BSI C5 im Verhältnis zu ISO 27001 und IT-Grundschutz
Kernaussage
BSI C5, ISO/IEC 27001 und IT-Grundschutz verfolgen dasselbe Ziel mit unterschiedlichen Vehikeln. ISO 27001 und IT-Grundschutz führen zu einem **Zertifikat über ein Managementsystem** (ISMS), ausgestellt von einer akkreditierten Stelle. C5 führt zu einer **Attestierung über die Gestaltung und (bei Typ 2) Wirksamkeit der Kontrollen eines konkreten Cloud-Dienstes**, erteilt durch einen Wirtschaftsprüfer nach dem Prüfstandard ISAE 3000 (Revised).
Diese Nachweise konkurrieren nicht, sie ergänzen sich. Wer das Verhältnis versteht, baut ein gemeinsames Kontrollfundament auf und nutzt denselben Aufwand mehrfach, statt drei Programme parallel zu betreiben.
Problem in der Praxis
In vielen Organisationen entstehen ISO 27001, IT-Grundschutz und C5 als getrennte Projekte mit eigenen Teams und Auditkalendern. Die Folge sind doppelte Risikoanalysen, doppelte Kontrolldokumentation und Evidenz, die kurz vor jedem Audit neu gesucht wird.
Verschärft wird das durch Begriffsverwirrung. C5 wird intern oft als "Zertifizierung" verkauft. Das ist falsch: C5 ist kein zertifizierbarer Standard im ISO-Sinne, sondern ein Prüfstandard, der über eine WP-Attestierung nachgewiesen wird. Wer das verwechselt, plant falsche Rollen ein und ordnet das Ergebnis falsch ein.
CISO-Einordnung
Drei Unterscheidungen sind führungsrelevant.
Gegenstand. ISO 27001 und IT-Grundschutz zertifizieren ein Managementsystem im Geltungsbereich der Organisation. C5 attestiert einen Service-Scope eines Cloud-Anbieters, inklusive Sub-Dienstleister und mit Abgrenzung der Verantwortung zwischen Anbieter, Kunde und Sub-Service-Provider.
Aussagelogik. Ein ISMS-Zertifikat bestätigt ein funktionierendes Steuerungssystem. Ein C5-Attestat sagt bei Typ 1, dass die Kontrollen zu einem Stichtag angemessen gestaltet sind, und bei Typ 2 zusätzlich, dass sie über einen Zeitraum wirksam waren. Typ 2 hat die höhere Aussagekraft und wird von Kunden meist erwartet.
Aussteller. ISO-Zertifikate kommen von akkreditierten Zertifizierungsstellen. C5-Attestierungen dürfen ausschließlich Wirtschaftsprüfer bzw. WP-Gesellschaften erteilen, mit derselben Prüf-Logik wie SOC 2.
Der inhaltliche Hebel liegt in der Konstruktion von C5: Der Katalog liefert zu seinen Kriterien Hinweise auf korrespondierende Kontrollen anderer Standards. C5:2020 verweist unter anderem auf ISO/IEC 27001/27002, ISO/IEC 27017, das IT-Grundschutz-Kompendium und die CSA Cloud Controls Matrix; C5:2026 bezieht sich auf ISO/IEC 27001:2022 und die CSA CCM v4, berücksichtigt die NIS2-Richtlinie und ist strukturell an das EU-Schema EUCS angelehnt. Diese Referenzlogik trägt die Mehrfachnutzung von Nachweisen.
Umsetzungsperspektive
Praktikabel ist ein gemeinsames Kontrollfundament statt paralleler Silos.
- Ein Kontrollinventar. Pflegen Sie Kontrollen einmal und mappen Sie sie auf ISO 27001/27002, IT-Grundschutz und C5-Themenbereiche. C5:2020 strukturiert die Kriterien in 17 Themenbereiche mit Basis- und Zusatzkriterien; C5:2026 zerlegt Kriterien zusätzlich in Unterkriterien.
- Schutzbedarf als Steuergröße. C5 trennt Basiskriterien (normaler Schutzbedarf) und Zusatzkriterien (hoher bis sehr hoher Schutzbedarf). Das passt zur Schutzbedarfsfeststellung des IT-Grundschutz und zur risikobasierten ISMS-Steuerung.
- Evidenz aus dem Regelbetrieb. Erzeugen Sie Nachweise als Nebenprodukt laufender Prozesse, sodass dieselben Belege ISMS-Audit und WP-Prüfung bedienen.
- Scope bewusst schneiden. Der ISMS-Scope ist organisationsweit, der C5-Scope dienstspezifisch.
Für C5:2026 ist eine Kreuzreferenztabelle zu internationalen Standards vorgesehen; ihr genauer Verfügbarkeitsstand ist beim BSI zu prüfen. Solange Sie nicht auf eine offizielle Tabelle zurückgreifen können, arbeiten Sie mit eigenen, geprüften Mappings.
Typische Fehler
- C5 wird als "Zertifizierung" bezeichnet und mit einem ISO-Zertifikat gleichgesetzt.
- Drei getrennte Programme laufen parallel, mit doppelter Risikoanalyse und doppelter Evidenz.
