Der Kriterienkatalog C5 ist ein Prüfstandard, der Mindestanforderungen an sicheres Cloud Computing spezifiziert. Dabei fasst er aus Sicht des BSI Kriterien zusammen, die Cloud-Anbieter unabhängig vom Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste gegenüber ihren Kunden zu gewährleisten.

Nach erfolgreicher Prüfung aller Kriterien durch Wirtschaftsprüfer wird dem Cloud-Anbieter ein C5-Testat über die geprüften Cloud-Dienste ausgestellt.

Bei einer C5-Prüfung werden ein oder mehrere Cloud-Dienste eines Cloud-Anbieters für festgelegte Regionen geprüft. Ein C5-Testat wird also nicht für einen Cloud-Anbieter als ganzes, sondern immer nur für die geprüften Cloud-Dienste in den festgelegten, geographischen Regionen des Cloud-Anbieters erstellt.

Der C5 benutzt folgende Definitionen:

Cloud Computing: Ansatz für das dynamische und an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle.

Cloud-Dienst: Im Rahmen von Cloud Computing angebotenen Dienstleistung der Informationstechnik. Dies beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.

Auf folgender Seite des BSI finden sich Grundlagen und Begriffsdefinitionen rund um Cloud Computing und Cloud-Dienste:

https://bsi.bund.de/dok/6622124

Ein C5-Testat ist ein Bestätigungsvermerk in Form eines Prüfberichtes, nach einer erfolgten Prüfung eines oder mehrerer Cloud-Dienste, bei welcher mindestens alle Basiskriterien des Kriterienkataloges C5 geprüft wurden.

Diese Prüfung erfolgt nach dem internationalen Standard ISAE 3000, bzw. dessen nationalen Pendants. Nach diesem Standard dürfen nur Wirtschaftsprüfer prüfen und auch nur diese dürfen entsprechende Testate ausstellen.

Nach den geltenden Regulierungen, können nur Wirtschaftsprüfer ein C5-Testat ausstellen.

Aus Sicht eines Cloud-Anbieters bietet ein erfolgreiches C5-Testat eine Bestätigung über die umgesetzten Sicherheitsmaßnahmen. Weiterhin ist der Weg zu einem C5-Testat eine Chance, sich in der Tiefe mit einer Vielzahl kritischer Themen der Cloud-Sicherheit auseinanderzusetzen und potenzielle Lücken und Risiken offenzulegen.

Für Cloud-Kunden ergibt sich durch ein C5-Testat die Möglichkeit, Details über die Umsetzung und Einhaltung von eigenen Anforderungen an die Cloud-Sicherheit bei einem Cloud-Anbieter zu erhalten und somit eine umfangreiche Risikoanalyse durchzuführen zu können. Weiterhin besteht der Vorteil, dass ein Cloud-Kunde auf seine eigenen Mitwirkungspflichten hingewiesen wird sowie zu diversen Aspekten (z. B. Datenlokalisation) eine hohe Transparenz durch den Cloud-Anbieter erhält. Hieraus ergibt sich allerdings auch, dass ein vorhandenes C5-Testat keine alleinige Garantie für eine sichere Cloud-Nutzung darstellt und immer ein gewisses Maß an Mitwirkung und Abwägung von Seiten eines Cloud-Kunden benötigt wird.

In diesem Sinne wirkt ein C5-Testat wie ein Katalysator bei Vertragsverhandlungen zur Nutzung von Cloud-Diensten, da die genannten Themen (Status der Sicherheit, Mitwirkungspflichten des Kunden, Randbedingungen des Dienstes) schon mit dem Testat geklärt sind und nur noch darüber hinausgehende Aspekte behandelt werden müssen.

Der C5 richtet sich an Cloud-Kunden, Cloud-Anbieter und deren Prüfer. Der Anbieter hat die Kriterien des C5 umzusetzen und der Prüfer die Konformität nachzuweisen. Da der Begriff "Cloud" in vielfältiger Weise genutzt wird, kann der C5 auch für IT-Dienstleistungen herangezogen werden, die nicht explizit "Cloud" im Titel führen, aber eine Nähe zu Cloud-Diensten haben.

Die grundlegenden Sicherheitsanforderungen an einen Cloud-Dienst sind über den C5 abgedeckt, wobei ein Cloud-Kunde trotzdem prüfen muss, ob die Kriterien auch für den eigenen konkreten Anwendungsfall ausreichend adressiert sind.

Somit kann sich ein Cloud-Kunde verstärkt den eigenen individuellen Anforderungen an Informationssicherheit und deren Umsetzung bzw. eigenen Kriterien, die über das Basisniveau des C5 hinausgehen, widmen. Die Kriterien sind branchenübergreifend anwendbar.

