Der Katalog C5:2020 besteht aus 121 Kriterien, die sich in 17 Themengebiete gliedern (siehe Abschnitt 2.2 im C5). Die Kriterien des C5 wurden von national und international etablierten Standards und Publikationen im Bereich Cloud Computing und Informationssicherheit abgeleitet (siehe Abschnitt 2.3 des Kriterienkatalogs). Referenztabellen erleichtern eine Zuordnung der Kriterien des C5 zu diesen Standards und Publikationen. Der Katalog beinhaltet nur prüfbare Kriterien und schreibt nicht vor, durch welche Maßnahmen diese zu erfüllen sind.

Die Definition der Kriterien erfolgte unter Einbeziehung von Cloud-Anbietern, Cloud-Kunden, Wirtschaftsprüfern, Auditoren und Verbänden, um unterschiedliche Anforderungen sowie Erfahrungen aus der Praxis darin einfließen zu lassen.

Das Ziel einer C5-Prüfung ist eine transparente Berichterstattung hinsichtlich der Informationssicherheit eines Cloud-Dienstes, welche durch den (potentiellen) Kunden im Rahmen seines Risikomanagements sowie bei der Auswahl, Steuerung und Überwachung seines Cloud-Anbieters berücksichtigt werden kann. Um die Transparenz für den Kunden zu erhöhen, werden Vorgaben hinsichtlich der Inhalte einer solchen Berichterstattung gemacht. Hierzu gehören insbesondere Informationen zu den Rahmenbedingungen des Cloud-Dienstes, wie Angaben zur Verfügbarkeit und Störungsbeseitigung, den eingesetzten Subdienstleistern, der geografischen Lage der Rechenzentren und dem Umgang mit Ermittlungsanfragen staatlicher Stellen (siehe Abschnitt 4 des Kriterienkatalogs).

Der Kriterienkatalog hat für Cloud-Kunden und Cloud-Anbieter einen empfehlenden Charakter. Für Bundesbehörden wird die Einhaltung des Standards im Rahmen der Anwendung des Mindeststandards zur Nutzung externer Cloud-Dienste eingefordert.

Der "International Standard on Assurance Engagements 3000"(kurz: ISAE 3000) bildet den übergeordneten Rahmen der Prüfungsmethodik.

Prüfungsgegenstand einer Prüfung nach C5 ist das dienstleistungsbezogene interne Kontrollsystem des Cloud-Anbieters zur Bereitstellung des Cloud-Dienstes. Dieses umfasst die Grundsätze, Verfahren und Maßnahmen, einschließlich der dafür eingerichteten Kontrollen in seiner Aufbau- und Ablauforganisation. Der Cloud-Anbieter fertigt hierüber entweder eine Beschreibung an und gibt eine Erklärung ab (Prüfung einer Erklärung) oder die Auditoren erheben die eingerichteten Kontrollen im Rahmen der Prüfungsdurchführung selbst und erstatten hierüber Bericht (direkte Prüfung).

Prüfungen können in der Form einer Angemessenheitsprüfung oder einer Wirksamkeitsprüfung durchgeführt werden. Bei der darüber erstellten Berichterstattung unterscheidet man zwischen

• Berichterstattungen vom Typ 1: Der Auditor gibt ein Prüfungsurteil darüber ab, ob die Kontrollen zum Zeitpunkt der Prüfung angemessen ausgestaltet und eingerichtet sind, um die Kriterien des C5 mit hinreichender Sicherheit zu erfüllen (englisch: „suitability of the design“).
• Berichterstattungen vom Typ 2: Neben der Aussage zur Angemessenheit, umfasst das Prüfungsurteil eine Aussage über die Wirksamkeit der Kontrollen in einem Prüfungszeitraum (englisch: „operating effectiveness“).

An einem Beispiel aus der Praxis soll der Unterschied veranschaulicht werden:

Das Basiskriterium OPS-02 sieht technische und organisatorische Maßnahmen zur Überwachung vor. Der Cloud-Anbieter hat in seiner Beschreibung zu diesem Kriterium angegeben, dass der Dienst einer ständigen Überwachung unterliegt, um beim Erreichen bestimmter Schwellenwerte rechtzeitig reagieren zu können. Mittels Monitoring-Software werden dafür Verfügbarkeit, Kapazität und Performance überwacht.
Bei einer Berichterstattung vom Typ 1 hat sich der Auditor zum Zeitpunkt der Prüfung davon zu überzeugen, dass diese Monitoring-Software tatsächlich im Einsatz ist und die besagten Kriterien auf Basis angemessen definierter Schwellenwerte überwacht.
Bei einer Berichterstattung vom Typ 2 muss sich der Auditor zusätzlich davon überzeugen, dass das Monitoring durchgängig im Prüfungszeitraum erfolgte. Hierzu muss der Cloud-Anbieter entsprechende Nachweise vorhalten (zum Beispiel Protokolldateien), die es dem Auditor erlauben, Unterbrechungen der Überwachungen oder das Erreichen der definierten Schwellenwerte zu identifizieren. Der Auditor würde sich für diese Ereignisse, meist stichprobenartig, die dazugehörigen Aufzeichnungen aushändigen lassen, um sich von der Wirksamkeit des Meldewesens zu überzeugen.

