Cybervize - Cybersecurity Beratung

Aufbau des BSI C5: Themenbereiche und Basis- versus Zusatzkriterien

BSI C5CISOISMS ManagerCloud-VerantwortlicheCompliance Manager

Kernaussage

Der BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist kein lineares Pflichtenheft, sondern ein strukturierter Kriterienkatalog. Wer ihn als Steuerungsinstrument nutzen will, muss seine innere Logik verstehen: Kriterien sind in fachliche Themenbereiche gruppiert, und innerhalb dieser Bereiche unterscheidet der C5 zwischen Basiskriterien für normalen Schutzbedarf und Zusatzkriterien für hohen und sehr hohen Schutzbedarf.

Diese Struktur ist die eigentliche Managementaussage des C5: Sicherheitsanforderungen werden nicht pauschal gestellt, sondern in Schutzbedarfsstufen gestaffelt und über eine Attestierung durch Wirtschaftsprüfer nachgewiesen. Für den CISO zählt nicht das Auswendiglernen einzelner Kriterien, sondern das Verständnis, wie die Korbstruktur den Scope, den Nachweisaufwand und die Aussagekraft eines C5-Berichts bestimmt.

Problem in der Praxis

In vielen Organisationen wird der C5 auf eine Zahl reduziert. Man hört, der Katalog habe eine bestimmte Anzahl Kriterien, und behandelt diese als Checkliste. Dabei geht verloren, dass der C5 zwei Dimensionen kombiniert: die thematische Gliederung und die Schutzbedarfsstaffelung.

Das führt zu zwei wiederkehrenden Fehlern. Erstens kaufen Cloud-Kunden einen C5-Bericht ein, ohne zu prüfen, ob er die Zusatzkriterien für hohen Schutzbedarf abdeckt, die ihr eigenes Risiko erfordert. Zweitens versuchen Anbieter, alle Kriterien gleich tief umzusetzen, statt entlang der Themenbereiche und Schutzbedarfsstufen zu priorisieren.

Die Folge ist Fehlinvestition auf beiden Seiten. Ein C5-Bericht, dessen Korbstruktur nicht zum tatsächlichen Schutzbedarf passt, erzeugt ein trügerisches Sicherheitsgefühl.

CISO-Einordnung

Der C5 ist ein Werk des BSI. Er ist kein zertifizierbarer Standard im ISO-Sinne, sondern ein Prüfstandard, dessen Erfüllung über eine Attestierung nach ISAE 3000 belegt wird. Diese Logik teilt der C5 mit SOC 2; im Unterschied zu den prinzipienbasierten Trust Services Criteria gibt der C5 jedoch einen festen Kriterienkatalog vor.

Drei Strukturmerkmale sollte der CISO als Konzept beherrschen:

  • Themenbereiche. Die Kriterien sind in fachliche Bereiche gruppiert, die typische Domänen der Informationssicherheit abbilden, etwa Organisation der Informationssicherheit, Personal, Asset- und Identitätsmanagement, Kryptografie, Kommunikations- und physische Sicherheit, Regelbetrieb, Umgang mit Vorfällen, Business Continuity und Compliance. Die exakten Bereichsbezeichnungen sind dem aktuellen BSI-Katalog zu entnehmen und nicht aus dem Gedächtnis zu rekonstruieren.
  • Basis- versus Zusatzkriterien. Basiskriterien beschreiben das Mindestmaß für normalen Schutzbedarf, soweit sie für Art und Ausgestaltung des Dienstes relevant sind. Zusatzkriterien sind der Ausgangspunkt für Kunden mit hohem oder sehr hohem Schutzbedarf. Man kann sich das als zwei aufeinander aufbauende Körbe vorstellen: Der Basiskorb trägt, der Zusatzkorb härtet ab.
  • Korrespondierende Kontrollen. Jedes Kriterium ist mit ergänzenden Hinweisen und Verweisen auf andere Standards hinterlegt. Das erleichtert das Mapping zu vorhandenen Kontrollsystemen, ersetzt aber nicht die eigenständige Umsetzung.

Die Nachweislogik folgt daraus unmittelbar: Geprüft wird nicht das Unternehmen als Ganzes, sondern das definierte System beziehungsweise der Service-Scope inklusive eingebundener Sub-Dienstleister. Der Wirtschaftsprüfer beurteilt entweder die Angemessenheit der Kontrollgestaltung zu einem Stichtag (Typ 1) oder zusätzlich die betriebliche Wirksamkeit über einen Zeitraum (Typ 2). Typ 2 hat die höhere Aussagekraft und wird von Kunden meist gefordert.

Umsetzungsperspektive

Sinnvoll ist es, die Struktur von oben nach unten zu durchdenken, statt mit Einzelkriterien zu beginnen.

Zuerst klärt die Organisation den Scope: Welcher Dienst, welche Schnittstellen, welche Sub-Dienstleister gehören in den Bericht, und ist Typ 1 oder Typ 2 das Ziel? Erst danach wird der Schutzbedarf bestimmt, denn er entscheidet, ob neben den Basiskriterien auch Zusatzkriterien in den Scope gehören.

Im nächsten Schritt werden die Themenbereiche als Landkarte genutzt, um vorhandene Kontrollen des internen Kontrollsystems den Kriterien zuzuordnen. Hier zahlt sich die Verweisstruktur des C5 aus: Wer bereits nach ISO/IEC 27001 oder vergleichbaren Rahmen arbeitet, kann viele Kontrollen über die korrespondierenden Verweise anbinden, ohne doppelt zu dokumentieren.

