Glossar · EU-Cybersicherheit BSI C5 (Cloud Computing Compliance Criteria Catalogue)
Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI), der die Mindestsicherheitsbasis für Cloud-Dienste für den deutschen öffentlichen Sektor und regulierte Branchen definiert. Wird weithin als deutsches Äquivalent zu SOC 2 angesehen.
## Was BSI C5 tatsächlich ist
BSI C5 — Cloud Computing Compliance Criteria Catalogue — ist der vom **Bundesamt für Sicherheit in der Informationstechnik (BSI)** veröffentlichte Cloud-Sicherheitsstandard. Erstmals 2016 (C5) veröffentlicht, 2020 überarbeitet (C5:2020), definiert er eine umfassende Sicherheitsbasis für Cloud-Dienste und den Prüfungsprozess, mit dem Anbieter ihre Konformität nachweisen können.
C5 ist im Umfang ähnlich wie SOC 2 (USA) oder ISO 27001/27017 (international), aber auf **deutsche rechtliche und regulatorische Anforderungen** zugeschnitten und gilt weithin als faktischer Cloud-Sicherheitsstandard für deutsche Käufer im öffentlichen Sektor und in regulierten Branchen.
## Was BSI C5 abdeckt
C5:2020 umfasst rund **125 Controls** in 17 Bereichen, darunter:
- Organisation der Informationssicherheit
- Personalsicherheit
- Asset-Management
- Physische Sicherheit
- Betriebssicherheit
- Identitäts- und Zugriffsmanagement
- Kryptografie
- Kommunikationssicherheit
- Portabilität und Interoperabilität
- Beschaffung, Entwicklung und Änderung
- Kontrolle und Überwachung von Anbietern und Lieferanten
- Incident-Management
- Geschäftskontinuität
- Compliance
- Umgang mit Ermittlungsersuchen staatlicher Stellen
- Produktsicherheit
- Datenschutz
Der Kontrollbereich zum Umgang mit Ermittlungsersuchen ist besonders wichtig für die **Souveränitätsbewertung** — er befasst sich damit, wie der Anbieter mit Datenanfragen ausländischer Regierungen umgeht. Hier wird die Exposition gegenüber dem US-[CLOUD Act](/de/glossary/cloud-act/) sichtbar.
## Wie BSI-C5-Audits funktionieren
BSI C5 verwendet ein **Attestierungsmodell** ähnlich SOC 2:
### Typ-1-Attestierung
Der Auditor prüft, ob die Controls zu einem Zeitpunkt angemessen gestaltet sind. Geringere Kosten; schneller.
### Typ-2-Attestierung
Der Auditor prüft, ob die Controls über einen festgelegten Zeitraum (typischerweise 6-12 Monate) wirksam funktioniert haben. Anspruchsvoller; dies erwarten regulierte Käufer.
Audits werden von unabhängigen, vom BSI qualifizierten Auditoren durchgeführt. Der Auditbericht (C5 Attestation Report) wird den Kunden des Anbieters unter Vertraulichkeit zur Verfügung gestellt.
## Warum BSI C5 wichtig ist
### 1. Zugang zum deutschen Markt
Für Cloud-Anbieter, die deutsche Unternehmen — insbesondere regulierte Branchen (Banken unter der BaFin, Gesundheitswesen unter dem SGB, öffentlicher Sektor unter Bundesbeschaffung) — bedienen wollen, ist eine C5-Attestierung faktisch erforderlich.
### 2. Macht Souveränitätsexposition sichtbar
Der C5-Control BC-01 ('Umgang mit Ermittlungsersuchen staatlicher Stellen') verpflichtet Anbieter, ihre Exposition gegenüber ausländischem Recht zu dokumentieren. Dadurch werden Expositionen gegenüber CLOUD Act, FISA 702 und vergleichbaren Regelungen lesbar und auditierbar.
### 3. Fundament für EUCS
Das paneuropäische Cybersicherheits-Zertifizierungsschema [EUCS](/de/glossary/eucs/) stützt sich wesentlich auf C5. C5-attestierte Anbieter werden für EUCS gut positioniert sein.
### 4. Brücke von internationalen zu deutschen Standards
C5 bildet sich auf ISO 27001, ISO 27017, ISO 27018 und SOC 2 ab. Anbieter mit diesen Zertifizierungen können typischerweise mit überschaubarem Mehraufwand C5 erreichen.
