Das C5-Testat ist eine Zertifizierung für Cloud-Dienste, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Entscheidern in Unternehmen hilft das Testat bei der Auswahl sicherer Cloud-Lösungen. Das Testat umfasst verschiedene Aspekte der Informationssicherheit einschließlich Datenschutz, Datensicherheit, Compliance und Risikomanagement. Es verlangt jährliche Audits durch Wirtschaftsprüfer. Seit der Aktualisierung im Jahr 2020 gilt C5 als einer der weltweit strengsten Standards.
- Was versteht man unter C5?
- Was ist ein C5-Testat und wer stellt es aus?
- Welches sind die wichtigsten Aspekte im C5-Kriterienkatalog?
- Bestätigt das C5-Testat die Sicherheit eines Cloud-Dienstes?
- Für welche Branchen ist C5 relevant?
- Wie profitieren Cloud-Anbieter und -Nutzer von C5?
- Mit welchen Herausforderungen müssen Unternehmen bei der Umsetzung rechnen?
Im Folgenden beleuchten wir wichtige Aspekte des C5-Kriterienkatalogs. Außerdem zeigen wir auf, wie seine Umsetzung Unternehmen dazu befähigt, ihre Sicherheitsaktivitäten zu koordinieren.
Was versteht man unter C5?
C5, kurz für Cloud Computing Compliance Criteria Catalogue, ist ein Kriterienkatalog für sicheres Cloud Computing, den in das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt hat. Er definiert Mindestanforderungen an die Informationssicherheit von Cloud-Lösungen und zielt darauf ab, ihre Sicherheit und Transparenz zu erhöhen. Das C5-Testat dient für Cloud-Kunden als wichtiger Orientierungspunkt bei der Auswahl eines Anbieters.
C5 ergänzt den IT Grundschutz um Kontrollfunktionen mit Fokus auf Cloud-Dienste. Der Letztere ist ein vom BSI bereits früher entwickelte Standard und eine Methodik, um Unternehmen und anderen Organisationen dabei zu helfen, ihre IT-Sicherheit zu verbessern.
Was ist ein C5-Testat und wer stellt es aus?
C5-Testate sind Nachweise über die Einhaltung von Sicherheitsstandards im Cloud Computing. Sie werden ausschließlich von Wirtschaftsprüfern ausgestellt, denn laut der geltenden Regulierung sind nur diese dazu berechtigt.
Die Prüfung basiert auf dem internationalen Standard ISAE 3000. Wirtschaftsprüfer führen eine standardisierte Prüfung durch, die auf Kriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beruht. Falls alle relevanten Kriterien von dem geprüften Unternehmen erfüllt werden, stellen sie ein C5-Testat aus. Durch einen Prüfungsbericht können sich Kunden des Cloud Dienstes über den Scope der Prüfung und gegebenenfalls aufgetretene Mängel informieren.
C5-Prüfungen unterteilen sich in zwei Arten:
- Angemessenheitsprüfung (Typ 1): Bei dieser Prüfung geht es um die Bewertung von Kontrollen zum Prüfungszeitpunkt und darum, ob sie angemessen ausgestattet und eingerichtet sind.
- Wirksamkeitsprüfung (Typ 2): Diese Prüfung ist ausführlicher und bewertet die Angemessenheit der Kontrollbeschreibungen sowie die operative Wirksamkeit der Kontrollen über einen bestimmten Zeitraum.
Welches sind die wichtigsten Aspekte im C5-Kriterienkatalog?