- Ein ISO-27001-Zertifikat wird als Cloud-Sicherheitsnachweis angeboten, obwohl ein dienstspezifisches Attestat gefragt ist.
- Der Versionsbezug fehlt: C5:2020 und C5:2026 werden vermischt.
- Der Unterschied zwischen Typ 1 und Typ 2 wird ignoriert.
Risiken und Trade-offs
Ein gemeinsames Fundament spart Aufwand, erzeugt aber Abhängigkeiten: Zu eng gefasste Mappings lassen ein C5-Kriterium als "abgedeckt" gelten, obwohl die ISMS-Kontrolle den dienstspezifischen Kontext nicht trifft. Mappings sind Orientierung, kein Automatismus für Konformität. Ein Zertifikat über das Managementsystem ersetzt zudem keine Aussage über die Wirksamkeit der Kontrollen eines einzelnen Dienstes.
Hinzu kommt der Versions-Trade-off: C5:2026 erweitert Risikofelder wie Container-Management, Lieferketten-Aspekte, Kryptografie und Confidential Computing. Ein früher Umstieg signalisiert Reife und kostet Anpassung, ein später nähert sich den verbindlichen Anwendungszeitpunkten.
Entscheidungspunkte
- Welcher Nachweis wird von Markt und Aufsicht verlangt: ISMS-Zertifikat, Cloud-Attestat oder beides?
- Bauen wir ein gemeinsames Kontrollfundament mit Mappings oder führen wir getrennte Programme?
- Welche Cloud-Dienste fallen in den C5-Scope, und wer ist Service-Owner inklusive Sub-Dienstleister?
- Brauchen unsere Kunden Typ 1 oder Typ 2, und passt der Zeitplan zum Beobachtungszeitraum?
- Steigen wir früh auf C5:2026 um oder bleiben wir zunächst bei C5:2020?
Praktische Empfehlungen
- Sprechen Sie präzise: ISO 27001 und IT-Grundschutz führen zu einem Zertifikat, C5 zu einer WP-Attestierung.
- Pflegen Sie ein zentrales Kontrollinventar mit Mappings zu ISO 27001/27002, IT-Grundschutz und C5, statt pro Audit neu zu dokumentieren.
- Nutzen Sie eine gemeinsame Risiko- und Schutzbedarfsbasis und ordnen Sie Basis- und Zusatzkriterien dem Schutzbedarf zu.
- Klären Sie pro Kundenanforderung Typ 1 versus Typ 2 früh und planen Sie den Beobachtungszeitraum ein.
- Fixieren Sie den Versionsbezug; C5:2026 ist für Prüfungen mit Stichtagen bzw. Zeiträumen ab dem 1. Juni 2027 verbindlich, eine frühere freiwillige Anwendung ist möglich. Verbindliche Details aus dem aktuellen C5-Katalog des BSI heranziehen.
Relevante Normreferenzen
- BSI C5 (Cloud Computing Compliance Criteria Catalogue): Prüfstandard des BSI für Cloud-Sicherheit, Nachweis über WP-Attestierung nach ISAE 3000 (Revised); Versionen C5:2020 und C5:2026.
- ISO/IEC 27001: Referenz für das zertifizierbare ISMS (C5:2020 Fassung 2013, C5:2026 Fassung 2022); nur Referenz.
- ISO/IEC 27002 (C5:2020: Fassung 2013, C5:2026: Fassung 2022) und ISO/IEC 27017: von C5 referenzierte Kontroll- bzw. Cloud-Kontrollkataloge; nur Referenz.
- BSI IT-Grundschutz: von C5 referenzierte ISMS-Methodik und Bausteine des IT-Grundschutz-Kompendiums.
- SOC 2 / AICPA Trust Services Criteria: gleiche Attestierungslogik (ISAE 3000), prinzipienbasiert; nur Referenz.
Häufige Fragen
Ist C5 eine Zertifizierung wie ISO 27001?+
Nein. ISO 27001 zertifiziert ein Managementsystem über eine akkreditierte Stelle. C5 ist ein Prüfstandard, der über eine WP-Attestierung nach ISAE 3000 nachgewiesen wird.
Reicht ein ISO-27001-Zertifikat als Cloud-Sicherheitsnachweis?+
Oft nicht. Ein ISMS-Zertifikat belegt systematische Steuerung, aber keine Wirksamkeit der Kontrollen eines konkreten Dienstes. Regulierte Kunden fragen häufig nach einem C5-Attestat, meist Typ 2.
Kann ich denselben Nachweis für ISO, IT-Grundschutz und C5 nutzen?+
Teilweise. C5 referenziert ISO 27001/27002, IT-Grundschutz und CSA CCM, sodass viele Kontrollen und Evidenzen mehrfach verwendbar sind. Mappings ersetzen aber die dienstspezifische Prüfung nicht.
Was gilt: C5:2020 oder C5:2026?+
C5:2020 bleibt bis zum Greifen der neuen Anwendungszeitpunkte maßgeblich. C5:2026 ist für Prüfungen mit Stichtagen bzw. Zeiträumen ab dem 1. Juni 2027 verbindlich, eine frühere freiwillige Anwendung ist möglich.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen BSI C5 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: c5-005.
