Der Katalog C5:2020 besteht aus 121 Kriterien, die sich in 17 Themengebiete gliedern (siehe Abschnitt 2.2 im C5). Die Kriterien des C5 wurden von national und international etablierten Standards und Publikationen im Bereich Cloud Computing und Informationssicherheit abgeleitet (siehe Abschnitt 2.3 des Kriterienkatalogs). Referenztabellen erleichtern eine Zuordnung der Kriterien des C5 zu diesen Standards und Publikationen. Der Katalog beinhaltet nur prüfbare Kriterien und schreibt nicht vor, durch welche Maßnahmen diese zu erfüllen sind.

Die Definition der Kriterien erfolgte unter Einbeziehung von Cloud-Anbietern, Cloud-Kunden, Wirtschaftsprüfern, Auditoren und Verbänden, um unterschiedliche Anforderungen sowie Erfahrungen aus der Praxis darin einfließen zu lassen.

Das Ziel einer C5-Prüfung ist eine transparente Berichterstattung hinsichtlich der Informationssicherheit eines Cloud-Dienstes, welche durch den (potentiellen) Kunden im Rahmen seines Risikomanagements sowie bei der Auswahl, Steuerung und Überwachung seines Cloud-Anbieters berücksichtigt werden kann. Um die Transparenz für den Kunden zu erhöhen, werden Vorgaben hinsichtlich der Inhalte einer solchen Berichterstattung gemacht. Hierzu gehören insbesondere Informationen zu den Rahmenbedingungen des Cloud-Dienstes, wie Angaben zur Verfügbarkeit und Störungsbeseitigung, den eingesetzten Subdienstleistern, der geografischen Lage der Rechenzentren und dem Umgang mit Ermittlungsanfragen staatlicher Stellen (siehe Abschnitt 4 des Kriterienkatalogs).

Der Kriterienkatalog hat für Cloud-Kunden und Cloud-Anbieter einen empfehlenden Charakter. Für Bundesbehörden wird die Einhaltung des Standards im Rahmen der Anwendung des Mindeststandards zur Nutzung externer Cloud-Dienste eingefordert.

Der "International Standard on Assurance Engagements 3000"(kurz: ISAE 3000) bildet den übergeordneten Rahmen der Prüfungsmethodik.

Prüfungsgegenstand einer Prüfung nach C5 ist das dienstleistungsbezogene interne Kontrollsystem des Cloud-Anbieters zur Bereitstellung des Cloud-Dienstes. Dieses umfasst die Grundsätze, Verfahren und Maßnahmen, einschließlich der dafür eingerichteten Kontrollen in seiner Aufbau- und Ablauforganisation. Der Cloud-Anbieter fertigt hierüber entweder eine Beschreibung an und gibt eine Erklärung ab (Prüfung einer Erklärung) oder die Auditoren erheben die eingerichteten Kontrollen im Rahmen der Prüfungsdurchführung selbst und erstatten hierüber Bericht (direkte Prüfung).

Prüfungen können in der Form einer Angemessenheitsprüfung oder einer Wirksamkeitsprüfung durchgeführt werden. Bei der darüber erstellten Berichterstattung unterscheidet man zwischen

• Berichterstattungen vom Typ 1: Der Auditor gibt ein Prüfungsurteil darüber ab, ob die Kontrollen zum Zeitpunkt der Prüfung angemessen ausgestaltet und eingerichtet sind, um die Kriterien des C5 mit hinreichender Sicherheit zu erfüllen (englisch: „suitability of the design“).
• Berichterstattungen vom Typ 2: Neben der Aussage zur Angemessenheit, umfasst das Prüfungsurteil eine Aussage über die Wirksamkeit der Kontrollen in einem Prüfungszeitraum (englisch: „operating effectiveness“).