Insbesondere bei der Nachweiserbringung werden die Unterschiede deutlich: Bei einer Prüfung für Typ 1 werden nur exemplarische Nachweise über die Einrichtung der Kontrollen erbracht. Beim Typ 2 hingegen wird die wirksame Anwendung bzw. Durchführung der Kontrollen über den gesamten Prüfungszeitraum, der typischerweise 6 oder 12 Monate beträgt, nachgewiesen. Die Prüfung erfolgt oft anhand von Stichproben. Durch diese tiefergehende Betrachtung haben Berichterstattungen vom Typ 2 eine höhere Aussagekraft und Verlässlichkeit.

Nach Auffassung des BSI ist eine Wirksamkeitsprüfung (Typ 2) erforderlich, um eine angemessene Aussagekraft zu erzielen. Prüfungen der Angemessenheit (Typ 1) des dienstleistungsbezogenen internen Kontrollsystems sollten nur im Falle der Erstprüfung eines Cloud-Dienstes nach diesem Kriterienkatalog erfolgen und keinesfalls mehrmals hintereinander in Betracht gezogen werden. Der Typ der Berichterstattung wird im Bericht selbst ausgewiesen. Wir empfehlen Kunden ihren Dienste-Anbieter explizit darauf anzusprechen, falls wiederholt ein Prüfbericht vom Typ 1 vorgelegt wird.

Im C5 wird festgelegt, dass die Prüfung des und Berichterstattung zum C5 grundsätzlich nach dem Prüfstandard ISAE 3000 erfolgen soll. Es ist jedoch zu betonen, dass im C5 an mehreren Stellen Anforderungen konkretisiert oder hinzugefügt wurden, zum Beispiel bezüglich der Qualifikation der Prüfer oder der Mindestinhalte einer Berichterstattung. Die genauen Details sind Kapitel 3 des C5 zu entnehmen. Um eine BSI konforme C5-Prüfung durchzuführen, sind die Regelungen des C5 maßgeblich und umzusetzen.

Die Berichterstattung umfasst nachfolgende Bestandteile (siehe Abschnitt 3.4.8 des C5). Die Reihenfolge dieser Bestandteile kann im Einzelfall abweichend sein.

1. Prüfbericht des Auditors mit dem zusammenfassenden Prüfungsurteil
2. Erklärung der gesetzlichen Vertreter des Cloud-Anbieters über die sachgerechte Darstellung des dienstleistungsbezogenen internen Kontrollsystems in seiner Beschreibung sowie über die Angemessenheit (Berichterstattung vom Typ 1) sowie, sofern beauftragt, die Wirksamkeit der in der Beschreibung dargestellten Kontrollen (Berichterstattung vom Typ 2) – dieser Abschnitt entfällt bei einer direkten Prüfung
3. Beschreibung des dienstleistungsbezogenen internen Kontrollsystems des Cloud-Anbieters zur Bereitstellung des Cloud-Dienstes in Bezug auf die Kriterien des C5 (kurz: Systembeschreibung)
4. Darstellung der Kriterien des C5, der Kontrollen des Cloud-Anbieters sowie der Prüfungshandlungen und Prüfungsergebnisse des Auditors
5. Sonstige Informationen des Cloud-Anbieters, zum Beispiel Stellungnahmen zu festgestellten Mängeln (dieser Abschnitt ist optional und die darin enthaltenen Informationen sind nicht vom Prüfungsurteil abgedeckt)

Es besteht der Anspruch, dass alle C5-Kriterien so formuliert sind, dass sie überprüfbar und technikneutral sind. Es werden keine Maßnahmen für die Erfüllung der Kriterien vorgeschrieben, sondern es ist Aufgabe des Cloud-Anbieters geeignete Maßnahmen zu definieren und implementieren. Bei der Entwicklung des C5 wurde auch auf die internationale Anwendbarkeit der Kriterien wert gelegt.

