BSI C5 Beratung

Der Cloud Computing Compliance Controls Catalogue (C5) wurde vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und definiert verbindliche Mindestanforderungen an Cloud-Dienste in Deutschland. Er adressiert primär Cloud-Dienstleister und SaaS-/PaaS-/IaaS-Anbieter, die Dienste für Behörden, kritische Infrastrukturen oder regulierte Unternehmen erbringen. Gleichzeitig sind Cloud-Nutzer aus diesen Sektoren gefordert, von ihren Anbietern C5-Testate einzufordern und zu bewerten.

C5 baut auf anerkannten internationalen Standards auf – insbesondere ISO/IEC 27001, CSA CCM, SOC 2 und AICPA Trust Services Criteria – adressiert aber spezifisch die Risiken cloud-basierter Umgebungen. Dazu gehören die Transparenz über Rechenzentrumsstandorte und Datenverarbeitung, die Sicherheit von Mandantentrennung, die Kontrolle über privilegierte Zugänge und die Nachvollziehbarkeit von Änderungen an der Infrastruktur.

Der Stellenwert von C5 ist erheblich gestiegen: Öffentliche Auftraggeber verlangen C5-Testate zunehmend als Voraussetzung für Cloud-Beschaffungen. Finanzdienstleister nutzen C5 zur Bewertung ihrer Outsourcing-Partner. Und mit der fortschreitenden Regulierung durch NIS2 und DORA wird die Fähigkeit, qualifizierte Drittanbieter zu beurteilen, zur operativen Notwendigkeit.

C5 gliedert sich in 17 Themenbereiche mit insgesamt mehr als 130 Kontrollen. Die Bereiche reichen von Organisationssicherheit und Richtlinien über Kryptographie, Identitäts- und Zugriffsmanagement bis hin zu Betriebssicherheit, Netzwerksicherheit und Vorfallsmanagement. Hinzu kommen cloud-spezifische Bereiche wie Portabilität, Interoperabilität und Transparenz der Verarbeitung.

Besondere Aufmerksamkeit verdient der Bereich Transparenz: C5 verlangt, dass Cloud-Anbieter detaillierte Informationen über ihre Systemumgebung offenlegen – Rechenzentrumsstandorte, Sub-Dienstleister, verwendete Technologien und die Grenzen ihrer Verantwortung. Diese sogenannten Umgebungsinformationen sind Bestandteil jedes C5-Testats und ermöglichen Nutzern eine fundierte eigene Risikobeurteilung.

Ein weiterer Schwerpunkt ist das Identitäts- und Zugriffsmanagement, insbesondere für privilegierte Konten. Cloud-Umgebungen haben strukturell breite Angriffsflächen durch Administrator-Konten; C5 verlangt mehrstufige Kontrollen, lückenlose Protokollierung und regelmäßige Überprüfung aller privilegierten Zugriffe. Für viele Anbieter ist die Umsetzung dieser Anforderung die aufwendigste Einzelmaßnahme auf dem Weg zum Testat.

C5-Testate existieren in zwei Stufen. Ein Type-1-Testat bescheinigt, dass zum Prüfungszeitpunkt die erforderlichen Kontrollen konzeptionell vorhanden sind. Ein Type-2-Testat geht weiter: Es bescheinigt, dass die Kontrollen über einen Beobachtungszeitraum von mindestens sechs Monaten tatsächlich wirksam betrieben wurden. Für regulierte Kunden und öffentliche Auftraggeber ist das Type-2-Testat der relevante Nachweis.

Die Vorbereitung auf ein Type-2-Testat erfordert daher nicht nur die Implementierung der Kontrollen, sondern auch deren dokumentierte, nachweisliche Anwendung über den Beobachtungszeitraum. Das bedeutet: Protokolle, Logs, Genehmigungsverläufe, Test-Ergebnisse und Überprüfungsberichte müssen systematisch und auditfest archiviert werden.

Wir begleiten Sie durch den gesamten Prozess: von der initialen Gap-Analyse über die Implementierung fehlender Kontrollen bis zur Abstimmung mit dem Wirtschaftsprüfer, der das Testat ausstellt. Dabei achten wir darauf, dass die Umsetzung nachhaltig ist – nicht nur auf die Prüfung hin optimiert, sondern im laufenden Betrieb handhabbar.

Der C5 Katalog wird vom BSI als normatives Dokument veröffentlicht und regelmäßig aktualisiert – die aktuelle Fassung ist C5:2020. Jeder der 17 Themenbereiche enthält Kontrollziele und einzelne Kontrollen, die in Basiskriterien (obligatorisch) und Zusatzkriterien (empfohlen) unterteilt sind. Für ein Testat müssen alle Basiskriterien erfüllt sein; Zusatzkriterien signalisieren einem Prüfer und potenziellen Kunden eine erhöhte Sicherheitsreife. Der Katalog umfasst zudem einen Anhang mit Umgebungsinformationen – ein für C5 einzigartiger Baustein, der transparente Offenlegung über Rechenzentrumsstandorte, Sub-Dienstleister und Systemgrenzen verlangt.

C5 baut systematisch auf anerkannten Rahmenwerken auf und definiert explizite Mappings zu ISO/IEC 27001, SOC 2 (AICPA Trust Services Criteria) und der CSA Cloud Controls Matrix. Für Anbieter, die bereits eine ISO 27001-Zertifizierung besitzen, ist das eine wichtige Ausgangsbasis: Viele Controls sind bereits durch das ISMS abgedeckt. Gleichzeitig enthält C5 cloud-spezifische Kontrollen, die ISO 27001 allein nicht adressiert – insbesondere zur Mandantentrennung, Portabilität, Datenstandort und privilegiertem Zugriff auf Hypervisor-Ebene. Wer bestehende Zertifizierungen nutzen will, muss die Lücken gezielt identifizieren.

Für die praktische Arbeit mit dem C5 Katalog empfehlen wir eine strukturierte Gap-Analyse, die jede Kontrolle einzeln bewertet: vollständig implementiert, teilweise implementiert oder nicht implementiert. Aus dieser Bestandsaufnahme entsteht eine priorisierte Umsetzungsroadmap, die wirtschaftlich und zeitlich realistisch ist. Dabei berücksichtigen wir immer die spezifische Architektur des Cloud-Diensts – ein SaaS-Anbieter hat andere Schwerpunkte als ein IaaS-Betreiber. Unsere Berater kennen den C5 Katalog aus zahlreichen Projekten und wissen, welche Kontrollen in der Prüferpraxis besonderes Gewicht haben.