Die C5-Attestierung: ISAE 3000, Typ 1 vs. Typ 2
Kernaussage
Der C5-Nachweis ist kein Zertifikat, sondern eine Attestierung durch einen Wirtschaftsprüfer (WP) nach dem internationalen Prüfstandard ISAE 3000 (Revised). Es gibt zwei Berichtstypen: Typ 1 beurteilt die Angemessenheit der Kontrollgestaltung zu einem Stichtag, Typ 2 beurteilt zusätzlich die betriebliche Wirksamkeit der Kontrollen über einen Zeitraum.
Eine belastbare Sicherheitsaussage liefert erst Typ 2. Ein Stichtagsurteil sagt aus, dass Kontrollen sinnvoll entworfen sind. Erst der Zeitraumnachweis sagt aus, dass sie über Monate auch tatsächlich gewirkt haben. Wer einen C5-Bericht liest oder verantwortet, muss Typ, Zeitraum, Scope und festgestellte Abweichungen zusammen bewerten, nicht das Vorhandensein eines Dokuments.
Problem in der Praxis
In der Praxis wird C5 häufig wie ein binäres Siegel behandelt: Hat der Anbieter C5, ja oder nein? Diese Frage überspringt die Unterscheidung, die die Aussagekraft erst erzeugt.
Typische Folgen auf Kundenseite: Ein Typ-1-Bericht wird als Wirksamkeitsnachweis akzeptiert, obwohl er nur das Design zu einem Stichtag beurteilt. Der abgedeckte Zeitraum wird nicht geprüft, sodass eine veraltete Aussage als aktuell gilt. Der Scope passt nicht zum tatsächlich genutzten Dienst. Oder die dokumentierten Ausnahmen (exceptions) werden überlesen, obwohl genau dort die relevanten Schwächen stehen.
Auf Anbieterseite wird die Attestierung als einmaliges Prüfprojekt geplant. Kontrollen werden kurz vor dem Beobachtungszeitraum eingeführt, ohne dass über den gesamten Zeitraum belastbare Nachweise entstehen. Das führt im Typ-2-Bericht zu Abweichungen oder einem eingeschränkten Prüfurteil.
CISO-Einordnung
C5 ist ein Kriterienkatalog des BSI für die Sicherheit von Cloud-Diensten. Anders als ISO/IEC 27001 ist C5 kein im klassischen Sinne zertifizierbarer Managementsystem-Standard. Der Nachweis erfolgt über eine Attestierung: Ein Cloud-Diensteanbieter beschreibt sein System und seine Kontrollen, und ein unabhängiger Wirtschaftsprüfer beurteilt diese nach ISAE 3000 und erteilt ein Prüfurteil. Nur Wirtschaftsprüfer beziehungsweise WP-Gesellschaften dürfen C5-Prüfungen durchführen und die Attestierung erteilen.
Daraus folgt die wichtigste Einordnung für das Management: Der Wert liegt im Prüfurteil und in der zugrunde liegenden Prüfung, nicht im Label. Drei Dimensionen entscheiden über die Aussagekraft.
- Berichtstyp: Typ 1 bewertet, ob die Kontrollen zu einem Stichtag angemessen gestaltet sind (point in time). Typ 2 bewertet zusätzlich, ob die Kontrollen über einen definierten Zeitraum wirksam betrieben wurden (period of time). Typ 2 hat die höhere Aussagekraft und wird von Kunden meist gefordert.
- Scope: Welches System, welche Dienste und welche Sub-Dienstleister sind abgedeckt, und deckt sich das mit der konkreten Nutzung.
- Prüfergebnis: Ist das Urteil unmodifiziert, oder enthält es Einschränkungen und dokumentierte Abweichungen, und welche Kontrollen sind betroffen.
Die C5-Kriterien sind in Themenbereiche gegliedert (in der Generation C5:2020 sind es 121 Kriterien in 17 Themenbereichen, offiziell vom BSI bestätigt) und unterscheiden Basiskriterien für normalen Schutzbedarf von Zusatzkriterien für hohen Schutzbedarf. Eine neue Generation C5:2026 ist veröffentlicht; für verbindliche Angaben zu Kriterienzahl, Struktur und Geltungsterminen ist der jeweils aktuelle C5-Katalog des BSI heranzuziehen. Welche Version dem Bericht zugrunde liegt, gehört immer mitgeprüft.
