Was deckt das C5-Testat ab?
Das C5-Testat definiert einheitliche Mindestanforderungen an Informationssicherheit, Transparenz und Datenschutz für Cloud-Umgebungen. Es basiert auf anerkannten Normen und Frameworks wie ISO 27001, BSI-Grundschutz sowie COBIT und deckt insbesondere folgende Kontrollbereiche ab:
- Sicherheitsorganisation und Governance
- Zugriffskontrollen und Identitätsmanagement
- Netzwerksicherheit und Verschlüsselung
- Systemhärtung und Schwachstellenmanagement
- Protokollierung, Monitoring und Incident Response
- Notfallmanagement und Business Continuity
- Transparenzpflichten gegenüber Kunden
Das C5-Testat ist kein ISO-Zertifikat, sondern ein Prüfungsnachweis inklusive Prüfbericht, der detailliert belegt, dass die Sicherheitsmaßnahmen tatsächlich implementiert wurden und wirksam sind.
Ob eigene Infrastruktur oder Cloud-Dienstleistung: mit einem C5-Testat gewinnen Sie Vertrauen bei Kunden, Behörden und Auditoren.
C5 in Kombination
Zielgruppe:
Unternehmen, die eigene IT- oder Cloud-Infrastrukturen betreiben (Private Cloud, Hybrid Cloud, Rechenzentren), und ihren Kunden oder Partnern nachweisen möchten, dass ihre Umgebung sicher, regelkonform und vertrauenswürdig ist.
Typisches Beispiel:
- Industriebetriebe mit eigener Private Cloud für Produktionsdaten
- Banken oder Versicherungen mit eigenem Hosting für Kundendaten
- IT-Systemhäuser mit Managed-Cloud-Angeboten für interne Services
Relevanz:
Ein C5-Testat in Kombination mit IDW PS 860 prüft und bestätigt, dass die organisatorischen, technischen und prozessualen Kontrollen sowie die übergeordneten Governance-Strukturen eines Unternehmens den Anforderungen des BSI-C5-Katalogs entsprechen. Dabei werden nicht nur die klassischen technischen und organisatorischen Maßnahmen (TOMs) im Sinne der DSGVO betrachtet, sondern auch:
- Managementsysteme (z. B. Informationssicherheitsmanagement, Risikomanagement, Change-Management)
- Prozessuale Kontrollen (z. B. Incident Response, Berechtigungsmanagement, Monitoring, Audit Trails)
- Governance- und Compliance-Strukturen (z. B. Verantwortlichkeiten, Richtlinien, Schulungskonzepte)
- Dokumentation und Nachvollziehbarkeit von Maßnahmen, Berichten und Entscheidungen
Kurz gesagt:
Während die TOMs einen Teilaspekt der Sicherheit darstellen (im Kontext Datenschutz), prüft ein C5-Testat ganzheitlich das interne Kontrollsystem der Cloud-Umgebung, ob Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Compliance im Zusammenspiel wirksam umgesetzt sind.
Vorteile:
- Erhöhtes Vertrauen gegenüber internen Prüfern, Kunden und Behörden, ggf. auch Pflichtnachweis im Rahmen von Ausschreibungen
- Grundlage für DSGVO-konforme Verarbeitung sensibler Daten
- Nachweis für Informationssicherheitsmanagement – auch ohne ISO 27001
- Relevanz für KRITIS-Unternehmen, Versicherungen und regulierte Branchen
Fazit:
Ein Testat aus der Kombination C5 und IDW PS 860 ist der anerkannte Nachweis für Sicherheit und Ordnungsmäßigkeit in unternehmenseigenen Cloud-Umgebungen und oft ein entscheidendes Qualitätsmerkmal im Audit- bzw. Zertifizierungskontext.
Zielgruppe:
Unternehmen, die Cloud-Dienste für Dritte bereitstellen, also SaaS-, PaaS- oder IaaS-Anbieter, Managed-Service-Provider oder Rechenzentrumsbetreiber.