## Bemerkenswerte C5-attestierte Anbieter
C5 ist unter europäischen Cloud-Anbietern weit verbreitet und zunehmend auch bei deutschen Hyperscaler-Angeboten:
### Europäische Anbieter mit C5
- **Hetzner** — deutsche Hyperscaler-Alternative
- **IONOS** — deutsche Cloud und Hosting
- **Open Telekom Cloud** — Cloud der Deutschen Telekom
- **plusserver** — deutsche Managed Cloud
- **STACKIT** — Enterprise Cloud der Schwarz-Gruppe
- Verschiedene deutsche Managed-Service-Anbieter
### Hyperscaler
- **AWS** hat C5-Attestierung für deutsche Regionen
- **Microsoft Azure** hat C5 für deutsche Angebote
- **Google Cloud** hat C5 für europäische Regionen
Hinweis: Eine C5-Attestierung bei Hyperscalern löst die CLOUD-Act-Exposition nicht. C5 dokumentiert die Exposition; es eliminiert sie nicht.
## BSI C5 vs. andere Regelungen
| Regelung | Land | Umfang | Beziehung zu C5 |
|--------|---------|-------|-------|
| BSI C5 | Deutschland | Cloud-Sicherheit | Dieser Standard |
| SecNumCloud | Frankreich | Cloud-Sicherheit + Souveränität | Strenger bei Souveränität |
| [Cloud de Confiance](/de/glossary/cloud-de-confiance/) | Frankreich | Souveränitätshülle | Baut auf SecNumCloud auf |
| SOC 2 | USA/international | Allgemeine Sicherheit | Erhebliche Überlappung |
| ISO 27001/27017 | International | Informationssicherheit | C5 baut darauf auf |
| EUCS (Entwurf) | EU | Paneuropäische Cloud-Cyber | Nimmt vermutlich C5-Elemente auf |
## Was BSI C5 in der Praxis bedeutet
### Für deutsche Käufer
Die C5-Attestierung ist das mindestens glaubwürdige Signal für Cloud-Sicherheit. Typ-2-Attestierung ist die Käufererwartung.
### Für europäische Cloud-Anbieter
C5 ist eine Investition wert: Das Audit ist rigoros und teuer, öffnet aber den deutschen Markt.
### Für grenzüberschreitende SaaS
Wenn Sie ein europäisches SaaS sind, das deutsche Unternehmen bedient, benötigt Ihre Cloud-Infrastruktur C5, auch wenn Sie es nicht direkt haben — Ihr Anbieter muss es haben.
### Für die Souveränitätsbewertung
C5 allein ist keine Souveränitätszertifizierung. Das deutsche Pendant ist die gesonderte Arbeit des BSI zu Cloud-Souveränitätskriterien, die auf C5 plus zusätzliche Anforderungen zur Kontrolljurisdiktion aufbaut.
## Was 2026-2027 bringt
- **C5:2025-Überarbeitung** — periodische Updates abgestimmt auf NIS2- und EUCS-Arbeit
- **EUCS-Finalisierung** — wenn EUCS in Kraft tritt, werden C5-attestierte Anbieter voraussichtlich Vorteile haben
- **Zunehmende Käuferrigorosität** — deutsche Unternehmen fordern verstärkt Typ-2-C5 plus explizite CLOUD-Act-Analyse
- **Souveräne Hyperscaler-Angebote** — C5-Attestierung erweitert auf dedizierte souveräne Hyperscaler-Regionen
## Praktische Implikationen
Für die meisten europäischen Tech-Käufer:
- **Wenn Sie deutsche Unternehmen bedienen**: Ihr Cloud-Anbieter benötigt C5
- **Wenn Sie europäische Cloud-Anbieter bewerten**: C5-Attestierung ist ein aussagekräftiges Qualitätssignal
- **Wenn Sie Souveränität bewerten**: C5 dokumentiert Exposition, eliminiert sie aber nicht — schauen Sie über C5 hinaus auf die Rechtsstruktur
- **Wenn Sie deutscher Käufer im öffentlichen oder regulierten Sektor sind**: Das betrifft Ihre Beschaffung direkt
Für alltägliche SaaS-Entscheidungen ist der C5-Status der Cloud-Infrastruktur Ihrer Anbieter in der Regel eine angemessene Due-Diligence-Basis.
War das hilfreich?
Danke für Ihr Feedback!