Nein, zur Zeit existiert kein offizielles C5-Logo.

Der Katalog selbst besteht aus 121 Kriterien, die sich in 17 Themengebieten, wie "Personal", "Physische Sicherheit", oder "Kryptographie und Schlüsselmanagement" gliedern. Die Kriterien sind in Tabellenform erfasst, die neben den Basiskriterien teilweise auch Zusatzkriterien enthalten, welche als Ausgangs- bzw. Ansatzpunkt für Cloud-Kunden dienen können, deren Informationen einen höheren Schutzbedarf haben. Wo nötig, sind Hinweise zur Interpretation der einzelnen Kriterien hinzugefügt.

Die sogenannten Rahmenbedingungen sorgen für eine hohe Transparenz des Cloud-Dienstes, da bspw. Datenlokation, Gerichtsstand und bestehende Zertifikate abgefragt werden. Außerdem werden Randbedingungen an eine konkrete Prüfung der Kriterien durch Wirtschaftsprüfer aufgestellt. Diese legen fest, welche Kompetenzen das Prüfteam besitzen sollte und was ein an Kunden gerichteter Prüfbericht beinhalten muss.

Der Kriterienkatalog basiert auf etablierten Standards, wie DIN EN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2016, ISO/IEC 27017:2015, CSA - Cloud Controls Matrix 3.0.1, AICPA – Trust Services Criteria 2017, ANSSI - SecNumCloud, IDW RS FAIT 5 (4.11.2015) und auf den Anforderungen des BSI wie z. B. aus dem IT-Grundschutz-Kompendium 2. Edition 2019 und den SaaS-Sicherheitsprofilen.

Leitende Maßgabe bei der Erstellung des Kataloges war, dass grundsätzlich bestehende Kriterien aus den oben genannten Standards übernommen werden sollten. Wenn es angebracht war, wurden diese Kriterien geschärft. Nur, wenn es keine vergleichbaren Kriterien in der konkreten Ausformulierung gab, wurden neue erstellt.

Der C5 beinhaltet nur prüfbare Kriterien und schreibt nicht vor, durch welche Maßnahmen diese zu erfüllen sind. Alle Kriterien sind technikneutral, das heißt, wie die Kriterien erfüllt werden, ist dem Cloud-Anbieter überlassen. Außerdem sind sie so formuliert, dass sie überprüfbar sind.

Grundsätzlich hat der C5 für Cloud-Kunden und Cloud-Anbieter einen empfehlenden Charakter. Er stellt eine wichtige Referenz des BSI für sicheres Cloud Computing dar und kann helfen, Vertrauen zwischen Cloud-Kunden und Cloud-Anbietern aufzubauen.

In einigen Bereichen und Branchen kann die Erfüllung der C5-Kriterien aber durch andere Regulierungen gefordert sein. So z. B. durch den Mindeststandard des BSI zur Nutzung externer Cloud-Dienste, durch den Stellen des Bundes bei der Nutzung externer Cloud-Dienste Nachweise für die Erfüllung der C5-Kriterien vom Cloud-Anbieter einfordern müssen.

Die sogenannten Rahmenbedingungen sind eine Besonderheit des C5 und dienen vor allem der Transparenz des angebotenen Cloud-Dienstes. Der Cloud-Anbieter muss im Rahmen einer Prüfung unter anderem eine detaillierte Systembeschreibung, Angabe zu Lokalisation der Datenverarbeitung und die für den Cloud-Dienst bereits erteilten Zertifikate bzw. Nachweise offenlegen.

Die hieraus entstehende Transparenz hilft Cloud-Nutzern, unabhängig vom Nachweis der Sicherheit zu entscheiden, ob seine grundlegenden Kriterien durch den Cloud-Anbieter erfüllt werden.

Der C5 behandelt die Nutzung von externen IT-Services zur Erbringung des eigenen Cloud-Dienstes. In diesem Fall muss der Cloud-Anbieter alle Kriterien des Kataloges (inklusive der Transparenzforderungen aus den Rahmenbedingungen) an seine Unterauftragnehmer weitergeben und sie zu deren Einhaltung (bzw. bei den Rahmenbedingungen zu deren Dokumentation) verpflichten. In der Regel wird der Cloud-Anbieter mit dem Unterauftragnehmer vereinbaren, dass sich dieser regelmäßig durch Wirtschaftsprüfer prüfen lässt und den Prüfbericht dem Cloud-Anbieter vorlegt.

