BSI C5 Typ 2 Testat: im Gesundheitsbereich Pflicht

BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI), der Mindestanforderungen an ein sicheres Cloud Computing definiert. Ein C5 Typ 2 Testat gilt als bester Nachweis für ein effektives Sicherheitsmanagement in der Cloud. In der Gesundheitsbranche etwa ist vom 1. Juli 2025 an grundsätzlich solch ein BSI C5 Testat des Typs 2 erforderlich. Auch die Anbieter von SaaS-Lösungen im Gesundheitsbereich müssen dann diese Anforderungen erfüllen. 

Weil Arvato Systems gemäß C5 Typ 2 testiert ist, kann es diesen Softwareherstellern auch weiterhin den Weg zu cloudbasierten Angeboten ebnen – als deutscher Anbieter.

Der Kriterienkatalog C5 des BSI spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, an deren Prüfer und an ihre Kunden. Das BSI hat seinen C5 Katalog 2016 erstmals veröffentlicht und 2019 grundlegend überarbeitet. Ein wichtiges Ziel von C5 ist es, Cloud-Kunden in ihrem Risikomanagement zu unterstützen und ihnen bei der Auswahl geeigneter Cloud-Technologien und -Partner Orientierung zu geben. BSI C5 zielt grundsätzlich auf alle Arten von Cloud-Service-Modellen: seien dies Software-as-a-Service (SaaS)-, Platform-as-a-Service (PaaS)- oder Infrastructure-as-a-Service (IaaS)-Leistungen. Zugleich bedeutet dies, dass ein Cloud-Computing-Workload nur dann C5-konform sein kann, wenn alle drei beteiligten Anbieterunternehmen – Softwarehersteller, Cloud Service Provider und Cloud Anbieter – über das entsprechende C5 Testat verfügen.

Der C5 Katalog gliedert sich in insgesamt 17 Kontrollbereiche mit mehr als 100 Anforderungen. Zu den wichtigsten dieser Kontrollbereiche und Anforderungen zählen: 

• Organisation der Informationssicherheit: Definierte Rollen und Verantwortlichkeiten, Sicherheitsrichtlinien, Information Security Management System (ISMS)
• Personalmanagement: Sicherheitsüberprüfungen bei Mitarbeitenden, Schulungen und Sensibilisierungen
• Zugriffssteuerung: Zugriff nur nach dem „Need to know“-Prinzip, Mehrfaktor-Authentifizierung
• Kryptografie: Starke Verschlüsselung etwa bei Datenübertragung und -speicherung sowie Schlüsselmanagement
• Physische Sicherheit: Zugangskontrollen zu Rechenzentren und Videoüberwachung
• Betriebssicherheit: Patch-Management, Logging, Sicherheitsvorfälle werden dokumentiert und behandelt
• Kommunikationssicherheit: Netzwerksegmentierung, verschlüsselte Verbindungen, Schutz vor Man-in-the-Middle-Angriffen
• Lieferantenbeziehungen: Sicherheitsanforderungen an Subunternehmer wie IaaS- und Plattformanbieter
• Cloudspezifische Anforderungen: Trennung von Mandanten (Multi-Tenancy), Kontrolle über Speicherorte der Daten sowie Schnittstellen-Sicherheit
• Compliance und Audit: Nachvollziehbarkeit aller Maßnahmen, Unterstützung von Audits, C5 Testierung durch einen Wirtschaftsprüfer oder eine Prüfstelle.

Möchte ein Cloud-Service-Anbieter ein vollständiges C5 Testat erhalten, ist dazu eine externe Prüfung durch ein zertifiziertes Wirtschaftsprüfungsunternehmen erforderlich. Wichtig ist in diesem Zusammenhang, dass das BSI in seinem C5 Katalog zwei verschiedene Kategorien von Testaten unterscheidet: eine „Prüfung und Berichterstattung“ vom Typ 1 und eine strengere vom Typ 2. Arvato Systems verfügt für seine Rechenzentren über ein C5 Testierung des Typs 2, welche die Wirtschaftsprüfungsgesellschaft HLB Stückmann, Bielefeld, vorgenommen hat. Während ein C5 Testat vom Typ 1 bestätigt, dass ein Cloud-Anbieter generell die Methodik des BSI C5-Katalogs befolgt, belegt ein C5 Typ 2 Testat, dass dieses Unternehmen C5 tatsächlich wirksam umgesetzt hat. So heißt es im C5 Katalog explizit: „Nach Auffassung des BSI ist eine Prüfung und Berichterstattung vom Typ 2 erforderlich, um eine angemessene Aussagekraft zu erzeugen.“ Zudem betont das BSI ausdrücklich, dass es sich bei einem BSI C5 Testat nicht um ein BSI C5 Zertifikat handele, denn das BSI selbst fungiert nicht als Zertifizierungsstelle für Auditoren. Die Verlässlichkeit eines C5 Testats hänge also nur vom Auditor ab. Zumindest fordert der C5 Katalog aber ausdrücklich, dass das auditierende Unternehmen nach den Prüfungsstandards IDW PS 880 oder ISAE 3000 zertifiziert sein muss. 