Typisches Beispiel:
- Anbieter von Hosting- oder Rechenzentren-Dienstleistungen mit Business-Kunden
- Softwareanbieter mit Cloud-basierten Produkten
- IT-Dienstleister mit Outsourcing-Verträgen (z. B. für Banken, Behörden oder Healthcare)
Relevanz:
Hier geht es um die Prüfung des internen Kontrollsystems (IKS) nach IDW PS 951 in Verbindung mit dem C5-Kriterienkatalog. Damit wird belegt, dass die Cloud-Services nicht nur sicher konzipiert, sondern auch im laufenden Betrieb zuverlässig und wirksam gesteuert werden.
Vorteile:
- Nachweis über den sicheren und stabilen Cloud-Betrieb für Kunden
- Akzeptanz bei öffentlichen Auftraggebern (C5 Typ 2 oft Voraussetzung)
- Vertrauen für regulierte Kunden (z. B. Banken, Versicherungen, Gesundheitssektor)
- Wettbewerbsvorteil bei Ausschreibungen oder Vertragsverhandlungen
Fazit:
Ein Testat in Kombination von C5 und IDW PS 951 ist das deutsche Gütesiegel für Cloud-Anbieter. Es signalisiert: „Unsere Cloud-Kontrollen sind geprüft, dokumentiert und wirksam.”
Zielgruppe:
Unternehmen mit internationaler Kundschaft oder weltweiten Niederlassungen, die ihre Cloud-Dienste grenzüberschreitend anbieten.
Typisches Beispiel:
- Deutsche Anbieter mit Kunden in der EU oder den USA
- Internationale Rechenzentrumsbetreiber oder SaaS-Provider
- Multinationale Konzerne mit globalem Compliance-Fokus
Relevanz:
Hier empfiehlt sich die Kombination von C5 mit ISAE 3402 Typ 2 oder SOC 2 Type II. So wird ein deutscher Sicherheitsnachweis (C5) mit international anerkannten Audit-Frameworks verbunden.
Der Vorteil: Ein Audit deckt mehrere Standards gleichzeitig ab. Das reduziert Aufwand und ermöglicht eine globale Verwertbarkeit des Prüfberichts.
Vorteile:
- Internationale Anerkennung durch ISAE / SOC 2-Berichte
- Reduzierung redundanter Audits durch kombinierte Prüfverfahren
- Einheitlicher Nachweis für Datenschutz, Informationssicherheit und Governance
- Ideal für Anbieter mit Kunden in regulierten Märkten weltweit
Fazit:
Ein kombinierter C5- und SOC 2/ISAE 3402-Nachweis bietet maximale Flexibilität und Akzeptanz – national wie international. Er stärkt die Position als vertrauenswürdiger Cloud-Anbieter auf globalem Niveau.
CTA: Vertrauen beginnt mit geprüfter Sicherheit
Lassen Sie Ihre Cloud-Umgebung nach C5 prüfen – wir begleiten Sie von der Vorbereitung bis zum erfolgreichen Testat.
Zusammengefasst
| Szenario | Prüfstandard | Zielgruppe | Prüffokus | Nutzen |
|---|---|---|---|---|
| Eigene Cloud-Umgebung | C5 + IDW PS 860 | Unternehmen mit Private Clouds, Rechenzentren | Sicherheit, Governance, Compliance | Nachweis interner Sicherheit und Ordnungsmäßigkeit |
| Cloud-Dienstleister | C5 + IDW PS 951 | SaaS-/PaaS-/ IaaS-Anbieter | IKS, Betriebskontrollen, Verfügbarkeit | Vertrauen, Ausschreibungsvorteile, regulatorische Akzeptanz |
| Internationale Anbieter | C5 + ISAE 3402 / SOC 2 | Multinationale Cloud-Provider | Globale Compliance, Kontrollwirksamkeit | Internationale Anerkennung, Audit-Synergien |
Typ 1 vs. Typ 2: Unterschied in der Prüftiefe
Wie bei internationalen Standards (SOC 2, ISAE 3402) unterscheidet man auch beim C5-Testat:
- Typ 1-Bericht:
Prüfung der Angemessenheit und Implementierung der Kontrollen zu einem Stichtag.
