BSI C5 Typ 2 Testat: im Gesundheitsbereich Pflicht
Typ 2 – auch für KRITIS und Behörden
BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI), der Mindestanforderungen an ein sicheres Cloud Computing definiert. Ein C5 Typ 2 Testat gilt als bester Nachweis für ein effektives Sicherheitsmanagement in der Cloud. In der Gesundheitsbranche etwa ist vom 1. Juli 2025 an grundsätzlich solch ein BSI C5 Testat des Typs 2 erforderlich. Auch die Anbieter von SaaS-Lösungen im Gesundheitsbereich müssen dann diese Anforderungen erfüllen.
Weil Arvato Systems gemäß C5 Typ 2 testiert ist, kann es diesen Softwareherstellern auch weiterhin den Weg zu cloudbasierten Angeboten ebnen – als deutscher Anbieter.
Der Kriterienkatalog C5 des BSI spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, an deren Prüfer und an ihre Kunden. Das BSI hat seinen C5 Katalog 2016 erstmals veröffentlicht und 2019 grundlegend überarbeitet. Ein wichtiges Ziel von C5 ist es, Cloud-Kunden in ihrem Risikomanagement zu unterstützen und ihnen bei der Auswahl geeigneter Cloud-Technologien und -Partner Orientierung zu geben. BSI C5 zielt grundsätzlich auf alle Arten von Cloud-Service-Modellen: seien dies Software-as-a-Service (SaaS)-, Platform-as-a-Service (PaaS)- oder Infrastructure-as-a-Service (IaaS)-Leistungen. Zugleich bedeutet dies, dass ein Cloud-Computing-Workload nur dann C5-konform sein kann, wenn alle drei beteiligten Anbieterunternehmen – Softwarehersteller, Cloud Service Provider und Cloud Anbieter – über das entsprechende C5 Testat verfügen.

C5 Kontrollbereiche und C5 Anforderungen
Der C5 Katalog gliedert sich in insgesamt 17 Kontrollbereiche mit mehr als 100 Anforderungen. Zu den wichtigsten dieser Kontrollbereiche und Anforderungen zählen:
- Organisation der Informationssicherheit: Definierte Rollen und Verantwortlichkeiten, Sicherheitsrichtlinien, Information Security Management System (ISMS)
- Personalmanagement: Sicherheitsüberprüfungen bei Mitarbeitenden, Schulungen und Sensibilisierungen
- Zugriffssteuerung: Zugriff nur nach dem „Need to know“-Prinzip, Mehrfaktor-Authentifizierung
- Kryptografie: Starke Verschlüsselung etwa bei Datenübertragung und -speicherung sowie Schlüsselmanagement
- Physische Sicherheit: Zugangskontrollen zu Rechenzentren und Videoüberwachung
- Betriebssicherheit: Patch-Management, Logging, Sicherheitsvorfälle werden dokumentiert und behandelt
- Kommunikationssicherheit: Netzwerksegmentierung, verschlüsselte Verbindungen, Schutz vor Man-in-the-Middle-Angriffen
- Lieferantenbeziehungen: Sicherheitsanforderungen an Subunternehmer wie IaaS- und Plattformanbieter
- Cloudspezifische Anforderungen: Trennung von Mandanten (Multi-Tenancy), Kontrolle über Speicherorte der Daten sowie Schnittstellen-Sicherheit
- Compliance und Audit: Nachvollziehbarkeit aller Maßnahmen, Unterstützung von Audits, C5 Testierung durch einen Wirtschaftsprüfer oder eine Prüfstelle.