So ist geregelt, dass für Subdienstleister die gleichen Kriterien gelten, unabhängig davon, ob der Cloud-Dienst komplett von einem Anbieter oder auch zum Teil von Unterauftragnehmern erbracht wird. Die Verbindung zwischen Cloud-Anbieter und seinem Subdienstleister wird durch so genannte Subdienstleisterkontrollen (engl. Complementary Subservice Organization Controls; CSOCs) näher beschrieben. Auch diese sind in C5-Berichten von allen Subdienstleistern, die zur Erfüllung der C5-Kriterien beitragen, aufzuführen.

Es ist das Anliegen des BSI, Cloud-Anbieter nicht übermäßig durch eine weitere Prüfung von Standardanforderungen zu belasten. C5-Prüfungen können aufgrund des thematischen Überlapps auch mit anderen Prüfungen z.B. nach ISO 27001 kombiniert werden. Auch die Planung der Prüfung und der Zeitraum der konkreten Durchführung kann vom Cloud-Anbieter selbst festgelegt und mit dem Prüfer vereinbart werden, um so maximale Effizienz und Synergie der Prüfungen zu erreichen.

Bei einem Zertifikat gibt es drei verschiedene Parteien: Auditierter, Auditor und Zertifizierungsstelle. Der Auditbericht des von der Zertifizierungsstelle akkreditierten Auditors, wird zur Überprüfung an die Zertifizierungsstelle geschickt. Wenn dieser den Regularien der Zertifizierung entspricht, wird von der Zertifizierungsstelle ein entsprechendes Zertifikat erteilt. Die Beteiligung dieser drei Parteien soll die Qualität und Vergleichbarkeit der Zertifikate gewährleisten. Zudem verhindert oder erschwert ein solches Vorgehen "Gefälligkeits-Zertifikate". Bei der Testierung gibt es nur zwei Parteien: den Auditierten und den Auditor.

Der Auditor wird vom Auditierten mit der Prüfung beauftragt und von ihm bezahlt. Somit besteht eine Abhängigkeit des Auditors vom Auditierten, die zu einer Beeinträchtigung der Qualität des Testats führen kann. Um hier entgegenzuwirken, wurde für den C5 ein Verfahren gewählt, bei dem der Prüfer in der Regel für seine Prüfungsleistung haftet (siehe Abschnitt 3.4.10). Nach einer erfolgten Prüfung der Kriterien des C5 wird ein Testat ausgestellt.

Der Audit-Bericht zu einem Testat nach BSI C5 adressiert den Kunden des Cloud-Anbieters, sodass dieser nicht nur eine generelle Aussage des Wirtschaftsprüfers bekommt, sondern auch detailliert selbst nachvollziehen kann, wie dieser zum Prüfungsergebnis kommt. Das führt zu Vorteilen eines C5-Berichts in Bezug auf die Kontrolle des Kunden. Dies gilt nicht für Audit-Berichte bei Zertifizierungen, da diese nicht einen potenziellen Kunden im Blick haben. Sie werden für den Auftraggeber und eine Zertifizierungsstelle erstellt. Zudem sind solche Reports in der Regel von Cloud-Kunden nicht einsehbar.

Nur im C5-Bericht wird, neben der Sicherheit des Cloud-Dienstes, über die Rahmenbedingungen zusätzlich Transparenz der Diensterbringung adressiert.

Da Cloud Computing oft international aufgestellt ist, lag es dem BSI daran, kein neues nationales Zertifikat einzuführen, sondern möglichst auf im internationalen Umfeld Bewährtes zurückzugreifen. Zudem wäre die Aufrechterhaltung eines neuen Zertifizierungsprozesses sehr aufwändig. Das BSI hat mit dem IT-Grundschutz bereits ein Zertifikat im Portfolio, das auch Cloud Computing abdeckt und national angewendet werden kann.

C5-Konformität wird durch die Umsetzung und den Nachweis des C5-Kataloges erreicht. Hierbei müssen alle Basiskriterien des C5-Kataloges in einer solchen Art und Weise umgesetzt werden, dass sie anschließend über einen Zeitraum in der Vergangenheit von einem Wirtschaftsprüfer nachvollzogen und attestiert werden können.

Ein C5-Testat kann über mehrere Cloud-Dienste gleichzeitig erstellt werden. Auch können parallel zum C5 weitere Testate oder Zertifikate anderer Standards durch dasselbe Wirtschaftsprüferteam geprüft werden. Da sich viele Kriterien anderer Standards überlappen und Komponenten durch verschiedene Services gemeinsam genutzt werden, können mittels einer gemeinsamen Prüfung eine Kosten- und Zeitersparnis sowie weitere Synergieeffekte erzielt werden.