Der C5-Katalog umfasst 121 Kriterien, die in 17 Themengebiete eingeteilt sind und sich auf verschiedene Aspekte der Informationssicherheit beziehen, wie beispielsweise:
- Produktsicherheit
- Sicherer Betrieb des Cloud-Dienstes
- Umgang mit Sicherheitsvorfällen
- Kontinuität des Geschäftsbetriebs und Notfallmanagement
- Identitäts- und Rechtemanagement
- Kryptografische Maßnahmen
Daneben definiert und erläutert der C5-Katalog weitere Details, welche die Organisation der Informationssicherheit betreffen:
1. Datensicherheit: Einsatz von modernen Verschlüsselungsprotokollen sowie Berücksichtigung von physischen Sicherheitsmaßnahmen und relevanten Umgebungsfaktoren.
2. Zugriffskontrollen: Effektive Überwachung und Steuerung von Systemzugriffen und ein umfassendes Management digitaler Identitäten.
3. Compliance: Die Einrichtung eines Frameworks, das als Nachweis der Compliance in der Cloud gilt und den Umgang mit personenbezogenen Daten regelt. Es basiert auf internationalen Standards wie ISO/IEC 27001 und CSA CCM 3.01 und integriert Anforderungen der DSGVO.
4. Reaktion auf Sicherheitsvorfälle: Die Implementierung von Maßnahmen, die eine schnelle und echtzeitnahe Reaktion auf Cyberangriffe, Datenschutzverletzungen und andere IT-Störungen erlauben.
5. Prüfung und Zertifizierung: Die Festlegung und Einhaltung der Prüfkriterien, die von neutralen Auditoren geprüft werden sollten. In diesem Zusammenhang ist es die Aufgabe der Cloud-Dienstleister, die erforderlichen Informationen zu liefern, etwa über die technischen Spezifikationen ihrer Systeme und deren Standorte.
6. Governance: Der Aufbau einer soliden Governance-Struktur mit einem ausgefeilten Risikomanagement-System.
7. Transparenz: Cloud-Anbieter sind verpflichtet, umfassende Informationen bereitzustellen, die eine Systembeschreibung einschließen. Dazu gehören etwa auch Angaben über die Gerichtsbarkeit und Datenverarbeitungsstandorte. Diese Transparenz soll Cloud-Kunden ermöglichen, eine fundierte Entscheidung zu treffen.
Bestätigt das C5-Testat die Sicherheit eines Cloud-Dienstes?
Das C5-Testat allein garantiert nicht automatisch eine hohe Cloudsicherheit. Es bestätigt jedoch, dass Mindestanforderungen des BSI für Cloud-Sicherheit erfüllt wurden.
Ferner sollten Sie beachten, dass das C5-Testat nur für die geprüften Cloud-Dienste und nur in den geografischen Regionen gilt, in denen eine Prüfung erfolgte (Scope).
Hinzu kommt: Da sich die Bedrohungen ändern, muss die Prüfung regelmäßig wiederholt werden. Erwähnenswert in diesem Zusammenhang ist auch, dass ISO/IEC 27001 ein weiteres wichtiges sicherheitsrelevantes Zertifizierungsinstrument ist. Ein Informationssicherheitsmanagementsystem (ISMS), das nach ISO 27001 aufgebaut ist, ist sogar Voraussetzung für das C5-Testat.
Wie läuft die Prüfung ab?
Die C5-Prüfung folgt einem strukturierten Prozess, der sich aus mehreren Phasen zusammensetzt:
1. Orientierungsgespräch und Kick-Off-Workshop: In dieser Phase erfolgen erste Beratungen und Erläuterungen der Anforderungen für eine C5-Testierung. Der Prüfungsumfang, einzelne Schritte und ein Prüfungszeitraum werden hier festgelegt.
2. Erstellung eines individuellen Plans und einer Roadmap: Hier geht es um die Ausarbeitung eines individuellen Fahrplans, der alle erforderlichen Einzelschritte und Termine beinhaltet.
3. Dokumentation und Überprüfung der notwendigen Unterlagen: Es erfolgt die Sammlung, Zusammenstellung und Überprüfung der für das Audit erforderlichen Dokumente. Bei Bedarf werden relevante Mitarbeiter interviewt.