Ein C5 Testat ist kein Zertifikat
Möchte ein Cloud-Service-Anbieter ein vollständiges C5 Testat erhalten, ist dazu eine externe Prüfung durch ein zertifiziertes Wirtschaftsprüfungsunternehmen erforderlich. Wichtig ist in diesem Zusammenhang, dass das BSI in seinem C5 Katalog zwei verschiedene Kategorien von Testaten unterscheidet: eine „Prüfung und Berichterstattung“ vom Typ 1 und eine strengere vom Typ 2. Arvato Systems verfügt für seine Rechenzentren über ein C5 Testierung des Typs 2, welche die Wirtschaftsprüfungsgesellschaft HLB Stückmann, Bielefeld, vorgenommen hat. Während ein C5 Testat vom Typ 1 bestätigt, dass ein Cloud-Anbieter generell die Methodik des BSI C5-Katalogs befolgt, belegt ein C5 Typ 2 Testat, dass dieses Unternehmen C5 tatsächlich wirksam umgesetzt hat. So heißt es im C5 Katalog explizit: „Nach Auffassung des BSI ist eine Prüfung und Berichterstattung vom Typ 2 erforderlich, um eine angemessene Aussagekraft zu erzeugen.“ Zudem betont das BSI ausdrücklich, dass es sich bei einem BSI C5 Testat nicht um ein BSI C5 Zertifikat handele, denn das BSI selbst fungiert nicht als Zertifizierungsstelle für Auditoren. Die Verlässlichkeit eines C5 Testats hänge also nur vom Auditor ab. Zumindest fordert der C5 Katalog aber ausdrücklich, dass das auditierende Unternehmen nach den Prüfungsstandards IDW PS 880 oder ISAE 3000 zertifiziert sein muss.
Das BSI C5 Typ 1 Testat …
- nimmt vor allem das technische und organisatorische Design der IT-Sicherheitsmaßnahmen des Cloud-Anbieters in den Fokus
- basiert hauptsächlich auf einer Eigenerklärung des Cloud-Anbieters
- prüft, ob Konzepte, Vereinbarungen und Prozesse vorhanden sind, die die IT-Sicherheitsanforderungen des C5 Katalogs erfüllen
- ist allerdings auch weniger aussagekräftig, was die Wirksamkeit der Sicherheitsmaßnahmen angeht
- reicht in einigen Branchen schon jetzt oder in naher Zukunft nicht mehr aus, um die regulatorischen Anforderungen im Hinblick auf sicheres Cloud-Computing zu erfüllen: etwa im Bereich der kritischen Infrastruktur (KRITIS) oder in der Gesundheitsbranche.
Das BSI C5 Typ 2 Testat …
- untersucht vor allem die Wirksamkeit der Maßnahmen, die der Cloud-Anbieter im Einklang mit den Anforderungen nach BSI C5 getroffen hat
- umfasst eine tiefgreifende Überprüfung durch einen zertifizierten Wirtschaftsprüfer, die etwa drei Monate dauert
- prüft die Effektivität der C5 Sicherheitskontrollen und ihre konsequente Anwendung über einen längeren Zeitraum
- beinhaltet Stichprobenkontrollen der Technik, der Managementprozesse und des Personals
- ist für KRITIS-Organisationen schon jetzt und für Unternehmen aus dem Gesundheitswesen ab Juli 2025 ein verbindliches Kriterium bei der Wahl eines Anbieters von SaaS-, PaaS- oder IaaS-Services.
Wo Regulatorik das C5 Typ 2 Testat erforderlich macht
In immer mehr Branchen und regulatorischen Kontexten spielen C5 Testierungen eine Rolle, wobei der Trend sich deutlich vom C5 Typ 1 Testat weg und zum Typ 2 Testat hinbewegt.
- So sind Bundesbehörden schon seit 2020 dazu verpflichtet, die C5 Kriterien bei der Nutzung von Cloud-Angeboten als Mindeststandard gemäß § 8 BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) zugrunde zu legen – das Typ 1 Testat ist hier für Anbieter Pflicht, wenngleich ein Typ 2 Testat bevorzugt wird.
- In der Gesundheitsbranche wiederum galt, dass bis zum 30. Juni 2025 ein BSI C5 Typ 1 Testat noch ausreichend war – vom 1. Juli 2025 an ist es das nicht mehr. Der Grund dafür ist § 393 SGB V (Fünftes Buch Sozialgesetzbuch), der den Cloud-Einsatz im Gesundheitswesen und die Verarbeitung von Sozial- und Gesundheitsdaten regelt. Absatz 4 fordert dort explizit ein aktuelles Testat nach C5 Typ 2 oder ein entsprechendes, dem C5 Standard zumindest gleichwertiges Zertifikat. Dies gilt für alle Cloud-Computing-Dienste, die der Verarbeitung von Sozial- und Gesundheitsdaten dienen und die Krankenkassen und ihre Verbände sowie die Leistungserbringer der Krankenkassen wie etwa Ärzte und Apotheken oder deren Verbände in Anspruch nehmen.
