Cybervize - Cybersecurity Beratung

C5 als Anbieter erreichen: die Vorbereitung

BSI C5CISOCloud-Sicherheitsverantwortliche beim AnbieterISMS ManagerCompliance- und Auditverantwortliche

Kernaussage

C5 ist kein Zertifikat, das ein Cloud-Diensteanbieter beantragt, sondern eine Attestierung, die ein Wirtschaftsprüfer (WP) nach ISAE 3000 über das vom Anbieter beschriebene System und seine Kontrollen erteilt. Der Erfolg einer C5-Attestierung entscheidet sich daher nicht in der Prüfung selbst, sondern in der Vorbereitung: im sauber geschnittenen Scope, in der Schließung der Kontrolllücken und in durchgängiger Evidenz über den Betrieb.

Für das Management heißt das, C5 als Aufbauprojekt mit anschließendem Dauerbetrieb zu verstehen, nicht als einmaligen Prüfungstermin. Wer Scope, Kontrollen und Nachweise erst kurz vor der Prüfung zusammenstellt, riskiert dokumentierte Abweichungen ("exceptions") oder ein eingeschränktes Prüfurteil. Wer von Beginn an einen Beobachtungszeitraum mit belastbarer Evidenz plant, kommt vom Stichtagsnachweis (Typ 1) geordnet zum Wirksamkeitsnachweis (Typ 2).

Problem in der Praxis

Viele Anbieter starten die C5-Vorbereitung mit der Frage, welcher Wirtschaftsprüfer beauftragt werden soll, und überspringen damit die Entscheidungen, die den Aufwand und das Ergebnis bestimmen. Die Prüfung wird als Termin geplant, nicht als Konsequenz eines funktionierenden internen Kontrollsystems.

Typische Folgen sind ein unscharfer Scope, der entweder zu breit ist und unnötige Dienste und Sub-Dienstleister einschließt, oder zu eng und dadurch für Kunden nicht verwertbar. Häufig werden Kontrollen erst kurz vor dem Beobachtungszeitraum eingeführt, sodass keine durchgängigen Nachweise entstehen, und Evidenz wird manuell und punktuell erzeugt statt als Nebenprodukt des Regelbetriebs. In der Folge zeigt der Typ-2-Bericht Abweichungen, die vermeidbar gewesen wären.

Hinzu kommt die Verwechslung von Typ 1 und Typ 2: Ein Typ-1-Bericht zum Stichtag wird als ausreichend angesehen, obwohl die Abnehmer eine Wirksamkeitsaussage über einen Zeitraum erwarten, und der Weg vom einen zum anderen wird nicht vorab geplant.

CISO-Einordnung

Aus Anbietersicht ist C5 ein Kriterienkatalog des BSI für die Sicherheit von Cloud-Diensten, dessen Erfüllung über eine WP-Attestierung nachgewiesen wird. Nur Wirtschaftsprüfer beziehungsweise WP-Gesellschaften dürfen C5-Prüfungen durchführen und die Attestierung erteilen. Die Vorbereitung gliedert sich für den CISO in fünf zusammenhängende Entscheidungsfelder.

  • Scope und Themenbereiche. Festzulegen ist, welches System, welche Dienste, welche Regionen und welche Sub-Dienstleister in den Prüfgegenstand fallen. Die Kriterien sind in Themenbereiche gegliedert; in der Generation C5:2020 sind es 121 Kriterien in 17 Themenbereichen (offiziell vom BSI bestätigt), die organisatorische, personelle, physische und technische Felder vom Sicherheitsmanagement bis zur Vorfallbehandlung und Compliance abdecken.
  • Korbzuordnung. C5 unterscheidet Basiskriterien als Mindestmaß für normalen Schutzbedarf von Zusatzkriterien für hohen bzw. sehr hohen Schutzbedarf. Der Anbieter muss anhand seiner Zielkunden entscheiden, welchen Korb er abdeckt.
  • Gap. Vor die Prüfung gehört ein Readiness- oder Gap-Assessment, das die Differenz zwischen Soll und Ist sichtbar macht und priorisiert.
  • Kontrollen und Evidenz. Die Kontrollen werden im internen Kontrollsystem (IKS) gestaltet, betrieben und mit Nachweisen unterlegt.
  • Wirtschaftsprüfer und Berichtstyp. Auswahl des WP und Entscheidung zwischen Typ 1 und Typ 2 als Einstieg beziehungsweise Ziel.

Wichtig ist die Verantwortungsabgrenzung. C5 prüft das vom Anbieter definierte System inklusive seiner Sub-Dienstleister; in der Generation C5:2026 ist die Abgrenzung zwischen Anbieter, Kunde und Sub-Dienstleister ausdrücklich geschärft. Der Anbieter sollte die Pflichten, die beim Kunden verbleiben (geteilte Verantwortung), bewusst beschreiben, weil sie die eigene Kontrolllandschaft begrenzen.