Sehr viele Cloud-Anbieter sind gesetzlich verpflichtet, eine Jahresabschlussprüfung durch Wirtschaftsprüfer durchführen zu lassen. Ein nicht geringer Teil davon beinhaltet eine Prüfung der IT-Systeme, die für die Buchhaltung und Erstellung des Jahresabschlusses relevant sind. Dieser Teil wird immer umfangreicher und kann relativ einfach auf IT-Systeme ausgedehnt werden, die Cloud-Dienste für Kunden bereitstellen. Der Prozess der Auditierung und Berichterstattung des C5 erfolgt nach dem international eingesetzten und erprobten Standard ISAE 3000. ISAE 3000 Prüfungen können nur von Wirtschaftsprüfern durchgeführt werden und damit können C5-Testate auch nur von Wirtschaftsprüfern erstellt werden. Wirtschaftsprüfer greifen zwar teilweise auf externe Kräfte für Audits zurück, die Verantwortung und Aufsicht liegt aber weiterhin beim Prüfer.

IT-Prüfungen sind schon seit Jahrzehnten durch Wirtschaftsprüfer üblich. Gemäß den eigenen Regeln des Berufsstandes muss ein Wirtschaftsprüfer vor Annahme eines Prüfmandats selbstständig entscheiden, ob er oder sie entsprechende Kompetenz besitzt. Die Annahme eines Mandats ohne ausreichende Kompetenz kann schwere berufsständische Maßnahmen nach sich ziehen.

Um den C5 zu testieren, müssen Team-Mitglieder ihre Qualifikation nachweisen. Mögliche Personenzertifizierungen sind z. B. ISACA (CISA, CISM, CRISC), CSA (CCSK), CCSP oder ISO 27001- und IT-Grundschutz-Auditoren. Diese Qualifikationen müssen im Testat aufgeführt und nachgewiesen werden.

Bereits vorhandene Zertifikate werden im Rahmen der Prüfung des Testats grundsätzlich nicht anerkannt. Dies hat im Wesentlichen zwei Gründe:

• Die Art und Weise der Zertifikate unterscheidet sich vom Testat, da z. B. die Wirksamkeit der Maßnahmen in der Vergangenheit nicht überprüft wird.
• Da der Wirtschaftsprüfer das Testat unterschreibt und dafür haftet, kann er zwar in begrenztem Maß auf Berichte anderer Zertifikate zurückgreifen, dessen Prüfung er selber nicht vorgenommen hat, aber in der Regel wird er die Prüfung unabhängig davon durchführen wollen.

Eine gleichzeitige Durchführung von Testierung und Zertifizierung hat folgenden großen Vorteil: Da alle Anforderungen der ISO/IEC 27001 auch im C5 aufgeführt sind, kann bei gleichzeitiger Testierung und Zertifizierung das Prinzip "audit once – certify many" angewendet werden. Hierunter versteht man, dass das Ergebnis der Prüfung für unterschiedliche Audits verwendet werden kann, also z. B. für den C5 und für ein Zertifikat nach ISO/IEC 27001. Dies verringert den Aufwand bei der Durchführung der Prüfung erheblich. Sehr hilfreich sind hierbei die Kreuzreferenztabellen, die die Kriterien des Katalogs auf andere Normen aufzeigen: https://www.bsi.bund.de/dok/13368652

SOC2(Service Organization Control)-Berichte nach den Vorgaben des AICPA (American Institute of Certified Public Accountants) dienen dazu, das interne Kontrollsystem eines Dienstleisters in Bezug auf Sicherheit, Verfügbarkeit, Prozesse, Integrität, Vertraulichkeit und Datenschutz zu verstehen. Dieser Bericht gibt dem Kunden des Dienstleisters die notwendigen Informationen für dessen eigenes Kontrollsystem und sein Risikomanagement.

Die Prüfung muss so durchgeführt und dokumentiert werden, dass ein sachverständiger Dritter noch nach 10 Jahren genau nachvollziehen kann, wie das Prüfungsergebnis zustande kam. Generell unterscheidet man zwei verschieden Typen von Berichten: Typ 1 und Typ 2.

Bei einem SOC2-Bericht nach Typ 1 wird geprüft, ob das Design der internen Maßnahmen so ausgelegt ist, dass die Kriterien des Kriterienkatalogs erfüllt werden. In einem SOC2-Bericht nach Typ 2 wird auch die Wirksamkeit der implementierten Maßnahmen im Berichtszeitraum getestet. Dies ist ein wesentlicher Unterschied zu vielen anderen Zertifizierungen auf dem Gebiet der IT-Sicherheit. Bei einer erstmaligen Prüfung kann es vorkommen, dass noch zu wenige Aussagen über die Wirksamkeit gemacht werden können. Dann kann für diesen Zeitraum nur ein Bericht vom Typ 1 gemacht werden, der aber dort wo möglich auch Aussagen zur Wirksamkeit der Maßnahmen macht. Im nächsten Prüfungszeitraum ist dann ein Bericht nach Typ 2 zu fordern.

