Deutscher Markt2026-02-099 min Lesezeit

BSI C5 Cloud-Zertifizierung: Was Finanzinstitute wissen müssen

Auch verfügbar auf:EnglishFrançaisEspañolNederlandsItaliano

Inhaltsverzeichnis

  1. 01Einleitung
  2. 02Was ist BSI C5?
  3. 03Die 17 Anforderungsbereiche im Detail
  4. 04Typ-1- und Typ-2-Prüfungen
  5. 05Zusammenspiel mit DORA und anderen Rahmenwerken
  6. 06Compliance-Automatisierung mit Matproof
  7. 07Umsetzungsfahrplan
  8. 08Häufig gestellte Fragen

BSI C5 Cloud-Zertifizierung: Was Finanzinstitute wissen müssen

Einleitung

Wenn Finanzinstitute Cloud-Dienste nutzen, stellt sich unweigerlich die Frage nach der Sicherheit und Nachweisbarkeit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Cloud Computing Compliance Criteria Catalogue -- kurz BSI C5 -- einen Anforderungskatalog geschaffen, der genau diese Lücke schließt. Seit der Erstveröffentlichung 2016 und der umfassenden Aktualisierung 2020 hat sich C5 zum maßgeblichen Standard für Cloud-Sicherheit in Deutschland und zunehmend in ganz Europa entwickelt.

Für Banken, Versicherungen und andere Finanzdienstleister ist C5 dabei nicht nur ein freiwilliger Maßstab. Die BaFin verweist in ihren aufsichtlichen Anforderungen explizit auf C5 als geeigneten Nachweis für die Sicherheit von Cloud-Auslagerungen. Mit dem Inkrafttreten der DORA-Verordnung (Digital Operational Resilience Act) gewinnt C5 zusätzlich an Bedeutung, da Artikel 28 DORA konkrete Anforderungen an die Überwachung von IKT-Drittdienstleistern stellt -- und C5-Berichte hierzu einen anerkannten Nachweis liefern.

Dieser Beitrag erläutert die 17 Anforderungsbereiche des BSI C5, zeigt die Unterschiede zwischen Typ-1- und Typ-2-Prüfungen auf und beschreibt, wie Finanzinstitute die Nachweissammlung mit Matproof effizient automatisieren können.

Was ist BSI C5?

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein vom BSI entwickelter Kriterienkatalog, der Mindestanforderungen an die Informationssicherheit von Cloud-Diensten definiert. Anders als ISO 27001 wurde C5 spezifisch für Cloud-Umgebungen konzipiert und berücksichtigt die besonderen Risiken, die mit der Auslagerung von Daten und Prozessen in die Cloud verbunden sind.

C5 basiert auf international anerkannten Standards wie ISO/IEC 27001, der Cloud Controls Matrix (CCM) der Cloud Security Alliance und den SOC-2-Kriterien des AICPA. Der Katalog geht jedoch über diese Standards hinaus, indem er zusätzliche Anforderungen integriert, die den europäischen Rechtsrahmen -- insbesondere die DSGVO -- berücksichtigen.

Die aktuelle Version C5:2020 umfasst 114 Basiskriterien und 52 zusätzliche Kriterien. Die Basiskriterien definieren das Mindestniveau an Sicherheit, das jeder Cloud-Anbieter erfüllen muss. Die zusätzlichen Kriterien richten sich an Anbieter, die besonders schutzbedürftige Daten verarbeiten -- eine Kategorie, in die praktisch alle Finanzdienstleister fallen.

Ein wesentliches Merkmal von C5 ist die Anforderung an Transparenz. Cloud-Anbieter müssen offenlegen, in welchen Rechtsordnungen Daten verarbeitet werden, welche Unterauftragnehmer eingebunden sind und welche Maßnahmen sie bei Sicherheitsvorfällen ergreifen. Diese Transparenzanforderungen decken sich mit den Informationspflichten, die DORA in Artikel 28 Absatz 3 für IKT-Drittdienstleister vorsieht.

Die C5-Prüfung erfolgt durch einen unabhängigen Wirtschaftsprüfer und mündet in einen Prüfbericht, der von Cloud-Kunden -- also auch von Finanzinstituten -- eingesehen werden kann. Damit schafft C5 eine standardisierte Grundlage für die Due-Diligence-Prüfung von Cloud-Anbietern.