Umsetzungsperspektive

Die Vorbereitung folgt high-level einem wiederkehrenden Ablauf statt einer Termin-Logik.

  1. Scoping. System und Service definieren, Sub-Dienstleister einbeziehen, Korbzuordnung festlegen und den Berichtstyp (Typ 1 oder Typ 2) entscheiden. Der Scope sollte die real angebotenen Leistungen sauber abdecken, ohne unnötig auszuufern.
  2. Gap-Assessment. Die bestehenden Kontrollen gegen die einschlägigen C5-Kriterien abgleichen, Lücken priorisieren und mit Verantwortlichen und Terminen hinterlegen.
  3. Kontrollen gestalten und betreiben. Die Maßnahmen im IKS verankern, sodass sie nicht nur dokumentiert sind, sondern im Regelbetrieb laufen und Nachweise erzeugen.
  4. Evidenz aufbauen. Nachweise als Nebenprodukt laufender Prozesse anlegen, mit Datum, Verantwortung und Nachvollziehbarkeit, sodass sie über den gesamten Beobachtungszeitraum durchgängig vorliegen.
  5. WP-Prüfung nach ISAE 3000. Der Wirtschaftsprüfer prüft und erteilt den Attestierungsbericht mit Prüfurteil, gegebenenfalls inklusive Ausnahmen.

Auf dem Weg zu Typ 2 ist Typ 1 ein sinnvoller Einstieg: Er beurteilt die Angemessenheit der Kontrollgestaltung zu einem Stichtag und eignet sich, um die Kontrolllandschaft für einen neuen Dienst zu etablieren. Typ 2 setzt darauf auf und beurteilt zusätzlich die betriebliche Wirksamkeit über einen Zeitraum. Der Anbieter sollte Beobachtungszeitraum, Berichtskadenz und Evidenzgewinnung von Beginn an so planen, dass der Übergang ohne Bruch gelingt.

Bei der Auswahl des Wirtschaftsprüfers zählen Erfahrung mit C5 und ISAE 3000, Cloud- und Technologieverständnis, Unabhängigkeit, Kapazität für einen Zeitraumnachweis sowie die Möglichkeit, verwandte Attestierungen (etwa SOC 2) kombiniert durchzuführen und so Doppelaufwand zu vermeiden.

Schließlich gehört die Versionslage in die Planung. Bis zum Greifen der Umstellungstermine bleibt C5:2020 der maßgebliche Prüfmaßstab; verpflichtend wird C5:2026 für Typ-1-Prüfungen mit Stichtagen ab dem 1. Juni 2027 und für Typ-2-Prüfungen mit Zeiträumen, die ab dem 1. Juni 2027 beginnen, wobei eine frühere freiwillige Anwendung möglich ist. C5:2026 erweitert den Kriterienumfang und adressiert zusätzliche Risikofelder wie Container-Management, Lieferketten, Kryptografie und Confidential Computing sowie höhere Transparenzanforderungen zu Datenstandorten und Souveränität. Für verbindliche Kriterienzahlen und Termine ist der aktuelle C5-Katalog des BSI heranzuziehen.

Typische Fehler

  1. Die Prüfung wird als Termin geplant, bevor Scope, Kontrollen und Evidenz stehen.
  2. Der Scope ist zu breit (unnötiger Aufwand) oder zu eng (für Kunden nicht verwertbar).
  3. Die Korbzuordnung passt nicht zum Schutzbedarf der Zielkunden, sodass nur Basiskriterien abgedeckt sind, obwohl hoher Schutzbedarf gefragt ist.
  4. Kontrollen werden erst kurz vor dem Beobachtungszeitraum eingeführt, sodass keine durchgängige Evidenz entsteht.
  5. Evidenz wird manuell und punktuell erzeugt statt als Nebenprodukt des Regelbetriebs.
  6. Der Übergang von Typ 1 zu Typ 2 wird nicht vorab geplant, der Beobachtungszeitraum nicht eingerichtet.
  7. Der Wirtschaftsprüfer wird ohne Blick auf C5-Erfahrung und Kombinationsmöglichkeiten ausgewählt.

Risiken und Trade-offs

Ein Typ-1-Einstieg ist schneller und günstiger erreichbar und macht die Kontrolllandschaft sichtbar, liefert aber keine Wirksamkeitsaussage über die Zeit. Typ 2 erfordert Beobachtungszeitraum, durchgängige Evidenz und mehr Aufwand, liefert dafür die belastbarere Aussage, die Abnehmer in der Regel verlangen. Beim Scope steht ein enger, kostengünstiger Zuschnitt gegen einen breiten, marktfähigen Umfang: zu eng mindert die Verwertbarkeit, zu breit erhöht Aufwand und Abweichungsrisiko.

Schließlich ist eine Attestierung kein Dauerzustand. Sie bezieht sich auf einen Stichtag oder Zeitraum und muss durch laufenden Kontrollbetrieb und wiederkehrende Prüfungen aufrechterhalten werden. Die Vorbereitung endet daher nicht mit dem ersten Bericht.