Im C5 wird festgelegt, dass die Kriterien des C5 nach dem Prüfstandard ISAE 3000 und für weitere Aspekte unter sinngemäßer Anwendung von ISAE 3402 und SOC 2 geprüft werden müssen. Werden im C5 zusätzliche Dinge verlangt, so sind die Regelungen des C5 maßgeblich. Dies trifft z.B. auf die Auskunft über das Prüfteam im Bericht zu. In ISAE 3000-Prüfberichten wird normalerweise nur der unterzeichnende Wirtschaftsprüfer genannt. In einem C5-konformen Bericht ist jedoch auch Auskunft über das Prüfteam und dessen Qualifikationen zu geben.

Das Konzept des C5 ermöglicht es, Prüfungen mit größtmöglicher Effizienz durchzuführen, indem möglichst viele Prüfergebnisse aus vorhandenen Prüfungen des gleichen Zeitraums verwendet werden können. Hierzu müssen die bisher geprüften Kontrollen der ISAE 3000-Prüfung des Cloud-Anbieters mit den C5-Kontrollen abgeglichen werden, um die Differenz sichtbar zu machen. Dort, wo die Kriterien aus dem Kontrollsystem des Anbieters das gleiche oder mehr umfassen als die C5-Kriterien, ist für den C5-konformen Bericht keine zusätzliche Prüfung notwendig. Fordert der C5 mehr, muss diese Differenz zusätzlich geprüft werden. Je genauer dieser Unterschied bestimmt ist, desto effizienter kann die Prüfung nach C5 gestaltet werden. Zu beachten ist, dass die ISAE 3000-Prüfung nach Typ 2 durchgeführt wurde, also Angemessenheit und Wirksamkeit geprüft wurden, wie es auch der C5 fordert.

Idealerweise hat der Unterauftragnehmer, der Services für den Cloud-Anbieter erbringt, auch ein C5-Testat. Dann kann dies vom Wirtschaftsprüfer in einfacher Weise herangezogen werden und fügt sich in die eigene Prüfung nahtlos ein. Alle anderen Zertifikate werden als Indikatoren für erreichte Sicherheit angesehen, werden aber vom Auditor ggf. überprüft.

Gemeinsam haben beide Berichte und die zugehörigen Prüfungen, dass sie auf denselben internationalen Standards (ISAE 3000, ISAE 3402) der Wirtschaftsprüfer basieren.

SOC2-Berichte werden ganz allgemein für IT-Dienstleistungen erstellt, während der C5 speziell für Cloud-Dienste erstellt wurde. SOC-Berichte liegen die sogenannten "Trust Service Principles" zugrunde, die allgemeine Gültigkeit besitzen. Der C5 beinhaltet einen Katalog mit Kriterien, die das BSI an Cloud-Dienste stellt. Diese sind im Vergleich zu SOC2-Berichten detaillierter und decken zusätzliche Bereiche ab (z.B. Transparenzkriterien, Umgang mit Ermittlungsanfragen und Cloud-spezifische Themen).

Nach erfolgter Prüfung kommt der Wirtschaftsprüfer zu einem Gesamturteil. Je nachdem, ob Abweichungen bei der Prüfung der Kriterien festgestellt werden und wie schwerwiegend diese sind, vergibt der Prüfer ein uneingeschränktes oder eingeschränktes Testat. Bei besonders schwerwiegenden Abweichungen kann die Vergabe eines Testats auch versagt werden.

Liegen nach Ansicht des Prüfers nur geringfügige Abweichungen vor, kann es auch sein, dass er ein uneingeschränktes Urteil erteilt. Demnach ist ein uneingeschränktes Urteil NICHT gleichbedeutend mit "es gibt keine Abweichungen". Daher müssen C5-Berichte ausgewertet werden.

In der Regel muss ein C5-Bericht bei dem jeweiligen Cloud-Anbieter direkt angefragt werden.