Umsetzungsperspektive
Der Prüfprozess folgt high-level einem wiederkehrenden Ablauf, unabhängig vom Berichtstyp.
- Scoping: Festlegung von System und Service, Einbezug der Sub-Dienstleister sowie Entscheidung für Typ 1 oder Typ 2.
- Readiness und Gap-Assessment: Kontrollen werden gestaltet und im internen Kontrollsystem (IKS) umgesetzt, Lücken vor der eigentlichen Prüfung geschlossen.
- Beobachtungszeitraum: Bei Typ 2 läuft ein definierter Zeitraum, in dem die Kontrollen betrieben werden und Evidenz entsteht.
- WP-Prüfung nach ISAE 3000: Der Wirtschaftsprüfer prüft und erteilt den Attestierungsbericht mit Prüfurteil, gegebenenfalls inklusive Ausnahmen.
Der Berichtsaufbau ist für beide Typen konzeptionell ähnlich und verbindet die Darstellung des Anbieters mit dem unabhängigen Urteil des Prüfers. In der Praxis enthält der Bericht typischerweise das Prüfurteil des Wirtschaftsprüfers, eine Systembeschreibung des Anbieters (Scope, Dienste, Sub-Dienstleister und die eingerichteten Kontrollen) sowie die Zuordnung der Kontrollen zu den C5-Kriterien. Der zentrale Unterschied liegt im Wirksamkeitsteil: Nur im Typ-2-Bericht stellt der Prüfer die durchgeführten Prüfhandlungen und deren Ergebnisse über den Zeitraum dar, einschließlich festgestellter Abweichungen. Häufig benennt der Bericht zudem Pflichten, die beim Cloud-Kunden verbleiben (geteilte Verantwortung), die also nicht der Anbieter, sondern der Nutzer selbst umsetzen muss.
Für die Kundenseite heißt Umsetzung daher vor allem: den Bericht aktiv lesen statt ablegen. Prüfurteil, Berichtstyp, abgedeckter Zeitraum, Scope, Abweichungen und kundenseitige Pflichten gehören in die Lieferanten- und Auslagerungssteuerung übernommen und mit dem eigenen Schutzbedarf abgeglichen.
Typische Fehler
- Typ 1 wird als Wirksamkeitsnachweis missverstanden, obwohl er nur die Kontrollgestaltung zu einem Stichtag beurteilt.
- Der abgedeckte Zeitraum und das Berichtsdatum werden nicht geprüft, sodass eine veraltete Aussage als aktuell gilt.
- Der attestierte Scope wird nicht mit dem tatsächlich genutzten Dienst abgeglichen.
- Dokumentierte Abweichungen und Einschränkungen im Prüfurteil werden überlesen.
- Kundenseitige Pflichten aus der geteilten Verantwortung werden übersehen und bleiben unumgesetzt.
- Auf Anbieterseite wird die Attestierung als Stichtagsprojekt geplant, statt durchgängige Evidenz über den Beobachtungszeitraum zu erzeugen.
Risiken und Trade-offs
Typ 1 ist schneller und günstiger erreichbar und kann ein sinnvoller Einstieg sein, etwa für einen neuen Dienst. Er liefert aber keine Aussage zur Wirksamkeit über die Zeit. Typ 2 erfordert einen Beobachtungszeitraum, durchgängige Evidenz und mehr Prüfaufwand, liefert dafür die belastbarere Aussage.
Ein zu eng gefasster Scope senkt Aufwand und Kosten, kann aber relevante Dienste oder Sub-Dienstleister ausklammern und damit die Verwertbarkeit für den Kunden mindern. Ein zu breiter Scope erhöht Aufwand und Abweichungsrisiko. Der Trade-off liegt in einem Scope, der die real genutzten Leistungen sauber abdeckt.
Schließlich gilt: Eine Attestierung ist eine Aussage über einen vergangenen Zeitraum durch einen Dritten. Sie ersetzt nicht die laufende eigene Lieferantensteuerung und nicht die Bewertung gegen den eigenen Schutzbedarf.