4. Erstellung des Abschlussberichtes und des Prüfurteils: Bei erfolgreichem Bestehen wird das C5-Testat verliehen und der offizielle Prüfbericht ausgehändigt. Im Anschluss erfolgt oft noch eine Besprechung der Nachbereitungsschritte.
Das Informationssicherheitsmanagement-System der Scopevisio ist bereits gemäß ISO 27001 zertifiziert. Derzeit befindet sich Scopevisio im C5-Zertifizierungsprozess und erwartet das Testat im Herbst 2025. Mehr zu Thema Sicherheit bei Scopevisio erfahren Sie in einem separaten Blogbeitrag
Für welche Branchen ist C5 relevant?
C5-Testate sind für mehrere Branchen relevant.
Mit der Einführung des § 393 SGB V am 1. Juli 2024 wurde das C-5-Testat im Gesundheits- und Sozialwesen verpflichtend. Dieser Paragraf soll hohe Sicherheitsstandards bei der Verarbeitung von Gesundheits- und Sozialdaten gewährleisten. Arztpraxen, Krankenhäuser, Krankenkassen und weitere Einrichtungen im Gesundheitswesen müssen seitdem darauf achten, dass ihre Cloud-Dienstleister aktuelle C5-Testate vorweisen können. Bis zum 30. Juni 2025 reicht ein C5-Typ-1-Testat aus. Ab dem 1. Juli 2025 ist das C5-Typ-2-Testat Pflicht.
Für Cloud-Anbieter, die im Versorgungswesen tätig sind oder mit Betreibern kritischer Infrastrukturen (KRITIS) zusammenarbeiten, sind C5-Testate ebenfalls laut IT-Sicherheitsgesetz verpflichtend.
Auch Cloud-Dienstleister, die im Allgemeinen öffentliche Aufträge anstreben oder mit Behörden zusammenarbeiten, benötigen C5-Testate. Für Bundesbehörden ist das Testat laut § 8 BSI-Gesetz verpflichtend.
Wie profitieren Cloud-Anbieter und -Nutzer von C5?
Das C5-Testat bietet sowohl Cloud-Anbietern als auch -Nutzern eine Reihe von Vorteilen. Einige davon sind:
- Ein Signal nach außen, dass IT-Sicherheit und Compliance für den Cloud-Dienstleister eine hohe Priorität haben.
- Eine höhere Transparenz, die potenziellen Cloud-Kunden eine fundierte Bewertung des Cloud-Dienstleisters und seiner Produkte ermöglicht.
- Eine Stärkung des Kundenvertrauens im Allgemeinen
- Ein verbessertes Risikomanagement
- Die Erfüllung einer fundamentalen Voraussetzung für die Zusammenarbeit mit Behörden, KRITIS-Betreibern und mit Gesundheitsdienstleistern.
- Ein einfacherer Zugang zu öffentlichen Aufträgen
- Ein Qualitätsmerkmal, das die Professionalität des Anbieters unterstreicht
Mit welchen Herausforderungen müssen Unternehmen bei der Umsetzung rechnen?
Die Implementierung des C5-Standards ist in der Praxis oft mit gewissen Herausforderungen verbunden. Mit einer durchdachten Planung und einer klaren Strategie lassen sich diese jedoch in den meisten Fällen bewältigen. Zu diesen Herausforderungen gehören:
- Zusätzliche finanzielle Aufwendungen
- Umfassende Anforderungen an die Sicherheit des testierten Cloud-Dienstes, die deutlich über technische Aspekte hinausgehen und die Bereiche Personal, physische Sicherheitsmaßnahmen und Beschaffungsprozesse miteinbeziehen.
- Ein potenzieller Engpass an qualifizierten Prüfern: Gemäß BSI-Vorgaben und aufgrund der ISAE 3000 Norm dürfen nur Wirtschaftsprüfer die Prüfung durchführen und C5-Testate ausstellen.