Der Cloud-Kunde muss bei einem Testat eines Cloud-Anbieters darauf achten, dass folgende Randbedingungen erfüllt sind, die das BSI aufgestellt hat:

• Der Prozess der Auditierung und Berichterstattung erfolgt nach dem international eingesetzten und erprobten Standard ISAE 3000 (Revised) "Assurance Engagements Other than Audits or Reviews of Historical Financial Information".
• Er umfasst allgemeine Kriterien an die Qualifikation und das Verhalten eines Prüfers (z. B. sachverständige Beurteilung und Skepsis) sowie an die Annahme, Planung und Durchführung eines Prüfungsauftrags (Abschnitt 3 im C5).
• Zudem gibt es weitere Regelungen, die sinngemäß angewendet werden sollen: ISAE 3402 "Assurance Reports on Controls at a Service Organization" bzw. IDW PS 951 n.F. "Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen" und weitere (siehe Abschnitt 3.4.8).
• Die grundlegenden Prinzipien für die Testierung sind: Relevanz, Vollständigkeit, Verlässlichkeit, Neutralität und Verständlichkeit.
• Der Prüfbericht muss in der Form eines SOC2-Berichts verfasst werden.

C5-Testate beziehen sich immer auf einen bereits vergangenen, abgeschlossenen Zeitraum. Insofern können sie die Gültigkeit nur verlieren, wenn nachweislich (fahrlässig, grob fahrlässig oder absichtlich) falsche Aussagen für den Berichtszeitraum getätigt wurden. Indes ist ein mehrere Jahre altes C5-Testat für das Risikomanagement aktueller Kunden kaum brauchbar. Daher werden C5-Prüfungen in der Regel jährlich wiederholt.

Da der C5 ISAE 3000 als Standard für Audits verwendet, attestiert ein Testat eine C5-Konformität über einen Zeitraum von 3-12 Monaten in der Vergangenheit. Möchte man als Cloud-Anbieter durchgehend nachweislich C5-konform sein, so muss man sich ein bis vier mal pro Jahr prüfen lassen, je nach gewähltem Zeitraum. Ein Cloud-Kunde sollte ebenfalls in diesem (mit dem Cloud-Anbieter abgesprochenen) Zeitraum die jeweils neuen C5-Berichte anfordern und erneut überprüfen. Hierbei ist in der Regel eine erneute Prüfung der Berichte deutlich weniger aufwendig für den Cloud-Kunden, als eine Erstprüfung, da unveränderte Aspekte des Berichtes nicht näher analysiert werden müssen.

Nein. Da eine sichere Cloud-Nutzung von individuellen Faktoren abhängt, sollte der Cloud-Kunde den C5-Bericht für seinen Anwendungsfall auswerten und basierend auf dieser Auswertung das eigene Sicherheitsrisiko einschätzen sowie eigene Verantwortungen für die sichere Nutzung ableiten (u. a. aus den korrespondierenden Kriterien des C5).

Aus dem Vorhandensein eines ISO 27001-Zertifikats geht lediglich hervor, dass der Inhaber des Zertifikats seine Informationssicherheit steuert und dass dieser Steuerungsprozess von einem unabhängigen Dritten untersucht und für standardkonform befunden wurde. Es kann daraus nicht allgemein abgeleitet werden, ob mithilfe dieses standardisierten Prozesses ein Informationssicherheitslevel erreicht wird, welches den Bedürfnissen des Cloud-Kunden genügt. Zusätzlich muss vom Cloud-Kunden immer überprüft werden, ob ein Testat oder Zertifikat den gewünschten Dienst wirklich abdeckt.

Im C5-Bericht muss kenntlich gemacht werden, über welche Services eines Cloud-Anbieters eine C5-Prüfung erfolgt ist. Da dies nicht zwangsweise die komplette Infrastruktur und alle Dienstleistungen eines Cloud-Anbieters abdeckt, muss vom Cloud-Kunden als erstes sichergestellt werden, dass die von ihm genutzten Services auch von dem C5-Testat abgedeckt werden.

Nein, das BSI ist zwar Autor des C5, überwacht aber weder Prüfungen noch gibt es eine Pflicht, das BSI über erfolgte Prüfungen oder deren Ausgang zu informieren. C5-Testate oder Berichte müssen in der Regel beim Anbieter selbst angefragt und anschließend vom Cloud-Kunden selbständig ausgewertet werden. Somit kann das BSI keine allgemeinen Auskünfte über C5-Testate und deren Einschätzung vom Cloud-Anbieter geben und kann auch keine C5-Berichte zur Verfügung stellen.

Das BSI führt keine Aufsicht über C5-Prüfungen durch und prüft somit auch nicht die C5-Berichte.

Da Cloud-Anbieter selbst bestimmen können, ob sie über erfolgte C5-Prüfungen öffentlich berichten, ist es nicht möglich, eine garantiert vollständige Liste mit allen Anbietern und ihren Diensten zu führen, die ein C5-Testat besitzen. Da das BSI keine Aufsicht über C5-Prüfungen hat und dem Markt gegenüber zu Neutralität verpflichtet ist, führt es keine Liste von C5-Testaten.

