In einer Zeit, in der Datenschutzverletzungen, Cyberangriffe und Compliance-Themen täglich für Schlagzeilen sorgen, wird eines immer deutlicher: IT-Sicherheit ist keine Kür mehr, sondern Pflicht.

Doch was bedeutet das für Systemhäuser und Web-Agenturen, die Cloud-Infrastrukturen betreiben oder für ihre Kunden bereitstellen? Wie kannst du glaubhaft nachweisen, dass deine Cloud-Umgebung heutigen Sicherheitsanforderungen wirklich gerecht wird?

Genau hier kommt C5 ins Spiel – der Cloud Computing Compliance Criteria Catalogue des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Name klingt etwas sperrig, doch die Bedeutung für dein Geschäft ist umso größer.

Wir bei dogado.partners haben C5 implementiert und erwarten gerade das offizielle Testat. In diesem Beitrag zeigen wir dir, was hinter dem C5-Testat steckt und warum du und deine Kunden davon konkret profitieren.

Inhaltsverzeichnis

Was ist C5?

C5 ist ein Sicherheitsstandard speziell für Cloud-Dienste. Entwickelt wurde er vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik. Ziel ist es, dir als Cloud-Kunde eine verlässliche Grundlage zur Bewertung der Sicherheit und Vertrauenswürdigkeit eines Cloud-Angebots zu geben.

Der Kriterienkatalog basiert auf anerkannten Standards wie ISAE 3000. Er definiert umfassende Anforderungen an:

  • Informationssicherheitsmanagement
  • Personalsicherheit
  • Kommunikationssicherheit
  • Betriebssicherheit
  • Datenschutz und Compliance
  • Risiko- und Schwachstellenmanagement
  • Technische und organisatorische Schutzmaßnahmen
  • Notfallpläne und Wiederherstellungsverfahren
  • Zugriffskontrolle
  • Beschaffung, Entwicklung und Wartung

Er definiert eben, wie Anbieter wie wir mit sensiblen Daten umgehen müssen: von Datenschutz über Zugriffskontrollen bis hin zur regelmäßigen Sicherheitsprüfung durch unabhängige Auditoren.

Cloud-Anbieter mit C5 zeigen damit, dass sie diese Anforderungen aktiv umsetzen, dokumentieren und stetig verbessern.

Kurz gesagt: Das C5 Typ 2 Testat ist der Nachweis, dass ein Cloud-Anbieter sicher, transparent und gesetzeskonform arbeitet.

Hier findest du den aktuellen Kriterienkatalog aus dem Jahr 2020 vom BSI

Warum ist C5 für Systemhäuser und Web-Agenturen so wichtig?

Systemhäuser und Agenturen stehen im direkten Kontakt mit Unternehmen, die zunehmend höchste Sicherheitsstandards erwarten. Viele Kunden, gerade aus dem Gesundheitswesen oder dem öffentlichen Bereich, fragen gezielt nach Sicherheitsnachweisen.

Ein Anbieter, der hier nicht mithalten kann, wird schnell zum Risiko.

C5 schafft Vertrauen bei deinen Kunden, bei Partnern und auch im Vertrieb. Denn es ist mehr als ein internes Sicherheitskonzept. Es ist ein extern geprüftes und dokumentiertes Sicherheitsversprechen, das öffentlich einsehbar ist.

Ein Anbieter mit C5 Typ 2 Testat zeigt, dass er höchsten Sicherheits- und Compliance-Anforderungen der Welt entspricht. Für Unternehmen und Behörden ist C5 ein entscheidendes und ausschlaggebendes Argument bei der Auswahl sicherer Cloud-Dienste.

Welche Vorteile bietet ein C5-Testat konkret?

1. Vertrauenswürdigkeit

Ein Prüfbericht durch ein unabhängiges Wirtschaftsprüferunternehmen schafft Vertrauen bei Kunden, Partnern und Behörden. Es zeigt, dass wir als Cloud-Service Provider in der Lage sind mit sensiblen Daten verantwortungsvoll und sicher umzugehen.

2. Compliance

Ob DSGVO, branchenspezifische Vorgaben oder interne Sicherheitsstandards, mit einem C5-Testat sind bereits viele wichtige Anforderungen abgedeckt. Das spart Zeit und Aufwand bei Sicherheitsprüfungen oder externen Audits.

3. Wettbewerbsvorteil

Sicherheit wird zunehmend zum Unterscheidungsmerkmal am Markt. Kunden bevorzugen Anbieter, die ihre Prozesse dokumentiert und geprüft haben. Mit einem C5-Testat Typ 2 positionieren wir uns als vertrauenswürdiger Partner mit hohen Standards und du somit auch.

4. Zukunftssicherheit

Der C5-Katalog wird regelmäßig aktualisiert. Wer sich heute auf diesen Standard einstellt, ist auch für kommende Sicherheits- und Compliance-Anforderungen bestens vorbereitet.

5. Transparenz
Wir als Anbieter dokumentieren Prozesse und Sicherheitsmaßnahmen für dich und deine Kunden transparent und nachvollziehbar.