An einem Beispiel aus der Praxis soll der Unterschied veranschaulicht werden:

Das Basiskriterium OPS-02 sieht technische und organisatorische Maßnahmen zur Überwachung vor. Der Cloud-Anbieter hat in seiner Beschreibung zu diesem Kriterium angegeben, dass der Dienst einer ständigen Überwachung unterliegt, um beim Erreichen bestimmter Schwellenwerte rechtzeitig reagieren zu können. Mittels Monitoring-Software werden dafür Verfügbarkeit, Kapazität und Performance überwacht.
Bei einer Berichterstattung vom Typ 1 hat sich der Auditor zum Zeitpunkt der Prüfung davon zu überzeugen, dass diese Monitoring-Software tatsächlich im Einsatz ist und die besagten Kriterien auf Basis angemessen definierter Schwellenwerte überwacht.
Bei einer Berichterstattung vom Typ 2 muss sich der Auditor zusätzlich davon überzeugen, dass das Monitoring durchgängig im Prüfungszeitraum erfolgte. Hierzu muss der Cloud-Anbieter entsprechende Nachweise vorhalten (zum Beispiel Protokolldateien), die es dem Auditor erlauben, Unterbrechungen der Überwachungen oder das Erreichen der definierten Schwellenwerte zu identifizieren. Der Auditor würde sich für diese Ereignisse, meist stichprobenartig, die dazugehörigen Aufzeichnungen aushändigen lassen, um sich von der Wirksamkeit des Meldewesens zu überzeugen.

Insbesondere bei der Nachweiserbringung werden die Unterschiede deutlich: Bei einer Prüfung für Typ 1 werden nur exemplarische Nachweise über die Einrichtung der Kontrollen erbracht. Beim Typ 2 hingegen wird die wirksame Anwendung bzw. Durchführung der Kontrollen über den gesamten Prüfungszeitraum, der typischerweise 6 oder 12 Monate beträgt, nachgewiesen. Die Prüfung erfolgt oft anhand von Stichproben. Durch diese tiefergehende Betrachtung haben Berichterstattungen vom Typ 2 eine höhere Aussagekraft und Verlässlichkeit.

Nach Auffassung des BSI ist eine Wirksamkeitsprüfung (Typ 2) erforderlich, um eine angemessene Aussagekraft zu erzielen. Prüfungen der Angemessenheit (Typ 1) des dienstleistungsbezogenen internen Kontrollsystems sollten nur im Falle der Erstprüfung eines Cloud-Dienstes nach diesem Kriterienkatalog erfolgen und keinesfalls mehrmals hintereinander in Betracht gezogen werden. Der Typ der Berichterstattung wird im Bericht selbst ausgewiesen. Wir empfehlen Kunden ihren Dienste-Anbieter explizit darauf anzusprechen, falls wiederholt ein Prüfbericht vom Typ 1 vorgelegt wird.

Die Berichterstattung umfasst nachfolgende Bestandteile (siehe Abschnitt 3.4.8 des C5). Die Reihenfolge dieser Bestandteile kann im Einzelfall abweichend sein.

1. Prüfbericht des Auditors mit dem zusammenfassenden Prüfungsurteil
2. Erklärung der gesetzlichen Vertreter des Cloud-Anbieters über die sachgerechte Darstellung des dienstleistungsbezogenen internen Kontrollsystems in seiner Beschreibung sowie über die Angemessenheit (Berichterstattung vom Typ 1) sowie, sofern beauftragt, die Wirksamkeit der in der Beschreibung dargestellten Kontrollen (Berichterstattung vom Typ 2) – dieser Abschnitt entfällt bei einer direkten Prüfung
3. Beschreibung des dienstleistungsbezogenen internen Kontrollsystems des Cloud-Anbieters zur Bereitstellung des Cloud-Dienstes in Bezug auf die Kriterien des C5 (kurz: Systembeschreibung)
4. Darstellung der Kriterien des C5, der Kontrollen des Cloud-Anbieters sowie der Prüfungshandlungen und Prüfungsergebnisse des Auditors
5. Sonstige Informationen des Cloud-Anbieters, zum Beispiel Stellungnahmen zu festgestellten Mängeln (dieser Abschnitt ist optional und die darin enthaltenen Informationen sind nicht vom Prüfungsurteil abgedeckt)