Die 17 Anforderungsbereiche im Detail

Der BSI C5 gliedert sich in 17 Anforderungsbereiche, die das gesamte Spektrum der Cloud-Sicherheit abdecken. Für Finanzinstitute sind dabei bestimmte Bereiche von besonderer Relevanz.

1. Organisation der Informationssicherheit (OIS): Definiert die Governance-Strukturen, einschließlich der Benennung eines Informationssicherheitsbeauftragten und der Integration von Sicherheit in die Unternehmensführung. Für Finanzinstitute spiegelt dies die Anforderungen der MaRisk AT 7.2 wider.

2. Sicherheitsrichtlinien und Arbeitsanweisungen (SP): Fordert dokumentierte Richtlinien, die regelmäßig überprüft und aktualisiert werden. Dies korrespondiert mit den Dokumentationspflichten nach DORA Art. 6 Abs. 8.

3. Personal (HR): Umfasst Sicherheitsüberprüfungen, Schulungen und Maßnahmen bei Personalwechsel. Im Finanzsektor besonders relevant aufgrund der Anforderungen nach § 25a Abs. 1 KWG.

4. Asset-Management (AM): Fordert eine vollständige Inventarisierung aller Cloud-Assets. Dies deckt sich mit der DORA-Anforderung nach einem IKT-Asset-Register gemäß Art. 8 Abs. 1.

5. Physische Sicherheit (PS): Definiert Anforderungen an Rechenzentren, Zutrittskontrolle und Umgebungssicherheit. Für EU-Datenresidenz besonders relevant.

6. Regelbetrieb (OPS): Umfasst Change Management, Kapazitätsplanung und Trennung von Entwicklungs- und Produktivumgebungen.

7. Identitäts- und Berechtigungsmanagement (IDM): Fordert starke Authentifizierung und das Prinzip der geringsten Berechtigung -- eine Kernforderung für den Finanzsektor.

8. Kryptographie und Schlüsselmanagement (CRY): Definiert Anforderungen an Verschlüsselung und Schlüsselverwaltung, einschließlich der Kontrolle über Schlüsselmaterial.

9. Kommunikationssicherheit (COS): Betrifft Netzwerksicherheit, Segmentierung und Schutz der Datenübertragung.

10. Portabilität und Interoperabilität (PI): Fordert die Möglichkeit zur Datenmigration und Vermeidung von Vendor Lock-in -- ein Aspekt, den auch DORA Art. 28 Abs. 8 adressiert.

11. Beschaffung und Lieferantenmanagement (SSO): Regelt den Umgang mit Unterauftragnehmern und Lieferketten. Im Kontext von DORA Art. 29 zur Überwachung von Unterauftragsvergaben besonders bedeutsam.

12. Umgang mit Sicherheitsvorfällen (SIM): Definiert Melde- und Eskalationsprozesse, die mit den DORA-Meldepflichten nach Art. 19 harmonieren müssen.

13. Betriebskontinuität (BCM): Fordert Notfallpläne und Wiederherstellungsprozeduren, die den Anforderungen an die operative Resilienz nach DORA Art. 11 entsprechen.

14. Compliance (COM): Stellt sicher, dass gesetzliche und vertragliche Anforderungen eingehalten werden.

15. Überwachung und Protokollierung (LOG): Fordert lückenlose Protokollierung sicherheitsrelevanter Ereignisse.

16. Entwicklung und Wartung (DEV): Definiert sichere Entwicklungspraktiken für Cloud-Dienste.

17. Datenschutz (DPR): Adressiert DSGVO-spezifische Anforderungen, einschließlich der Verarbeitung personenbezogener Daten und der Rechte Betroffener.

Typ-1- und Typ-2-Prüfungen

Die C5-Prüfung unterscheidet zwei Prüfungstypen, die sich grundlegend in ihrer Aussagekraft unterscheiden.

Typ-1-Prüfung: Bewertet die Angemessenheit der implementierten Kontrollen zu einem bestimmten Stichtag. Der Prüfer bestätigt, dass die dokumentierten Maßnahmen geeignet sind, die C5-Anforderungen zu erfüllen. Eine Typ-1-Prüfung ist der schnellere Weg zum Nachweis, bietet aber keine Aussage über die tatsächliche Wirksamkeit der Kontrollen im laufenden Betrieb.