Entscheidungspunkte

  • Welcher Scope (System, Dienste, Regionen, Sub-Dienstleister) deckt die real angebotenen Leistungen ab, ohne unnötig auszuufern?
  • Welche Korbzuordnung (Basis- bzw. Zusatzkriterien) ist für den Schutzbedarf der Zielkunden erforderlich?
  • Starten wir mit Typ 1 als Einstieg oder direkt mit Typ 2, weil Kunden oder Regulierung den Wirksamkeitsnachweis verlangen?
  • Welcher Beobachtungszeitraum und welche Berichtskadenz passen zu den Erwartungen der Abnehmer?
  • Nach welchen Kriterien wählen wir den Wirtschaftsprüfer, und lohnt eine kombinierte Prüfung mit verwandten Attestierungen?
  • Welche C5-Version ist maßgeblich, und wie planen wir den Übergang von C5:2020 zu C5:2026?

Praktische Empfehlungen

  1. Planen Sie C5 als Aufbauprojekt mit Dauerbetrieb, nicht als einmaligen Prüfungstermin.
  2. Schneiden Sie den Scope auf die real angebotenen Dienste und die wesentlichen Sub-Dienstleister zu und legen Sie die Korbzuordnung am Schutzbedarf der Zielkunden fest.
  3. Führen Sie vor der Prüfung ein Gap-Assessment durch und schließen Sie Lücken mit klarem Owner und Termin.
  4. Verankern Sie Kontrollen im IKS und machen Sie Evidenz zum Nebenprodukt laufender Prozesse, nicht zur Vorbereitungslast.
  5. Planen Sie den Weg von Typ 1 zu Typ 2 mit Beobachtungszeitraum und durchgängiger Evidenz von Beginn an.
  6. Wählen Sie den Wirtschaftsprüfer nach C5- und ISAE-3000-Erfahrung, Cloud-Verständnis und der Möglichkeit kombinierter Prüfungen.
  7. Beobachten Sie die Versionslage und planen Sie den Übergang von C5:2020 zu C5:2026 früh ein; verbindliche Details am aktuellen BSI-Katalog verifizieren.

Relevante Normreferenzen

  • BSI C5 (Cloud Computing Compliance Criteria Catalogue): Kriterienkatalog des BSI für die Sicherheit von Cloud-Diensten; Nachweis über WP-Attestierung. BSI-Werk, frei nutzbar mit Quellenangabe. Für verbindliche Kriterien, Themenbereiche und Geltungstermine den aktuellen C5-Katalog des BSI heranziehen.
  • ISAE 3000 (Revised): internationaler Prüfstandard für Prüfungen außerhalb der Abschlussprüfung; bildet die methodische Grundlage der C5-Attestierung (Referenz).
  • ISO/IEC 27001 / 27002 / 27017: von C5 referenzierte Kontrollstandards (reine Referenz, kein Wortlaut); für C5:2020 in der Ausgabe 27002:2013, C5:2026 bezieht sich auf ISO/IEC 27001:2022.
  • SOC 2 (AICPA Trust Services Criteria): vergleichbare Attestierungslogik, nur als Querverweis.

Häufige Fragen

Wie erreicht ein Anbieter C5?+

Nicht über ein Zertifikat, sondern indem er sein System und seine Kontrollen von einem Wirtschaftsprüfer nach ISAE 3000 attestieren lässt. Nur Wirtschaftsprüfer beziehungsweise WP-Gesellschaften dürfen die Attestierung erteilen.

Womit beginnt die Vorbereitung?+

Mit dem Scope: welches System, welche Dienste, welche Regionen und welche Sub-Dienstleister abgedeckt werden, sowie mit der Korbzuordnung von Basis- und Zusatzkriterien anhand des Schutzbedarfs der Zielkunden.

Wozu dient ein Gap-Assessment?+

Es macht die Differenz zwischen den C5-Anforderungen und dem Ist-Zustand sichtbar, priorisiert die Lücken und ordnet sie Verantwortlichen und Terminen zu, bevor der Wirtschaftsprüfer prüft.

Sollte man mit Typ 1 oder Typ 2 starten?+

Typ 1 ist ein sinnvoller Einstieg für einen neuen Dienst und beurteilt die Kontrollgestaltung zu einem Stichtag. Typ 2 beurteilt zusätzlich die Wirksamkeit über einen Zeitraum und wird von Kunden meist verlangt; der Übergang ist von Beginn an zu planen.

Worauf kommt es bei der Auswahl des Wirtschaftsprüfers an?+

Auf Erfahrung mit C5 und ISAE 3000, Cloud- und Technologieverständnis, Unabhängigkeit, Kapazität für einen Zeitraumnachweis und die Möglichkeit, verwandte Attestierungen kombiniert durchzuführen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen BSI C5 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: c5-007.