- Bekanntlich unterliegen auch die Betreiber Kritischer Infrastruktur (KRITIS) besonderen Pflichten, aufgrund einer ganzen Reihe an Gesetzen und Verordnungen. Man darf davon ausgehen, dass IT-Sicherheit auf dem Stand der Technik zu gewährleisten, jedenfalls bedeutet, dass KRITIS-Unternehmen ausschließlich Cloud-Computing-Angebote nutzen dürfen, die nach C5 Typ 2 zertifiziert sind. Übrigens können auch Cloud-Service-Provider selbst zu den KRITIS-Unternehmen zählen. Dann sind sie nach § 8a BSIG ohnehin dazu verpflichtet, einschlägige Audits und Zertifizierungen nachzuweisen – und dies nicht nur mit Blick auf die Anforderungen ihrer Kunden. Fest steht: Im KRITIS-Kontext ist für Cloud-Anbieter ein Testat nach BSI C5 Typ 2 praktisch unverzichtbar.
Wie sich auch die Public Cloud C5 konform nutzen lässt
Inzwischen gibt es eine Vielzahl von Anforderungen und Faktoren, die eine Nutzung von Cloud-Computing erforderlich machen, was häufig die technischen Fähigkeiten der Hyperscaler einschließt. Nur stellt gerade in den streng regulierten Branchen die unabdingbare Compliance mitunter eine gewisse Herausforderung dar. Ein Cloud-Anbieter wie Amazon Web Services (AWS) verfügt zwar schon seit 2016 über ein BSI C5 Testat, aktuell sogar über ein Typ 2 Testat, es ist allerdings auf bestimmte deutsche Regionen wie etwa Frankfurt beschränkt. Wichtig ist auch, dass ein C5 Testat des Typs 2 jährlich erneuert werden muss, um seine Gültigkeit zu behalten.
Wenn Unternehmen aus einer streng regulierten Branche wie etwa dem Gesundheitsbereich ein Maximum an IT-Sicherheit, Datensicherheit, Cloud-Souveränität und Kontrolle behalten wollen, kann es durchaus sinnvoll sein, zumindest Teile ihrer Workloads einem deutschen AWS-Partner mit eigenem Rechenzentrum und aktuellem C5 Typ 2 Testat zu übertragen. In solch einem Modell könnte beispielsweise der Löwenanteil der Workloads bei AWS verbleiben, während sicherheitskritische Backups eigens ins Rechenzentrum des deutschen AWS-Partners laufen.
Die größtmögliche Flexibilität im Cloud-Betrieb dank Arvato Systems
Arvato Systems beispielsweise ist inzwischen AWS Premier Tier Services Partner und übernimmt für deutsche Kunden schon lange Aufgaben aus den Bereichen Cloud-Migration, Cloud-Integration und Cloud Managed Services. Gleichzeitig verfügen wir aber auch über eigene deutsche Rechenzentren mit BSI C5 Testat des Typs 2. Für Softwareanbieter im Gesundheitsbereich bedeutet dies, dass wir ihnen ein SaaS-Bereitstellungsmodell in der AWS Public Cloud – beim US-Hyperscaler – ermöglichen, aber auch für die besonders sicherheitskritischen Teile ihres Systems den Betrieb in unserem deutschen Rechenzentrum übernehmen können. Denkbar ist solch ein Modell beispielsweise bei Krankenhausinformationssystemen, die derzeit noch meist on-premises betrieben werden. Das beschriebene, verteilte Cloudbetriebsmodell eröffnet einem Softwarehersteller die Möglichkeit, sein System per SaaS und so weit wie möglich in der Public Cloud anzubieten – wobei es ausdrücklich ein deutscher Anbieter ist, der ihm die Konformität mit C5 Typ 2 gewährleistet.
Wir eröffnen Ihnen bei Arvato Systems die größtmögliche Wahlfreiheit, wenn es um den C5-konformen Betrieb Ihrer Workloads geht: vollständig bei einem US-Hyperscaler wie AWS oder Azure, in hybriden Modellen oder vollständig in unseren eigenen deutschen Rechenzentren. Ebenso eröffnen wir Ihnen die Möglichkeit, einfach zwischen diesen Szenarien zu migrieren, falls eine neue Einschätzung der Situation dies erfordern sollte. Mit unserer Unterstützung ist Ihr Cloud Computing immer zukunftssicher aufgestellt. Wir bieten Ihnen stets genau die C5-Konformität, die in Ihrem individuellen Fall erforderlich ist, inklusive C5 Typ 2 Testat. Sprechen Sie uns gerne an.