Typ-2-Prüfung: Bewertet zusätzlich die operative Wirksamkeit der Kontrollen über einen definierten Prüfzeitraum -- in der Regel sechs bis zwölf Monate. Der Prüfer überprüft anhand von Stichproben und Tests, ob die Kontrollen im Betrachtungszeitraum tatsächlich wie dokumentiert funktioniert haben.

Für Finanzinstitute, die Cloud-Dienste für regulierte Geschäftsprozesse nutzen, ist in der Regel eine Typ-2-Prüfung erforderlich. Die BaFin erwartet in ihren Auslagerungsanforderungen nach MaRisk AT 9 den Nachweis der laufenden Wirksamkeit von Sicherheitsmaßnahmen -- was nur durch eine Typ-2-Prüfung erbracht werden kann.

Zusammenspiel mit DORA und anderen Rahmenwerken

Die Verbindung zwischen BSI C5 und der DORA-Verordnung ist für Finanzinstitute von strategischer Bedeutung. DORA Art. 28 Abs. 1 verpflichtet Finanzunternehmen, das IKT-Drittparteienrisiko als integralen Bestandteil ihres IKT-Risikomanagements zu steuern. C5-Berichte liefern hierfür eine standardisierte Bewertungsgrundlage.

Konkret verlangt DORA Art. 28 Abs. 4 eine sorgfältige Bewertung vor dem Abschluss vertraglicher Vereinbarungen mit IKT-Drittdienstleistern. Ein aktueller C5-Typ-2-Bericht kann wesentliche Teile dieser Due-Diligence-Prüfung abdecken, da er die Sicherheitsmaßnahmen des Cloud-Anbieters unabhängig bestätigt.

Darüber hinaus ergänzt C5 die Anforderungen der MaRisk (insbesondere AT 9 zu Auslagerungen), der BAIT (Bankaufsichtliche Anforderungen an die IT) und der DSGVO. Finanzinstitute, die bereits über eine ISO-27001-Zertifizierung verfügen, profitieren von erheblichen Überschneidungen mit den C5-Anforderungen -- rund 60 Prozent der C5-Basiskriterien lassen sich auf ISO-27001-Controls abbilden.

Auch im europäischen Kontext gewinnt C5 an Bedeutung. Die ENISA hat den Katalog als Referenz für das European Cybersecurity Certification Scheme for Cloud Services (EUCS) herangezogen, was C5 perspektivisch zu einem EU-weiten Standard machen könnte.

Compliance-Automatisierung mit Matproof

Die Nachweissammlung für eine C5-Prüfung ist traditionell ein manueller und zeitintensiver Prozess. Für jedes der 114 Basiskriterien und 52 zusätzlichen Kriterien müssen Nachweise dokumentiert, gesammelt und dem Prüfer bereitgestellt werden. Matproof automatisiert diesen Prozess gezielt.

Automatisierte Nachweissammlung: Matproof verbindet sich direkt mit Ihrer Cloud-Infrastruktur und sammelt Nachweise für C5-Anforderungsbereiche wie Identitätsmanagement (IDM), Kryptographie (CRY), Protokollierung (LOG) und Betriebskontinuität (BCM) automatisiert. Konfigurationen, Zugriffsprotokolle und Sicherheitsrichtlinien werden kontinuierlich erfasst und den entsprechenden C5-Kriterien zugeordnet.

EU-Datenresidenz: Als EU-First-Plattform mit Datenverarbeitung in deutschen Rechenzentren erfüllt Matproof die Anforderungen an die Datenresidenz, die insbesondere für den Finanzsektor von Bedeutung sind. Ihre Compliance-Nachweise verlassen zu keinem Zeitpunkt den europäischen Rechtsraum.

Cross-Framework-Mapping: Matproof bildet C5-Kriterien automatisch auf verwandte Frameworks ab -- einschließlich DORA, ISO 27001 und NIS2. Ein Nachweis, der für ein C5-Kriterium gesammelt wird, wird automatisch den entsprechenden Anforderungen in anderen Rahmenwerken zugeordnet. Dies reduziert den Gesamtaufwand für Finanzinstitute, die mehrere Compliance-Programme parallel betreiben, erheblich.

Prüfungsvorbereitung: Matproof generiert prüfungsfertige Nachweispakete, die dem Format entsprechen, das Wirtschaftsprüfer für C5-Typ-1- und Typ-2-Prüfungen erwarten. Dies verkürzt die Prüfungsdauer und reduziert Rückfragen.