In immer mehr Branchen und regulatorischen Kontexten spielen C5 Testierungen eine Rolle, wobei der Trend sich deutlich vom C5 Typ 1 Testat weg und zum Typ 2 Testat hinbewegt. 

• So sind Bundesbehörden schon seit 2020 dazu verpflichtet, die C5 Kriterien bei der Nutzung von Cloud-Angeboten als Mindeststandard gemäß § 8 BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) zugrunde zu legen – das Typ 1 Testat ist hier für Anbieter Pflicht, wenngleich ein Typ 2 Testat bevorzugt wird.
• In der Gesundheitsbranche wiederum galt, dass bis zum 30. Juni 2025 ein BSI C5 Typ 1 Testat noch ausreichend war – vom 1. Juli 2025 an ist es das nicht mehr. Der Grund dafür ist § 393 SGB V (Fünftes Buch Sozialgesetzbuch), der den Cloud-Einsatz im Gesundheitswesen und die Verarbeitung von Sozial- und Gesundheitsdaten regelt. Absatz 4 fordert dort explizit ein aktuelles Testat nach C5 Typ 2 oder ein entsprechendes, dem C5 Standard zumindest gleichwertiges Zertifikat. Dies gilt für alle Cloud-Computing-Dienste, die der Verarbeitung von Sozial- und Gesundheitsdaten dienen und die Krankenkassen und ihre Verbände sowie die Leistungserbringer der Krankenkassen wie etwa Ärzte und Apotheken oder deren Verbände in Anspruch nehmen.
• Bekanntlich unterliegen auch die Betreiber Kritischer Infrastruktur (KRITIS) besonderen Pflichten, aufgrund einer ganzen Reihe an Gesetzen und Verordnungen. Man darf davon ausgehen, dass IT-Sicherheit auf dem Stand der Technik zu gewährleisten, jedenfalls bedeutet, dass KRITIS-Unternehmen ausschließlich Cloud-Computing-Angebote nutzen dürfen, die nach C5 Typ 2 zertifiziert sind. Übrigens können auch Cloud-Service-Provider selbst zu den KRITIS-Unternehmen zählen. Dann sind sie nach § 8a BSIG ohnehin dazu verpflichtet, einschlägige Audits und Zertifizierungen nachzuweisen – und dies nicht nur mit Blick auf die Anforderungen ihrer Kunden. Fest steht: Im KRITIS-Kontext ist für Cloud-Anbieter ein Testat nach BSI C5 Typ 2 praktisch unverzichtbar.

Inzwischen gibt es eine Vielzahl von Anforderungen und Faktoren, die eine Nutzung von Cloud-Computing erforderlich machen, was häufig die technischen Fähigkeiten der Hyperscaler einschließt. Nur stellt gerade in den streng regulierten Branchen die unabdingbare Compliance mitunter eine gewisse Herausforderung dar. Ein Cloud-Anbieter wie Amazon Web Services (AWS) verfügt zwar schon seit 2016 über ein BSI C5 Testat, aktuell sogar über ein Typ 2 Testat, es ist allerdings auf bestimmte deutsche Regionen wie etwa Frankfurt beschränkt. Wichtig ist auch, dass ein C5 Testat des Typs 2 jährlich erneuert werden muss, um seine Gültigkeit zu behalten. 

Wenn Unternehmen aus einer streng regulierten Branche wie etwa dem Gesundheitsbereich ein Maximum an IT-Sicherheit, Datensicherheit, Cloud-Souveränität und Kontrolle behalten wollen, kann es durchaus sinnvoll sein, zumindest Teile ihrer Workloads einem deutschen AWS-Partner mit eigenem Rechenzentrum und aktuellem C5 Typ 2 Testat zu übertragen. In solch einem Modell könnte beispielsweise der Löwenanteil der Workloads bei AWS verbleiben, während sicherheitskritische Backups eigens ins Rechenzentrum des deutschen AWS-Partners laufen.