Für ein C5-Testat müssen die Kriterien vollständig erfüllt werden. Sollten einzelne Kriterien aufgrund eines spezifischen Anwendungsfalls nicht relevant sein, kann gemäß Abschnitt 3.4.2.1 des C5 verfahren werden. Sollte es trotz großer Sorgfalt inhaltliche oder formale Probleme mit der Anwendung von einzelnen Kriterien geben, kann das BSI kontaktiert werden.

Ein Cloud-Anbieter, der alle Dienste selbst erbringt und keine Services von anderen Anbietern nutzt, ist eher die Ausnahme. Der Kriterienkatalog berücksichtigt die Nutzung von externen IT-Services daher explizit. Detaillierte Informationen zu dem Verfahren finden Sie in Abschnitt 3.4.5 des C5.

Nicht alle SaaS-Anbieter bieten auch selbst Infrastruktur an. Ein häufiger Anwendungsfall ist, dass die eigene SaaS-Applikation auf der Infrastruktur eines anderen Cloud-Anbieters betrieben wird. Auch in diesem Fall kann eine C5-Prüfung für den Cloud-Dienst durchgeführt werden. Prinzipiell kann der Anbieter der Infrastruktur als Subunternehmer behandelt werden, wie in Abschnitt 3.4.5 des C5 beschrieben.

Da es sich hierbei jedoch um einen wichtigen und häufig auftretenden Anwendungsfall handelt, hat das BSI diesen Fall intensiver untersucht. Ziel ist es, die für den SaaS-Anbieter relevanten Kriterien zu erfassen und zu ermitteln, welche der Kriterien überwiegend für die Subdienstleister relevant sind.

Falls ein Cloud-Anbieter bereits nach anderen Standards geprüft wird, aber sein internes Kontrollsystem noch nicht formalisiert hat, bestehen dennoch gute Chancen, dass eine C5-Prüfung mit moderatem Aufwand durchgeführt werden kann. Da der C5 sich an internationalen Standards orientiert, ist die Wahrscheinlichkeit groß, dass bereits viele Maßnahmen zur Erfüllung der C5-Kriterien umgesetzt werden. Falls das interne Kontrollsystem noch nicht formalisiert wurde, kann durch das Verfahren der direkten Prüfung, dennoch ein C5-Testat erreicht werden. Details hierzu finden Sie in Abschnitt 3.4.3.2 des C5.

Cloud-Anbieter haben typischerweise Kunden mit unterschiedlichen Compliance-Anforderungen und setzen daher oft mehrere Standards simultan um. Hierbei können folgende Situationen auftreten:

• Der Cloud-Anbieter hat bereits ein internes Kontrollsystem etabliert, welches auf internationalen Standards basiert. Er strebt nun eine C5-Testierung an.
• Der Cloud-Anbieter lässt bereits regelmäßig C5-Prüfungen durchführen und möchte nun zusätzlich noch andere Sicherheitsnachweise erreichen.

In beiden Fällen ist es nützlich, einen Vergleich der Anforderungen von internationalen Standards zu den C5-Kriterien durchzuführen, um die "Lücken" im bisherigen Kontrollsystem zu identifizieren. Hierzu können als eine erste Näherung die vom BSI veröffentlichten Referenztabellen verwendet werden. Es ist jedoch zu beachten, dass diese nur eine grobe Näherung darstellen und aufgrund unterschiedlicher Granularitäten und einem unterschiedlichen Abstraktionsniveau eine 1:1-Zuweisung von Kriterien verschiedener Standards oft nicht möglich ist.

Die Auditoren können sich auf die bereitgestellten Referenztabellen nicht verlassen, sondern müssen im Einzelfall inhaltlich prüfen, ob die C5-Anforderungen erfüllt sind. Die Referenztabellen dienen maßgeblich dem Cloud-Anbieter, um eine Prüfung gemäß C5 vorzubereiten.

Vorhandene Zertifikate anderer Standards werden im Rahmen eines C5-Testats grundsätzlich nicht anerkannt.

Die Art und Weise und Prüfungsmethodik von Zertifikaten unterscheidet sich in der Regel von dem beim C5 verwendeten Verfahren, da zum Beispiel die Wirksamkeit der Maßnahmen in der Vergangenheit nicht überprüft wird.

Falls die Prüfung der anderen Zertifikate mit der C5-Prüfung simultan durchgeführt wird, können Synergieeffekte entstehen.

Das BSI erreichen oft Anfragen, wer eine C5-Prüfung durchführen kann und ob das BSI Prüfer empfehlen oder vermitteln kann. Das BSI spricht solche Empfehlungen grundsätzlich nicht aus. Die Anforderungen an die Prüfer werden in Kapitel 3 des C5 spezifiziert und sollten bei einer Beauftragung als Vertragsbestandteil festgehalten werden.