Was ist ein C5-Testat?

Das C5-Testat ist der Prüfbericht einer umfangreichen Sicherheitsprüfung. Dabei kontrollieren unabhängige Wirtschaftsprüfer, ob wir als Cloud-Dienst alle Anforderungen des C5-Katalogs des BSI erfüllen. Grundlage der Prüfung sind internationale ISO-Standards, Anforderungen des BSI wie z. B. aus dem IT-Grundschutz-Kompendium 2 sowie der IDW PS 860, ein Standard für IT-Prüfungen von Wirtschaftsprüfern.

Der Prüfer erstellt am Ende einen Bericht, der öffentlich zugänglich gemacht werden kann. Darin enthalten sind unter anderem:

  • die Beschreibung des geprüften Cloud-Dienstes
  • die ergriffenen Sicherheitsmaßnahmen
  • der Prüfzeitraum
  • eine klare Aussage zur Erfüllung der C5-Kriterien

Dieser Bericht ermöglicht es dir und deinen Kunden, die Sicherheitsvorkehrungen transparent zu bewerten, ohne tief ins Detail einsteigen zu müssen.

C5 vs. ISO 27001: Was ist der Unterschied?

ISO 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme. C5 baut teilweise auf ISO 27001 auf, geht aber weiter: Er ergänzt spezielle Anforderungen für Cloud-Umgebungen, z. B. zur Transparenz der Datenverarbeitung oder zum Umgang mit Behördenanfragen. Während ISO 27001 eher das "Wie" der Sicherheit regelt, legt C5 den Fokus auf das "Was ist wie umgesetzt und wie wird das nachgewiesen?". Es ist mehr ein internes Kontrollsystem mit Beweisen für die Wirksamkeit. Für Cloud-Kunden ist C5 daher ein greifbarer, praxisnaher Prüfrahmen.

So läuft eine C5-Prüfung ab – Ein Blick hinter die Kulissen

Die C5-Prüfung wird von externen unabhängigen Wirtschaftsprüfern durchgeführt. Geprüft wird, ob der Anbieter die im Katalog definierten Anforderungen erfüllt. Die Ergebnisse werden in einem ausführlichen Prüfbericht dokumentiert. Die Testierung umfasst mehrere Schritte und kann Monate in Anspruch nehmen.

  1. Vorbereitung: In einem Beratungsgespräch werden die Anforderungen und der Ablauf der Testierung besprochen. Somit werden die Schritte und der Zeitrahmen in einer Roadmap festgehalten. Außerdem müssen die erforderlichen Dokumente und Nachweise für das Audit gesammelt werden.
  2. Audit: Der externe Wirtschaftsprüfer führt Kontrolltests und Interviews durch und prüft die Dokumentation.
  3. Berichterstellung: Der Prüfer fasst die Ergebnisse in einem umfassenden Prüfungsbericht zusammen.
  4. Testat: Das C5-Testat (Typ 2) bestätigt die Erfüllung der Anforderungen des C5-Katalogs.

Warum wir bei dogado.partners auf C5 setzen

Sicherheit war für uns schon immer ein zentrales Thema. Doch mit dem wachsenden Bedarf unserer Partner nach nachvollziehbaren Sicherheitskonzepten wollten wir mehr bieten, nicht nur intern gut aufgestellt sein, sondern es auch offiziell und transparent machen. Deshalb haben wir die Anforderungen des C5-Katalogs umgesetzt.

Aktuell haben wie das Audit mit Tests und Interviews erfolgreich hinter uns gebracht und erwarten nun das offizielle Testat. Die gute Nachricht: Schon jetzt ist unsere Cloud-Umgebung vollständig C5-konform aufgestellt. Für dich bedeutet das: Du arbeitest bereits heute auf einer Plattform, die höchste Anforderungen an Sicherheit und Transparenz erfüllt.

Beratungstermin mit unseren Cloud-Experten

Jetzt beraten lassen

Wir setzen neue Maßstäbe für Ihre Cloud-Sicherheit

Du möchtest mehr darüber erfahren und willst wissen, wie du oder deine Kunden von einem C5-konformen Cloud-Dienst profitieren?
Dann sprich mit unseren Cloud-Experten und erfahre, wie wir dich dabei unterstützen, IT-Sicherheit gezielt als Wettbewerbsvorteil zu nutzen.

Oder besuche unsere Produktseite zur vDataCenter Cloud!

Kennst du schon unser zertifiziertes Rechenzentrum in NRW?

Unser eigenes KAMP Rechenzentrum in Oberhausen ist zertifiziert und ausgezeichnet. Colocation oder Server-Housing ist zum Beispiel eine gute Wahl, um sensible Daten zu schützen: Die gesamte Infrastruktur des Rechenzentrums ist redundant ausgelegt. Du möchtest mehr darüber wissen? Lies hier weiter. 

Bewertung des Beitrages: Ø0,0

Danke für deine Bewertung

Der Beitrag hat dir gefallen? Teile ihn doch mit deinen Freunden & Arbeitskollegen

Facebook X LinkedIn WhatsApp