Was sind die C5-Kriterien?

16. Oktober 2025

Immer mehr Unternehmen sichern ihre Daten in der Cloud. Orientierung, ob der Cloud-Dienst der eigenen Wahl tatsächlich sicher ist, sollen die C5-Kriterien geben. Was diese Kriterien umfassen, wie sie geprüft werden und für wen sie mittlerweile verpflichtend sind, erklärt Tobias Mielke, Cybersecurity-Experte von TÜV NORD.

#explore: Herr Mielke, was sind die C5-Kriterien?

Tobias Mielke: C5 ist die Abkürzung für den „Cloud Computing Compliance Criteria Catalogue“ – daher die fünf Cs. Sie wurden 2016 erstmals vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht, 2019 grundlegend überarbeitet und legen die Mindestanforderungen an die Sicherheit von Cloud-Diensten fest.
 

Welche Anforderungen stellt der Kriterienkatalog an Cloud-Anbieter?

Der Katalog besteht aus 121 Kriterien, die in 17 Themengebiete unterteilt sind, deckt also ein sehr breites Spektrum und zahlreiche Aspekte ab: Wie ist das Informationssicherheitsmanagementsystem (ISMS) organisiert? Gibt eine Leitlinie den Mitarbeitenden klare Orientierung, wie sie mit den Systemen und Daten umgehen müssen? Wer hat Zugriff auf die Systeme, wie ist der Zugriff abgesichert? Auch die physische Sicherheit wird von den Kriterien erfasst, also der Schutz der Serverräume gegen Einbruch, Sabotage oder Naturkatastrophen. Außerdem werden der Umgang mit Sicherheitsvorfällen und das Notfallmanagement geprüft: Wie werden die Nutzenden über Sicherheitslücken informiert? Gibt es Redundanzen, damit Kundinnen und Kunden auch beim Ausfall eines Rechenzentrums weiterhin auf ihre Daten zugreifen können?
 

Nehmen die C5-Kriterien auch Nutzende dieser Cloud-Dienste in die Pflicht?

Tatsächlich setzt das System auf geteilte Verantwortung. Das heißt, die Unternehmen, die diese Cloud-Dienste nutzen, müssen auf Basis des vorliegenden C5-Testats des Anbieters eine eigene Prüfung und Risikobewertung sogenannter korrespondierender Kriterien vornehmen, um nicht ihrerseits zur Sicherheitslücke zu werden. Dazu gehört etwa auch eine Exit-Strategie: Wenn ich den Cloud-Anbieter wechseln möchte, können die Daten ohne Weiteres auf einen neuen Dienst übertragen und dort geöffnet werden? Oder: Was passiert mit meinen Cloud-Daten, wenn mein Unternehmen verkauft wird oder in die Insolvenz geht?
 

Inwiefern sind die C5-Kriterien für Unternehmen und Institutionen im Gesundheitssektor besonders relevant?

Gesundheitsdaten sind besonders sensibel und haben daher immer den höchsten Schutzbedarf. Lange Zeit wurden diese besonders schützenswerten Daten etwa von Krankenkassen auf eigenen Servern gesichert und verwaltet. Mit dem Aufkommen der digitalen Gesundheitsanwendungen, besser bekannt als Apps auf Rezept, und anderen digitalen Angeboten im Medizinbereich werden auch hier kommerzielle Cloud-Dienste immer wichtiger. Deshalb hat der Gesetzgeber festgelegt, dass Krankenkassen und sogenannte Leistungserbringer im Gesundheitswesen, etwa Krankenhäuser, Apotheken, Kassenärztinnen und -ärzte, nur Cloud-Dienste verwenden dürfen, die ein C5-Testat nachweisen können. Seit Juli 2024 ist ein C5-Testat Typ 1 erforderlich, mit dem Stichtag 1. Juli 2025 wird nun das aufwendigere Testat Typ 2 benötigt.
 

Und wenn etwa kleinere Cloud-Anbieter ein solches Testat aktuell noch nicht vorlegen können?

In diesem Fall können gemäß der C5-Gleichwertigkeitsverordnung temporär auch vergleichbare Sicherheitsnachweise anerkannt werden, etwa eine Zertifizierung nach ISO 27001, mit der das Informationssicherheitsmanagementsystem geprüft wird. Der Cloud-Anbieter muss dann aber auch eine Gap-Analyse durchführen, also darlegen, welche C5-Kriterien nicht durch das aktuelle Zertifikat abgedeckt werden, und einen Meilensteinplan vorlegen, wie diese Lücken innerhalb der nächsten zwölf Monate geschlossen werden sollen. Nach 18 Monaten muss dann ein C5-Testat nach Typ 1 vorliegen, nach 24 Monaten nach Typ 2. Eine vollumfängliche C5-Prüfung ist also letztlich für die betroffenen Cloud-Anbieter im Gesundheitsbereich unumgänglich.
 

Was steht denn hinter einer Testierung nach Typ 1 und Typ 2, und wie laufen diese Prüfungen ab?

Grundsätzlich führen wir diese Prüfungen in Kooperation mit einer Wirtschaftsprüfungsgesellschaft durch und kontrollieren dabei den konkreten Cloud-Dienst des jeweiligen Anbieters in einer bestimmten Region. Bei einer Typ-1-Prüfung untersuchen wir, ob und wie das Unternehmen zu einem bestimmten Stichtag angemessene Sicherheitsmaßnamen implementiert hat. Bei einer Typ-2-Testierung überprüfen wir dann die Wirksamkeit dieser Maßnahmen und Prozesse über einen Zeitraum von zwölf Monaten: Beim Schwachstellenmanagement kontrollieren wir etwa, wie oft Sicherheitslücken entdeckt und ob die Kundinnen und Kunden ordnungsgemäß darüber informiert wurden. Wir schauen uns aber auch genau an, wer Zutritt zum gesicherten Bereich der Cloud-Infrastruktur hat und wie geprüft wird, wer diesen Bereich betritt. Eine solche Typ-2-Prüfung erfolgt einmal pro Jahr. Wir kontrollieren dabei die Wirksamkeit der Maßnahmen für die vergangenen zwölf Monate. Da der C5-Katalog die genannten 121 Kriterien umfasst und wir uns sämtliche Nachweise für die entsprechenden Aspekte anschauen, handelt es sich um eine sehr umfangreiche Prüfung, die mehrere Wochen beanspruchen kann.
 

Welchen Aufschluss gibt eine C5-Prüfung Nutzenden bezüglich der Sicherheit des jeweiligen Cloud-Dienstes?

Ein C5-Testat bestätigt, dass der jeweilige Cloud-Dienst strenge Anforderungen an Datenschutz, Informationssicherheit und technische Maßnahmen erfüllt. Es schafft Transparenz über die getroffenen Schutzmaßnahmen und schafft Vertrauen, dass sensible Daten etwa von Patientinnen und Patienten bestmöglich geschützt sind. Da die technologische Entwicklung nicht stehen bleibt und Cyberkriminelle immer wieder neue Angriffsmöglichkeiten finden, wird auch der Kriterienkatalog immer weiterentwickelt. Der Entwurf für einen neuen Kriterienkatalog liegt bereits vor. Bis Mitte September konnte er von der Community kommentiert werden und geht auf Basis dieser Anmerkungen nun in die nächste Überarbeitungsphase.