→ Aussage: „Kontrollen sind konzipiert und eingerichtet.“ - Typ 2-Bericht:
Prüfung der Wirksamkeit der Kontrollen über einen Zeitraum (typisch 6–12 Monate).
→ Aussage: „Kontrollen funktionieren nachweislich im Betrieb.“
Ein Typ 2-Testat liefert daher den höchsten Vertrauensgrad – insbesondere bei Ausschreibungen, öffentlichen Auftraggebern und im Gesundheitswesen.
Fokus: Gesundheitsdaten und das Digitalisierungsgesetz (DigiG)
Gerade im Gesundheitswesen spielt das C5-Testat eine zentrale Rolle:
Laut Digitalisierungsgesetz (DigiG), das sich auf § 391 SGB V bezieht, dürfen Gesundheitsdaten in der Cloud nur verarbeitet werden, wenn der Anbieter ein gültiges C5-Testat vorweisen kann. Das bedeutet konkret: Ob Krankenkassen, Krankenhäuser, Labore oder Gesundheitsplattformen, sobald sensible Gesundheitsdaten verarbeitet werden, muss der Cloud-Dienst nach C5 Typ 2 geprüft und testiert sein.
So stellt der Gesetzgeber sicher, dass Vertraulichkeit, Integrität und Verfügbarkeit der Gesundheitsdaten auch in Cloud-Umgebungen gewahrt bleiben.
FAQs zum C5-Testat
Ein C5-Testat ist nicht generell gesetzlich verpflichtend, wird aber in vielen Branchen faktisch vorausgesetzt. Für Bundesbehörden und Gesundheitsdatenverarbeitung ist es verpflichtend, da es den BSI-Mindeststandard und die Anforderungen aus § 391 SGB V (DigiG) erfüllt.
Das Testat wird durch unabhängige Wirtschaftsprüfer oder IT-Prüfgesellschaften erstellt, die nach IDW-Standards (z. B. PS 860, PS 951) prüfen dürfen. Die SONNTAG IT Solutions kann Unternehmen dabei fachlich und technisch ganzheitlich begleiten.
Die Kosten hängen vom Umfang, der Komplexität und dem Typ (1 oder 2) ab. Kleinere Prüfungen starten im Bereich von 20.000 € - 40.000 €, umfassende Typ-2-Audits bei großen Cloud-Anbietern können teilweise über 100.000 € betragen. Ein vorbereitendes C5-Readiness-Assessment durch SONNTAG IT Solutions hilft, den Aufwand gezielt zu reduzieren.
Ein Typ 1-Audit kann innerhalb von 4–8 Wochen abgeschlossen werden. Ein Typ 2-Audit erfordert dagegen einen Prüfzeitraum von mindestens 6 Monaten, da hier die tatsächliche Wirksamkeit der Kontrollen nachgewiesen werden muss. Dies sind jedoch nur durchschnittliche Angaben, die es im konkreten Einzelfall zu spezifizieren gilt.
Ja – in der Praxis ist das sogar empfehlenswert. C5, SOC 2 und ISO 27001 decken ähnliche Themenfelder ab (Sicherheitsorganisation, Zugriffskontrolle, Incident Response), unterscheiden sich jedoch in Tiefe und Reportingform. Durch eine integrierte Prüfung lassen sich Synergien nutzen und mehrfache Audits vermeiden.
Sonntag & Partner
Partnerschaftsgesellschaft mbB
Wirtschaftsprüfer, Steuerberater, Rechtsanwälte
Schertlinstraße 23
86159 Augsburg
Telefon: +49 821 57058-0
Telefax: +49 821 57058-153