Umsetzungsfahrplan

Die Implementierung einer C5-konformen Cloud-Nutzung erfordert einen strukturierten Ansatz. Der folgende Fahrplan hat sich in der Praxis bewährt.

Phase 1 -- Gap-Analyse (4-6 Wochen): Bewerten Sie Ihre aktuelle Cloud-Nutzung gegen die 17 C5-Anforderungsbereiche. Identifizieren Sie Lücken zwischen bestehenden Kontrollen und C5-Anforderungen. Priorisieren Sie die Bereiche, die den größten Handlungsbedarf aufweisen.

Phase 2 -- Kontrollenimplementierung (8-12 Wochen): Schließen Sie die in der Gap-Analyse identifizierten Lücken. Implementieren Sie fehlende technische und organisatorische Maßnahmen. Dokumentieren Sie alle Kontrollen gemäß den C5-Anforderungen.

Phase 3 -- Nachweissammlung und Monitoring (laufend): Richten Sie eine kontinuierliche Nachweissammlung ein -- idealerweise automatisiert über Matproof. Stellen Sie sicher, dass alle 17 Anforderungsbereiche durch aktuelle Nachweise abgedeckt sind.

Phase 4 -- Typ-1-Prüfung (4-6 Wochen): Beauftragen Sie einen qualifizierten Wirtschaftsprüfer mit der Durchführung einer Typ-1-Prüfung. Stellen Sie die gesammelten Nachweise strukturiert bereit.

Phase 5 -- Typ-2-Betriebsphase (6-12 Monate): Betreiben Sie die implementierten Kontrollen über den geforderten Zeitraum. Dokumentieren Sie die laufende Wirksamkeit durch kontinuierliches Monitoring.

Häufig gestellte Fragen

Ist eine C5-Zertifizierung für Finanzinstitute verpflichtend?
Eine C5-Zertifizierung ist nicht per se gesetzlich vorgeschrieben. Allerdings verweist die BaFin in ihren Anforderungen an Cloud-Auslagerungen (vgl. MaRisk AT 9, BAIT) auf C5 als geeigneten Nachweis. Finanzinstitute, die Cloud-Dienste für regulierte Geschäftsprozesse nutzen, kommen daher de facto nicht um eine C5-Bewertung herum. Mit DORA Art. 28 steigt der Druck zusätzlich, die Sicherheit von IKT-Drittdienstleistern systematisch nachzuweisen.

Wie unterscheidet sich BSI C5 von ISO 27001?
ISO 27001 ist ein allgemeiner Standard für Informationssicherheits-Managementsysteme (ISMS), während C5 spezifisch auf Cloud-Dienste zugeschnitten ist. C5 enthält zusätzliche Anforderungen an Transparenz, Datenportabilität und Cloud-spezifische Risiken, die in ISO 27001 nicht explizit adressiert werden. Beide Standards ergänzen sich jedoch, und eine bestehende ISO-27001-Zertifizierung erleichtert die Erfüllung der C5-Anforderungen erheblich.

Wie lange dauert die Vorbereitung auf eine C5-Prüfung?
Die Vorbereitungsdauer hängt vom Reifegrad Ihrer bestehenden Sicherheitsmaßnahmen ab. Für Organisationen mit einer bestehenden ISO-27001-Zertifizierung oder einem etablierten ISMS ist eine Gap-Analyse und Kontrollenimplementierung in 3-4 Monaten realistisch. Für eine Typ-2-Prüfung kommt ein Betriebszeitraum von 6-12 Monaten hinzu. Mit Matproof kann der Aufwand für die Nachweissammlung um bis zu 70 Prozent reduziert werden.

Welche Kosten entstehen für eine C5-Prüfung?
Die Kosten variieren je nach Umfang und Komplexität des Cloud-Dienstes. Für die Prüfung durch einen Wirtschaftsprüfer sollten Finanzinstitute mit 50.000 EUR bis 150.000 EUR rechnen. Hinzu kommen interne Aufwände für die Vorbereitung und Nachweissammlung, die durch Automatisierung mit Matproof erheblich gesenkt werden können.

BSI C5Cloud-SicherheitC5 Zertifizierung FinanzinstituteCloud Computing Compliance Criteria Catalogue

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern