BSI C5 – Ein einheitlicher Sicherheitsstandard in der Cloud-Umgebung

Die Anforderungen an Sicherheitsstandards im Cloud Computing steigen

Die Sicherheitsfunktionen und das damit verbundene interne Kontrollsystem des Cloud-Anbieters sind mittlerweile maßgebliche Faktoren bei der Auswahl von Cloud-Diensten und deren nachgewiesener Wirksamkeit. Zugleich haben die Cloud-Nutzer meist nicht die nötigen Ressourcen und das Know-how, um die Sicherheitsaspekte der Cloud-Dienste nachzuvollziehen. Die Cloud-Security-Studie der IDG vom Jahr 2021 zeigt, dass für 83 Prozent der 352 befragten Unternehmen Cloud-Zertifikate wie die BSI C5-Bescheinigung wichtig bei der Auswahl eines Cloud-Anbieters sind. Diese Entwicklung unterstreicht die wachsende Bedeutung von transparenter und nachweisbarer Sicherheit in der Cloud.

„Das Sicherheitsbewusstsein von Kunden im Cloud-Sektor ist auf einem Allzeithoch. Risiken aus Sicherheitslücken als auch der Erfüllung von Compliance-Vorgaben stehen oft hochkomplexe informationstechnische Systeme gegenüber. Ein auf das Cloud Computing spezialisierter Sicherheitsstandard dient als effektives Kommunikationsmittel und schafft Transparenz zwischen den verschiedenen Stakeholdern und dem Cloud-Provider.“
Heiko Jacob, Partner, Deloitte

Gemäß § 8a BSI-Gesetz sind Betreiber kritischer Infrastrukturen (KRITIS), wie etwa im Gesundheitswesen, in der Energieversorgung oder im Finanzsektor, verpflichtet, bestimmte Sicherheitsstandards einzuhalten. Lagert ein KRITIS-Betreiber seine Dienste in die Cloud aus, ist dieser verpflichtet, die Einhaltung der erforderlichen Sicherheitsstandards nachzuweisen. Dies stellt sicher, dass die ausgelagerten Dienste den gleichen hohen Sicherheitsanforderungen genügen wie die der internen Systeme der KRITIS-Betreiber. Mit einer Bescheinigung über ein erfolgreiches C5-Audit wird der Cloud-Anbieter den Compliance-Bedürfnissen seiner Kunden gerecht.

Insbesondere die Gesundheitsbranche unterliegt einem individuellen Druck. Mit den zunehmenden Digitalisierungsbemühungen und dem Inkrafttreten des „Digital-Gesetzes“ des Bundesministeriums für Gesundheit (BMG) am 26. März 2024 müssen Cloud-Dienste, die Gesundheitsdaten verarbeiten, nach § 393 SGB V ab seit dem 1. Juli 2024 eine BSI C5-Bescheinigung nach Typ 1 (Angemessenheitsprüfung) und ab seit dem 1. Juli 2025 eine BSI C5-Bescheinigung nach Typ 2 (Wirksamkeitsprüfung) vorweisen können. Dabei sind zunächst alle Unternehmen betroffen, die als Datenverarbeiter von im Rahmen von Cloud Computing Patientendaten Sozial- oder Gesundheitsdaten für Leistungserbringer gesetzlicher Krankenversicherungen in der Cloud verarbeiten und speichern.

Cloud-Anbieter, die von der C5-Gleichwertigkeitsverordnung vom 19. März 2025 betroffen sind, können ihre Cloud-Compliance mit alternativen Standards unter Einhaltung weiterer Voraussetzungen nachweisen. Detailliertere Informationen hierzu finden Sie in unserem ausführlichen Whitepaper.

Der BSI C5 deckt eine große Bandbreite an Sicherheitsaspekten ab

Der Kriterienkatalog deckt 17 Bereiche ab, darunter Organisation der Informationssicherheit, physische Sicherheit, Kommunikationssicherheit und Produktsicherheit. Die Kriterien untergliedern sich weiter in Basis- und Zusatzkriterien, wobei der Cloud-Anbieter zur Erreichung der C5-Bescheinigung zumindest alle anwendbaren Basiskriterien, also jene, die für die Art und Ausgestaltung des Cloud-Dienstes von Relevanz sind, abdecken muss. Dabei kann er abhängig von den Sicherheitsanforderungen der Cloud-Nutzer und dem gewünschten Mehraufwand für die Umsetzung selbst entscheiden, ob Zusatzkriterien angestrebt werden sollen.

Weiterhin bietet der C5-Kriterienkatalog ein Rahmenwerk zur effizienten Gestaltung von internen Steuerungs- und Kontrollmaßnahmen. Regelmäßige Audits und interne Revisionen der Cloud-Dienste ermöglichen es Unternehmen, Sicherheitslücken frühzeitig zu identifizieren und gezielt Maßnahmen zur Risikominderung zu ergreifen. Dies trägt zur Einhaltung von branchenspezifischen Compliance-Vorgaben und zu kontinuierlichen Verbesserungen der Sicherheitsstrategie bei.

^{Abb. 1 – Die 17 Themenbereiche des C5-Kriterienkatalogs}

Der C5-Katalog umfasst Kriterien aus 17 Bereichen. Cloud-Serviceprovider müssen für die C5-Bescheinigung alle anwendbaren Basiskriterien erfüllen.

Welche Anforderungen müssen erfüllt werden, um eine C5-Bescheinigung zu erhalten?

Der Kriterienkatalog C5 nennt grundsätzlich zwei Prüfungsarten. Gegenstand bei einer Prüfung einer Erklärung ist die Systembeschreibung, die über die Grundsätze, Verfahren und Maßnahmen hinaus auch das dienstleistungsbezogene interne Kontrollsystem inkl. aller Kontrollen und Kontrollziele beschreibt, welche von Cloud-Anbieter angewendet werden, um die Basiskriterien des BSI C5 zu erfüllen.

Die zweite im C5-Katalog definierte Prüfungsart ist die direkte Prüfung. Wenn der Cloud-Anbieter keine Systembeschreibung mit einer spezifischen kontrollbasierten Umsetzung des C5-Katalogs vorweisen kann, kann auch Deloitte die Erhebung der Beschreibung aller BSI C5 relevanter Grundsätze, Verfahren und Maßnahmen einschließlich aller Kontrollen durchführen.

Sollte sich der Cloud-Anbieter nicht sicher sein, inwieweit implementierte Maßnahmen und Kontrollen die C5:2020-Kriterien abdecken, bietet Deloitte ein kosteneffizientes BSI C5:2020 Readiness Assessment an. Im Rahmen dessen ermitteln wir den aktuellen Abdeckungsgrad der Kriterien in Form eines KI-gestützten Gap-Assessments.

Zudem bietet Deloitte auch ein BSI C5:2025 Readiness Assessment an, welches den Cloud-Anbieter bereits jetzt für die überarbeitete Version des BSI C5:2020 optimal vorbereitet. Gestützt auf dieser Einschätzung formuliert Deloitte ein maßgeschneidertes Prüfungsangebot, das optimal auf die Größe und spezifischen Anforderungen des jeweiligen Kunden zugeschnitten ist.

Aufwandsreduzierung für KMU durch Carve-out-Methode

Deloitte kann Cloud-Anbieter bei der Identifizierung auslagerbarer und nicht anwendbarer Anforderungen unterstützen. Der dadurch reduzierte Prüfungsaufwand kommt vor allem kleinen und mittleren Unternehmen mit begrenzten Ressourcen zugute. Kontrollen, die aufgrund der Ausgestaltung des Cloud-Dienstes in den Verantwortungsbereich von externen Dienstleistern fallen, können als sogenannte Complementary Subservice Organization Controls (CSOCs) in die Systembeschreibung mit einbezogen werden.

Trotz der Auslagerung der Kontrollen muss der Cloud-Anbieter im Rahmen seiner Sorgfaltspflicht gewährleisten, dass die CSOCs implementiert und effektiv sind. In der Praxis leisten relevante Zertifikate und Bescheinigungen des Subdienstleisters einen entscheidenden Beitrag zur Vereinfachung. Deren regelmäßige Einsicht stellt sicher, dass die ausgelagerten Kontrollen angemessen funktionieren und fortwährenden Schutz und Integrität des Cloud-Dienstes gewährleisten.

Mit Deloitte zur C5 Compliance

Mit unserem Deloitte Expertennetzwerk und einer langjährigen IT-Audit-Erfahrung bieten wir unseren Klienten einen effizienten Prüfungsablauf. Unser erfahrenes Prüferteam setzt verschiedenste Methoden, Werkzeuge und Rahmenwerke ein, um wertvolle Ressourcen und Aufwand gezielt in die qualitativ anspruchsvolle Prüfungsarbeit investieren zu können. Deloitte bietet maßgeschneiderte Prüfungs- und Berichterstattungsdienstleistungen an, die den Anforderungen internationaler und deutscher Kunden gerecht werden. Für BSI C5-Audits verwenden wir den international anerkannten Assurance Standard ISAE 3000 sowie den deutschen Prüfungstandard IDW PS 860. Dabei orientieren wir uns für die Berichtserstellung an den ISAE 3402.

Der Umfang der Prüfungsaktivitäten orientiert sich nach den Berichterstattungstypen nach ISAE 3000:

1. „Angemessenheitsprüfung“ (Berichterstattung nach Typ 1)
   Ziel dieses Prüfungsvorgehens ist es, die angemessene Ausgestaltung und Implementierung der Grundsätze, Verfahren und Maßnahmen zur Erfüllung der anwendbaren C5-Kriterien zu einem definierten festen Zeitpunkt zu validieren. Hierbei sichten wir Richtlinien und Prozessanweisungen und führen Systeminspektionen sowie Prozess-Walkthroughs zur Überprüfung von Kriterien-spezifischen Prüfattributen durch.
2. „Wirksamkeitsprüfung“ (Berichterstattung nach Typ 2)
   Der wesentliche Unterschied zur Angemessenheitsprüfung besteht in der zusätzlichen Stichprobenprüfung von Kriterien-spezifischen Prüfattributen über einen definierten Zeitraum, um eine hinreichend sichere Aussage über die Wirksamkeit der Grundsätze, Verfahren und Maßnahmen zum Erreichen der C5-Kriterien zu treffen. Für den Cloud-Nutzer ist der Nachweis über die Wirksamkeit der implementierten Kontrollen ein wichtiges Qualitätsmerkmal für die Sicherheit des Cloud-Dienstes.

Die Entscheidung über eine Berichterstattung nach Typ 1 oder Typ 2 ist maßgeblich abhängig von den individuellen Umständen des Cloud-Anbieters.

Der gesamte Prüfungsprozess wird unter Absprache mit dem Kunden spezifisch auf dessen Anforderungen und Verfügbarkeit unter Berücksichtigung unserer Deloitte Success Factors zugeschnitten. Besonders im Hinblick auf die Wirksamkeitsprüfung der Kontrollen wird das Team aus Expert:innen in Absprache mit Ihnen den optimalen Startzeitpunkt für den BSI C5-Audit wählen, um einen fristgerechten und ressourcenschonenden Prüfungsablauf zu gewährleisten.

So kann Deloitte Sie unterstützen

Unsere Expert:innen mit langjähriger Erfahrung im IT-Audit und in der Readiness Assistance sind die optimalen Partner für Ihr Projekt. Über die gesamte Prüfungsplanung und -durchführung bis zur erfolgreichen Übergabe des Prüfberichts unterstützt Deloitte Sie in allen Belangen. Sollten Sie Fragen zum Thema BSI C5 haben, ein BSI C5:2020 oder ein BSI C5:2025 Readiness Assessment benötigen oder Interesse an einem durch Deloitte begleiteten C5-Audit haben, kontaktieren Sie gerne einen unserer Ansprechpartner für mehr Informationen.