BSI C5 Beratung

Der Cloud Computing Compliance Controls Catalogue (C5) wurde vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und definiert verbindliche Mindestanforderungen an Cloud-Dienste in Deutschland. Er adressiert primär Cloud-Dienstleister und SaaS-/PaaS-/IaaS-Anbieter, die Dienste für Behörden, kritische Infrastrukturen oder regulierte Unternehmen erbringen. Gleichzeitig sind Cloud-Nutzer aus diesen Sektoren gefordert, von ihren Anbietern C5-Testate einzufordern und zu bewerten.

C5 baut auf anerkannten internationalen Standards auf – insbesondere ISO/IEC 27001, CSA CCM, SOC 2 und AICPA Trust Services Criteria – adressiert aber spezifisch die Risiken cloud-basierter Umgebungen. Dazu gehören die Transparenz über Rechenzentrumsstandorte und Datenverarbeitung, die Sicherheit von Mandantentrennung, die Kontrolle über privilegierte Zugänge und die Nachvollziehbarkeit von Änderungen an der Infrastruktur.

Der Stellenwert von C5 ist erheblich gestiegen: Öffentliche Auftraggeber verlangen C5-Testate zunehmend als Voraussetzung für Cloud-Beschaffungen. Finanzdienstleister nutzen C5 zur Bewertung ihrer Outsourcing-Partner. Und mit der fortschreitenden Regulierung durch NIS2 und DORA wird die Fähigkeit, qualifizierte Drittanbieter zu beurteilen, zur operativen Notwendigkeit.

C5 gliedert sich in 17 Themenbereiche mit insgesamt mehr als 130 Kontrollen. Die Bereiche reichen von Organisationssicherheit und Richtlinien über Kryptographie, Identitäts- und Zugriffsmanagement bis hin zu Betriebssicherheit, Netzwerksicherheit und Vorfallsmanagement. Hinzu kommen cloud-spezifische Bereiche wie Portabilität, Interoperabilität und Transparenz der Verarbeitung.

Besondere Aufmerksamkeit verdient der Bereich Transparenz: C5 verlangt, dass Cloud-Anbieter detaillierte Informationen über ihre Systemumgebung offenlegen – Rechenzentrumsstandorte, Sub-Dienstleister, verwendete Technologien und die Grenzen ihrer Verantwortung. Diese sogenannten Umgebungsinformationen sind Bestandteil jedes C5-Testats und ermöglichen Nutzern eine fundierte eigene Risikobeurteilung.

Ein weiterer Schwerpunkt ist das Identitäts- und Zugriffsmanagement, insbesondere für privilegierte Konten. Cloud-Umgebungen haben strukturell breite Angriffsflächen durch Administrator-Konten; C5 verlangt mehrstufige Kontrollen, lückenlose Protokollierung und regelmäßige Überprüfung aller privilegierten Zugriffe. Für viele Anbieter ist die Umsetzung dieser Anforderung die aufwendigste Einzelmaßnahme auf dem Weg zum Testat.

C5-Testate existieren in zwei Stufen. Ein Type-1-Testat bescheinigt, dass zum Prüfungszeitpunkt die erforderlichen Kontrollen konzeptionell vorhanden sind. Ein Type-2-Testat geht weiter: Es bescheinigt, dass die Kontrollen über einen Beobachtungszeitraum von mindestens sechs Monaten tatsächlich wirksam betrieben wurden. Für regulierte Kunden und öffentliche Auftraggeber ist das Type-2-Testat der relevante Nachweis.

Die Vorbereitung auf ein Type-2-Testat erfordert daher nicht nur die Implementierung der Kontrollen, sondern auch deren dokumentierte, nachweisliche Anwendung über den Beobachtungszeitraum. Das bedeutet: Protokolle, Logs, Genehmigungsverläufe, Test-Ergebnisse und Überprüfungsberichte müssen systematisch und auditfest archiviert werden.

Wir begleiten Sie durch den gesamten Prozess: von der initialen Gap-Analyse über die Implementierung fehlender Kontrollen bis zur Abstimmung mit dem Wirtschaftsprüfer, der das Testat ausstellt. Dabei achten wir darauf, dass die Umsetzung nachhaltig ist – nicht nur auf die Prüfung hin optimiert, sondern im laufenden Betrieb handhabbar.