Auf folgender, privater Seite, sind aber viele öffentlich bekannte Cloud-Anbieter aufgeführt, die C5-testierte Cloud-Dienste anbieten: http://c5-attestations.com/

Da die benötigte Sicherheit von den Kriterien, Prozessen und verarbeiteten Daten des Cloud-Kunden abhängt und sich damit von Fall zu Fall unterscheidet, kann ein Cloud-Anbieter oder eine Cloud-Lösung nicht allgemein als sicher bewertet werden. Ein Cloud-Kunde muss den C5-Bericht mit seinen individuellen Anforderungen an die Informationssicherheit abgleichen. Danach kann er entscheiden, ob ein für ihn ausreichendes Sicherheitsniveau erreicht wird. Da diese Risikobetrachtung sehr individuell ist, kann das BSI diese nicht pauschal übernehmen.

Grundlegende Informationen zur Auswertung des C5 und die Auswertung unterstützende Dokumente gibt es unter C5:2020 - Berichtsüberblick und Auswertungsleitfaden

Es ist vom reinen Ansehen her nicht ersichtlich, ob lediglich eine ISAE 3000-Prüfung in Anlehnung an oder unter Berücksichtigung von C5 oder tatsächlich eine ISAE 3000-Prüfung unter Einhaltung aller C5-Kriterien durchgeführt wurde. Die Sichtung des Prüfberichts ist daher unerlässlich. Jedoch können folgende schnell prüfbare Anhaltspunkte einen ersten Eindruck verschaffen:

• Der C5 muss von einem Wirtschaftsprüfer geprüft werden. Ist er nicht von einem Wirtschaftsprüfer unterschrieben, ist der Bericht nicht C5-konform.
• Der C5 fordert Auskunft über das gesamte Prüfteam inklusive ihrer Qualifikationen (und mindestens die Hälfte des Teams muss bestimmte Erfahrungen und Berufsqualifikationen besitzen). Fehlt diese Auskunft, ist der Bericht nicht C5-konform.
• Ein ISAE 3000-Bericht besteht in der Regel aus drei Teilen (plus Anhang): Zusammenfassende Prüfaussage des Wirtschaftsprüfers, Systembeschreibung und Kontrollprüfung. Der C5 macht mit seinen Rahmenbedingungen (BC-01 bis BC-06) besondere Vorgaben, was in der Systembeschreibung über den Cloud-Dienst aufgeführt werden muss. Fehlen Prüfaussage, Systembeschreibung, Kontrollbeschreibung, konkrete Prüfungshandlungen pro Kontrolle, korrespondierende Kontrollen für Kunden oder mit Subdienstleistern (und sind sie nicht an anderer Stelle im Bericht enthalten), ist der Bericht nicht C5-konform.
• Falls im Bericht Abweichungen von den geforderten Kontrollen gefunden werden, so muss in einem C5-konformen Bericht aufgeführt werden, welche Maßnahmen zur Behebung dieses Mangels ergriffen werden, ob dieser Mangel bereits im vorhergehenden Prüfzeitraum aufgetreten ist und unter welchen Umständen dieser Mangel erkannt wurde. Fehlen diese Informationen (und sind sie nicht an anderer Stelle im Bericht enthalten), ist der Bericht nicht C5-konform.
• Nur, wenn alle Kriterien aus Kapitel 5 des C5 geprüft wurden, kann die Prüfung vollständig sein.

Besteht bis hier hin kein Grund zur Beanstandung, dann kann mit einer eingehenden Sichtung der Prüfungsergebnisse zu jeder Kontrolle aus dem C5 begonnen werden. Es muss dem Leser ersichtlich werden, wie der Prüfer zu seinem Ergebnis gelangt ist. Bei Unklarheiten sollte der Cloud-Anbieter kontaktiert werden.

Nein, der C5 hat primär die Informationssicherheit und nicht den Datenschutz im Fokus. Nutzt man einen C5-testierten Cloud-Dienst, ist dieser deshalb nicht automatisch datenschutzkonform.

(Siehe auch die Frage "Wie hängen die Cloud-Standards ISO/IEC 27017 und ISO/IEC 27018 mit dem C5 zusammen?")

Der C5 nimmt alle Kriterien der ISO/IEC 27001 in den Basis-Kriterien auf. Dies bedeutet, dass ein Cloud-Anbieter, der ISO/IEC 27001 umgesetzt hat, für viele der Kriterien des Katalogs bereits Maßnahmen implementiert hat. Der C5 fordert bei den Basis-Kriterien ein Managementsystem, das sich an ISO/IEC 27001 orientiert.