Entscheidungspunkte
- Reicht für den Anwendungsfall ein Typ-1-Einstieg, oder ist von Beginn an Typ 2 erforderlich, weil Kunden oder Regulierung den Wirksamkeitsnachweis verlangen.
- Welcher Beobachtungszeitraum und welche Berichtskadenz passen zu den Erwartungen der Abnehmer.
- Wie wird der Scope geschnitten, damit er die tatsächlich genutzten Dienste und die wesentlichen Sub-Dienstleister abdeckt.
- Welche Version des C5-Katalogs ist maßgeblich, und welche Geltungstermine sind zu beachten (am aktuellen BSI-Katalog verifizieren).
- Wie werden empfangene C5-Berichte strukturiert in die eigene Auslagerungs- und Risikosteuerung überführt.
Praktische Empfehlungen
- Lesen Sie zuerst Berichtstyp, Zeitraum und Prüfurteil, bevor Sie eine Attestierung als Nachweis akzeptieren.
- Behandeln Sie Abweichungen als Risikoinformation: bewerten Sie die betroffenen Kontrollen gegen Ihren Schutzbedarf.
- Gleichen Sie den attestierten Scope mit Ihrer realen Nutzung und den eingebundenen Sub-Dienstleistern ab.
- Erfassen und erledigen Sie kundenseitige Pflichten aus der geteilten Verantwortung.
- Planen Sie als Anbieter Typ 2 als Dauerbetrieb mit durchgängiger Evidenz, nicht als einmaliges Stichtagsprojekt.
- Klären Sie frühzeitig, ob eine kombinierte Prüfung mit verwandten Attestierungen sinnvoll ist, um Doppelaufwand zu vermeiden.
Relevante Normreferenzen
- BSI C5 (Cloud Computing Compliance Criteria Catalogue): Kriterienkatalog des BSI für die Sicherheit von Cloud-Diensten; Nachweis über WP-Attestierung. BSI-Werk, frei nutzbar mit Quellenangabe. Für verbindliche Kriterien und Geltungstermine den aktuellen C5-Katalog des BSI heranziehen.
- ISAE 3000 (Revised): internationaler Prüfstandard für Prüfungen außerhalb der Abschlussprüfung; bildet die methodische Grundlage der C5-Attestierung (Referenz).
- ISO/IEC 27001: zertifizierbarer Managementsystem-Standard; C5 referenziert ISO-Controls, folgt aber einer anderen Nachweislogik (Attestierung statt Zertifizierung). Referenz, keine Wortlautübernahme.
- SOC 2 (AICPA Trust Services Criteria): gleiche Attestierungslogik (ISAE 3000 beziehungsweise SSAE/AICPA, Typ 1/Typ 2); prinzipienbasiert gegenüber dem festen C5-Kriterienkatalog. Referenz.
Häufige Fragen
Ist C5 ein Zertifikat?+
Nein. C5 wird über eine Attestierung durch einen Wirtschaftsprüfer nach ISAE 3000 nachgewiesen, nicht über eine Zertifizierung im ISO-Sinne.
Was ist der Unterschied zwischen Typ 1 und Typ 2?+
Typ 1 beurteilt die Angemessenheit der Kontrollgestaltung zu einem Stichtag. Typ 2 beurteilt zusätzlich die betriebliche Wirksamkeit über einen Zeitraum und hat damit die höhere Aussagekraft.
Wer darf eine C5-Attestierung erteilen?+
Nur Wirtschaftsprüfer beziehungsweise WP-Gesellschaften dürfen C5-Prüfungen durchführen und die Attestierung erteilen.
Wie hängt C5 mit SOC 2 zusammen?+
Beide folgen derselben Attestierungslogik (ISAE 3000 beziehungsweise SSAE/AICPA, Typ 1/Typ 2). C5 arbeitet mit einem festen Kriterienkatalog, SOC 2 mit prinzipienbasierten Trust Services Criteria. Bei großen Anbietern gibt es häufig parallele oder kombinierte Prüfungen.
Worauf sollte ein Kunde im C5-Bericht zuerst achten?+
Auf Berichtstyp, abgedeckten Zeitraum, Scope, Prüfurteil und dokumentierte Abweichungen sowie auf die Pflichten, die beim Kunden selbst verbleiben.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen BSI C5 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: c5-003.