Ob der C5 Prüfbericht ein geeignetes Mittel als Nachweis hinsichtlich der Informationssicherheit eines Cloud-Dienstes darstellt, liegt im Ermessen des jeweiligen Kunden und ist abhängig von seinem individuellen Anwendungsfall. Wir empfehlen Kunden eine Schutzbedarfsfeststellung durchzuführen. Ein grundsätzlichen Leitfaden dazu ist hier zu finden. Hierbei wird analysiert, welche Informationen im Cloud-Dienst verarbeitet werden sollen und wie schutzbedürftig diese sind. Typischerweise erfolgte die Evaluierung hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit. Die Schutzbedarfsfeststellung muss unter Berücksichtigung aller Geschäftsfelder sowie der aktuellen Gesetzeslage ergebnisoffen durchgeführt werden.

Nach der Schutzbedarfsfeststellung muss ermittelt werden, ob die Kriterien, die im BSI C5 formuliert sind, dem identifizierten Schutzbedarf gerecht werden. Falls die Basiskriterien hierfür nicht ausreichend sein sollten, können auch die Zusatzkriterien oder eigene, individuelle Kriterien in Betracht gezogen werden. Hierbei ist jedoch zu beachten, dass diese nicht zwingend Gegenstand einer Berichterstattung nach C5 sind.

Wenn der Cloud-Anbieter eine aktuelle Berichterstattung gemäß C5 vorlegen kann, kann diese abhängig vom Anwendungsfall und bei guter Qualität, Vollständigkeit sowie sachgerechter Verwertung ein geeignetes Werkzeug zur Steuerung und Überwachung des Cloud-Anbieters sein. Cloud-Kunden sollten darüber hinaus aber auch die Einrichtung weiterer Maßnahmen prüfen, zum Beispiel:

• Durchsicht der vom Cloud-Anbieter bereitgestellten Berichte über die Erfüllung der Dienstgütevereinbarung
• Regelmäßige Treffen mit Vertretern des Cloud-Anbieters zur Nachbetrachtung der Diensterbringung (Business Reviews)
• Durchführen eigener Prüfungen (etwa durch die Interne Revision), ggf. im Zusammenschluss mit anderen Kunden des Cloud-Anbieters

Bei einem Zertifikat gibt es drei verschiedene Parteien: Auditierter, Auditor, Zertifizierungsstelle. Der Auditbericht des von der Zertifizierungsstelle akkreditierten Auditors, wird zur Überprüfung an die Zertifizierungsstelle geschickt. Wenn dieser den Regularien der Zertifizierung entspricht, wird von der Zertifizierungsstelle ein entsprechendes Zertifikat erteilt. Die Beteiligung dieser drei Parteien soll die Qualität und Vergleichbarkeit der Zertifikate gewährleisten. Zudem verhindert oder erschwert ein solches Vorgehen "Gefälligkeits-Zertifikate". Derzeit existiert grundsätzlich kein C5 Zertifikat.

Bezüglich des C5 wird das Verfahren einer Testierung vorausgesetzt. Hierbei gibt es nur zwei Parteien: den Auditierten und den Auditor. Der Auditor wird vom Auditierten mit der Prüfung beauftragt und von ihm bezahlt. Die Berichte werden nicht durch eine unabhängige Stelle geprüft. Es besteht in diesem Sinne eine Abhängigkeit des Auditors vom Auditierten, die zu einer Beeinträchtigung der Qualität des Testats führen könnte. Die kritische Auswertung des Prüfberichtes und die Beurteilung der Qualität liegt in der Verantwortung des Kunden und ist unerlässlich. Kunden sollten daher immer den entsprechenden Prüfbericht beim Cloud-Anbieter anfordern.