Mit der dritten Generation, dem C5:2026, hat das BSI diese Struktur verfeinert. Kriterien sind nun in inhaltlich abgegrenzte Unterkriterien gegliedert, was die Zuordnung zu einzelnen Kontrollen präziser macht. Zusatzkriterien werden klassifiziert, je nachdem ob sie eine Basisanforderung verschärfen oder sie um weitere Anforderungen ergänzen. Der C5:2026 ist zudem maschinenlesbar als YAML verfügbar und greift neuere Risikofelder wie Container-Management, Lieferkettensicherheit und Confidential Computing auf. Den genauen Kriterienumfang und die verbindlichen Bezeichnungen sollte man stets am offiziellen, aktuellen BSI-Katalog verifizieren.

Typische Fehler

  1. Den C5 als reine Kriterienzahl behandeln und die Themenbereich- und Schutzbedarfsdimension ignorieren.
  2. Einen C5-Bericht einkaufen oder erstellen, ohne zu prüfen, ob Zusatzkriterien für den tatsächlichen Schutzbedarf abgedeckt sind.
  3. Typ 1 und Typ 2 verwechseln und damit Aussagen über Wirksamkeit annehmen, die ein Stichtagsbericht nicht trägt.
  4. Den Scope inklusive Sub-Dienstleister unscharf lassen, sodass Verantwortungsgrenzen im Bericht offen bleiben.
  5. Alle Kriterien gleich tief umsetzen, statt entlang Bereichen und Schutzbedarf zu priorisieren.

Risiken und Trade-offs

Ein zu enger Scope senkt zwar den Prüfaufwand, kann aber genau die Dienste oder Sub-Dienstleister ausklammern, auf die es dem Kunden ankommt. Ein zu breiter Scope erhöht Kosten und Komplexität, ohne zwingend mehr Sicherheit zu belegen.

Bei den Schutzbedarfsstufen besteht der Trade-off zwischen Marktbreite und Tiefe. Ein Bericht, der nur Basiskriterien abdeckt, ist günstiger und schneller, schließt aber Kunden mit hohem Schutzbedarf aus. Die Zusatzkriterien zu adressieren erhöht Aufwand und Reifegrad, öffnet aber regulierte Branchen und die öffentliche Hand.

Schließlich besteht das Risiko der Scheinpräzision. Die feinere Unterkriterien-Struktur des C5:2026 erleichtert das Mapping, verleitet aber dazu, Vollständigkeit auf Papier mit gelebter Wirksamkeit zu verwechseln. Die Attestierung beurteilt Kontrollen, nicht Dokumentenmengen.

Entscheidungspunkte

  • Welcher Schutzbedarf der eigenen oder der Kundendaten ist maßgeblich, und folgt daraus, dass Zusatzkriterien in den Scope gehören?
  • Ist Typ 1 als erster Schritt ausreichend, oder fordert der Markt von Beginn an Typ 2?
  • Welche Sub-Dienstleister gehören in den Scope, und wie werden Verantwortungsgrenzen sauber abgebildet?
  • Soll bereits auf den C5:2026 hin geplant werden, oder genügt zunächst der C5:2020 als geltender Prüfmaßstab?
  • Welche vorhandenen Kontrollen lassen sich über die korrespondierenden Verweise anbinden, statt neu aufgebaut zu werden?

Praktische Empfehlungen

  1. Lesen Sie den C5 als zweidimensionale Struktur: erst Themenbereiche, dann Basis- versus Zusatzkriterien.
  2. Leiten Sie den Scope und die Schutzbedarfsstufe aus dem Geschäftsrisiko ab, nicht aus dem Wunsch nach einer möglichst kleinen Prüfung.
  3. Klären Sie frühzeitig die Verantwortungsabgrenzung zwischen Anbieter, Kunde und Sub-Dienstleister.
  4. Nutzen Sie die korrespondierenden Verweise, um vorhandene ISMS-Kontrollen anzubinden, statt parallel zu dokumentieren.
  5. Verifizieren Sie verbindliche Kriterienzahlen, Bezeichnungen und Fristen immer am aktuellen BSI-Katalog, bevor Sie sie in Verträgen oder Berichten zusichern.

Relevante Normreferenzen

  • BSI C5 (Cloud Computing Compliance Criteria Catalogue): Prüfstandard des BSI für die Sicherheit von Cloud-Diensten; frei nutzbar mit Quellenangabe.
  • ISO/IEC 27001 und 27002: vom C5 referenzierte Managementsystem- und Maßnahmenstandards (Referenz, keine Wortlautübernahme).
  • ISAE 3000 (Revised): Prüfstandard, nach dem die C5-Attestierung erfolgt.

Häufige Fragen

Was unterscheidet Basis- von Zusatzkriterien im C5?+

Basiskriterien decken das Mindestmaß für normalen Schutzbedarf ab. Zusatzkriterien sind der Ausgangspunkt für Kunden mit hohem oder sehr hohem Schutzbedarf und werden zusätzlich geprüft.

Wie ist der C5 strukturiert?+

Er gruppiert Kriterien in fachliche Themenbereiche und staffelt sie nach Schutzbedarf. Jedes Kriterium ist mit Verweisen auf korrespondierende Kontrollen anderer Standards hinterlegt.

Was bedeutet Typ 1 versus Typ 2?+

Typ 1 beurteilt die Angemessenheit der Kontrollgestaltung zu einem Stichtag. Typ 2 beurteilt zusätzlich die Wirksamkeit über einen Zeitraum und hat die höhere Aussagekraft.

Muss ich alle C5-Kriterien kennen?+

Nein. Maßgeblich ist das Verständnis der Struktur. Verbindliche Kriterien und Bezeichnungen sind dem aktuellen BSI-Katalog zu entnehmen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen BSI C5 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: c5-002.