Mit einem IT-Grundschutz-Zertifikat oder ISO 27001-Zertifikat bekommt man nicht automatisch ein C5-Testat, da die Nachweise zu unterschiedlich sind.

Der Standard ISO/IEC 27017 "Code of practice for information security controls based on ISO/IEC 27002 for cloud services" erweitert den Standard ISO/IEC 27002 um Cloud-spezifische Umsetzungshinweise. Zusätzlich nimmt er im Anhang noch einige zusätzliche Kriterien mit auf, die sich auch im C5 wiederfinden. Der "code of practice" ist eine gute Referenz für die Umsetzung der Kriterien des C5. ISO/IEC 27018 "Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors" befasst sich mit dem Schutz personenbezogener Daten im Cloud Computing. Er lehnt sich stark an den europäischen Datenschutz an, besitzt aber keinen normativen Charakter. Da der C5 sich nicht mit dem Datenschutz befasst, kann ISO/IEC 27018 als sehr hilfreiche Ergänzung zum Datenschutz herangezogen werden.

Der IT-Grundschutz ist ein Standard für die Etablierung und Aufrechterhaltung eines angemessenen Schutzes aller Informationen einer Institution. In dem IT-Grundschutz-Kompendium werden Sicherheitsmaßnahmen für typische Geschäftsprozesse, IT-Systeme und Anwendungen beschrieben. Der C5 ist dagegen ein reiner Prüfstandard. Der IT-Grundschutz adressiert vor allem den Schutz der eigenen Informationen im eigenen Unternehmen. Der C5 ist dagegen explizit für Dienste eines Cloud-Anbieters ausgelegt. Beide Werke betrachten die Informationssicherheit ganzheitlich und beschränken sich nicht z. B. nur auf technische Aspekte.

Über die Jahre hat sich der IT-Grundschutz, der Informationssicherheit auf konkrete Maßnahmen herunterbricht, als ein Referenzwerk für Informationssicherheit in Deutschland etabliert. Für Cloud-Anbieter, die ihre Services aber oft auf höchst unterschiedliche Weise erbringen, ist ein Modell mit Sicherheitsanforderungen anstatt von Maßnahmen vorteilhafter, da Cloud-Anbietern die Ausgestaltung der Erfüllung dieser Kriterien überlassen wird.

Trotz des unterschiedlichen Aufbaus adressieren beide Möglichkeiten dasselbe Sicherheitsniveau für Cloud-Dienste, wenn man die jeweiligen Mindestanforderungen betrachtet. Sowohl IT-Grundschutz als auch C5 zeigen zudem noch Kriterien bzw. Maßnahmen auf, um ein höheres Sicherheitsniveau zu erreichen. Wichtig ist, dass ein Cloud-Kunde speziell beim C5 eine eigene Risikoanalyse durchführen und dabei für ihn zu tragende Risiken identifizieren und abwägen muss.

Wie in den voranstehenden Fragen beschrieben unterscheiden sich Zertifikate und Testate grundlegend. Auch sind der C5 und der IT-Grundschutz verschieden aufgebaut, obwohl beide dasselbe Sicherheitsniveau für Cloud-Dienste adressieren. Insofern können die beiden Alternativen nicht pauschal verglichen werden. Aus Sicht des BSI sind beide Möglichkeiten geeignet, um die Sicherheit von Cloud-Diensten nachzuweisen. Compliance-Vorschriften, denen der Cloud-Anbieter oder der Cloud-Kunde unterliegen, können bestimmte Arten von Nachweisen verlangen. Der Cloud-Kunde sollte sich auf jeden Fall darüber klar werden, welche Nachweise für ihn geeigneter sind und welche Informationen er vom Cloud-Anbieter erhalten will oder muss. Im Übrigen kann der Cloud-Anbieter beide Nachweise effizient kombinieren und so ein noch breiteres Kundenspektrum adressieren.

Bei jeder C5-Prüfung werden alle Kriterien des C5 vollständig auf Angemessenheit und Wirksamkeit hin über einen gewissen Zeitraum (z.B. ein Jahr) der Vergangenheit geprüft. Die Wirksamkeit der sich aus den Kriterien ergebenden Maßnahmen wird anhand einer statistischen Stichprobe mit einem 95 Prozent-Konfidenzintervall ermittelt. Bei einer IT-Grundschutz-Prüfung wird hingegen das ISMS zu einem bestimmten Zeitpunkt analysiert. Dabei werden im gesamten Zertifizierungszeitraum Referenzdokumente und zwischen 7 und 10 Bausteine geprüft.