, Anzahl der Standorte und Reife der bestehenden Sicherheitsmaßnahmen. Folgende Richtwerte dienen als Orientierung:

•Gap-Analyse und Beratung: 15.000 – 40.000 EUR, abhängig vom Umfang der Analyse und der Beratungsintensität.
•Implementierung fehlender Kontrollen: 20.000 – 80.000 EUR, stark abhängig von der Ausgangslage. Organisationen mit bestehendem ISO 27001 ISMS benötigen typischerweise deutlich weniger Aufwand.
•Wirtschaftsprüferhonorar Typ 1: 25.000 – 60.000 EUR für einen Cloud-Dienst mit einer überschaubaren Anzahl an Kontrollen.
•Wirtschaftsprüferhonorar Typ 2: 40.000 – 100.000 EUR, höher aufgrund des erweiterten Prüfzeitraums und der Wirksamkeitstests.
•Jährliche Erneuerung Typ 2: 30.000 – 80.000 EUR, typischerweise günstiger als die Erstprüfung, da Prozesse und Dokumentation bereits etabliert sind.
•Zeitrahmen Erstprüfung: Rechnen Sie mit 6 bis 12 Monaten von der ersten Gap-Analyse bis zum fertigen Typ 1 Bericht. Für den Übergang zu Typ 2 kommen weitere 6 bis 12 Monate Beobachtungszeitraum hinzu.

Kombinierte Audits: C5 mit SOC 2 oder ISO 27001

Viele international tätige Cloud-Anbieter benötigen mehrere Sicherheitsnachweise gleichzeitig. Eine kombinierte Prüfung spart Zeit und Kosten, da sich die Anforderungen der verschiedenen Standards erheblich überschneiden. Etwa 60 Prozent der C5-Anforderungen finden sich auch in ISO 27001 wieder, und die Prüfmethodik von C5 und SOC 2 ist strukturell verwandt, da beide auf ISAE-Standards basieren.

•C5 + SOC 2: Eine besonders effiziente Kombination, da beide Testate von Wirtschaftsprüfern erteilt werden und ähnliche Prüfmethoden verwenden. Die gemeinsame Prüfung kann die Gesamtkosten um 20 bis 30 Prozent reduzieren im Vergleich zu zwei getrennten Prüfungen.
•C5 + ISO 27001: Sinnvoll, wenn Sie neben dem deutschen Markt auch international tätig sind. Das bestehende ISMS nach ISO 27001 bildet die Grundlage, die um cloud-spezifische C5-Anforderungen wie Mandantentrennung, Portabilität und den Umgang mit Ermittlungsanfragen ergänzt wird.
•C5 + SOC 2 + ISO 27001: Für große Cloud-Anbieter mit globaler Kundenbasis ist die Dreifachkombination wirtschaftlich sinnvoll. Ein erfahrener Prüfer kann alle drei Nachweise in einem integrierten Prüfungszyklus abdecken und so den internen Aufwand für Interviews, Dokumentation und Stichproben minimieren.

Häufig gestellte Fragen

Ist das C5 Testat für alle Cloud-Anbieter in Deutschland verpflichtend?▾

Nein, es besteht keine generelle gesetzliche Pflicht. Faktisch ist das C5 Testat jedoch für Cloud-Anbieter im öffentlichen Sektor, im Gesundheitswesen (DiGA/DiPA seit Juli 2025) und zunehmend im Finanzsektor eine zwingende Voraussetzung. Für andere Branchen ist es ein starkes Differenzierungsmerkmal im Wettbewerb.

Wie unterscheidet sich das C5 Testat von einer ISO 27001 Zertifizierung?▾

Das C5 Testat wird von einem Wirtschaftsprüfer erteilt und fokussiert spezifisch auf Cloud-Sicherheit mit Anforderungen zu Mandantentrennung, Portabilität und Umgang mit Behördenanfragen. ISO 27001 ist eine generische Zertifizierung für Informationssicherheitsmanagementsysteme. Ein ISO 27001 Zertifikat ersetzt kein C5 Testat, bildet aber eine gute Grundlage dafür.

Welche Wirtschaftsprüfer dürfen ein C5 Testat erteilen?▾

Grundsätzlich kann jede zugelassene Wirtschaftsprüfungsgesellschaft ein C5 Testat erteilen. In der Praxis verfügen jedoch nur wenige Prüfungsgesellschaften über die notwendige Cloud-Security-Expertise und C5-Erfahrung. Achten Sie bei der Auswahl auf nachgewiesene Referenzen und Branchenkenntnis.

Wie lange dauert der Übergang von C5 Typ 1 zu Typ 2?▾

Nach Erlangung des Typ 1 Testats benötigen Sie einen Beobachtungszeitraum von mindestens 6, idealerweise 12 Monaten, in dem die Kontrollen nachweislich wirksam betrieben werden. Die meisten Organisationen schaffen den Übergang innerhalb von 9 bis 15 Monaten nach dem Typ 1 Testat.

Können auch internationale Cloud-Anbieter ein C5 Testat erlangen?▾

Ja, das C5 Testat steht auch internationalen Cloud-Anbietern offen, die Dienste für deutsche Kunden erbringen. Große Hyperscaler wie AWS, Microsoft Azure und Google Cloud verfügen bereits über C5 Testate. Die Prüfung kann von deutschen oder internationalen Wirtschaftsprüfungsgesellschaften durchgeführt werden.

Was passiert, wenn der Prüfer Abweichungen feststellt?▾

Festgestellte Abweichungen werden im Prüfungsbericht dokumentiert und qualifizieren das Prüfungsurteil. Der Cloud-Anbieter sollte die Abweichungen zeitnah beheben und kann diese Korrekturen im nächsten Prüfungszyklus als umgesetzt nachweisen. Schwerwiegende Abweichungen können dazu führen, dass kein Testat erteilt wird.

Das BSI C5 Testat ist für Cloud-Dienstleister, die den deutschen Markt bedienen, ein strategisch entscheidender Sicherheitsnachweis. Die Investition in eine fundierte Vorbereitung und einen erfahrenen Prüfer zahlt sich durch schnellere Vertriebszyklen, vereinfachte Compliance-Nachweise und einen klaren Wettbewerbsvorteil aus. Auf IT-Audit Directory finden Sie qualifizierte C5-Prüfer und Berater, die Sie durch den gesamten Prüfprozess begleiten. Fordern Sie jetzt ein unverbindliches Angebot an und sichern Sie sich den Marktzugang für Ihren Cloud-Dienst in Deutschland.

BSI C5 Testat: Der Leitfaden für Cloud-Dienstleister in Deutschland