Informationssicherheit

C5-Testat: Der vollständige Leitfaden zur BSI-Cloud-Attestierung

Was das C5-Testat ist, wie es funktioniert und wie Sie es effizient erreichen.

Autor
Andy Mura
Datum
8.7.2026
Aktualisiert am
8.7.2026
C5-Testat: Der vollständige Leitfaden zur BSI-Cloud-Attestierung

Ein C5-Testat ist für viele Cloud-Anbieter in Deutschland längst die Eintrittskarte zu Kunden im öffentlichen Sektor, im Finanzwesen und in anderen regulierten Branchen. Wenn Sie Cloud-Dienste anbieten und größere deutsche Organisationen als Kunden gewinnen wollen, führt an der Attestierung nach dem Cloud Computing Compliance Criteria Catalogue kaum ein Weg vorbei. In diesem Leitfaden erklären wir Ihnen praxisnah, was hinter dem C5-Testat steckt, wie der Prüfprozess abläuft und wie Sie den Aufwand deutlich reduzieren.

Der Kriterienkatalog stammt vom Bundesamt für Sicherheit in der Informationstechnik und hat sich seit seiner Einführung 2016 zum De-facto-Standard für Cloud-Sicherheit im deutschsprachigen Raum entwickelt. Anders als ein reines Marketingversprechen liefert das Testat einen unabhängig geprüften Nachweis darüber, dass Ihre Sicherheitsmaßnahmen tatsächlich greifen.

Was ist ein C5-Testat?

Ein C5-Testat ist ein Prüfbericht, den ein unabhängiger Wirtschaftsprüfer ausstellt und der bestätigt, dass ein Cloud-Anbieter die Sicherheitsanforderungen des BSI-Kriterienkatalogs erfüllt. Der Begriff "C5" steht für Cloud Computing Compliance Criteria Catalogue, und das "Testat" ist die formale Bestätigung durch die Prüfinstanz.

Wichtig ist die sprachliche Präzision: Es handelt sich nicht um eine klassische Zertifizierung wie bei der ISO 27001 Zertifizierung, bei der eine akkreditierte Stelle ein Zertifikat vergibt. Das C5 ist eine Attestierung nach dem Prüfungsstandard ISAE 3000 beziehungsweise IDW PS 951. Der Prüfer gibt ein professionelles Urteil über die Angemessenheit und Wirksamkeit Ihrer Kontrollen ab.

Der aktuelle Katalog, veröffentlicht als C5:2020, umfasst 17 thematische Bereiche mit insgesamt rund 121 Kriterien. Diese reichen von der Organisation der Informationssicherheit über physische Sicherheit bis hin zu Betrieb, Identitätsmanagement und Umgang mit Sicherheitsvorfällen. Die vollständige Struktur ist in der offiziellen BSI-Dokumentation zum Kriterienkatalog einsehbar.

Ein wesentliches Merkmal des C5-Testats ist die Systembeschreibung. Der Anbieter beschreibt selbst detailliert, wie sein Cloud-Dienst aufgebaut ist und welche Maßnahmen umgesetzt werden. Der Prüfer bewertet anschließend, ob diese Beschreibung zutrifft und ob die Kontrollen wirksam sind. Diese Transparenz ist genau das, was regulierte Kunden für ihre eigene Risikobewertung benötigen.

Warum ein C5-Testat für Cloud-Anbieter entscheidend ist

Der wichtigste Grund ist Marktzugang: Ohne C5-Testat schließen sich viele Ausschreibungen im öffentlichen Sektor und in stark regulierten Branchen faktisch aus. Behörden und große Unternehmen verlangen den Nachweis zunehmend als Mindestanforderung.

Das Testat verschafft Ihnen einen messbaren Vertrauensvorsprung. Statt jedem Interessenten einzeln Sicherheitsfragebögen zu beantworten, legen Sie einen unabhängig geprüften Bericht vor. Das verkürzt Vertriebszyklen erheblich und senkt die sogenannte Audit-Müdigkeit auf beiden Seiten. Wie sich dieser wiederkehrende Aufwand mit den richtigen Werkzeugen reduzieren lässt, zeigt unsere Compliance-Automatisierungsplattform im Detail.

Hinzu kommt die regulatorische Verzahnung. Ein C5-Testat lässt sich hervorragend mit anderen Nachweispflichten kombinieren, etwa mit den Anforderungen aus NIS2, DORA oder branchenspezifischen Aufsichtsvorgaben. Viele Organisationen betreiben deshalb ein integriertes Programm über mehrere Compliance-Frameworks hinweg, statt jeden Standard isoliert zu behandeln.

Nicht zuletzt ist das C5 ein internationales Signal. Der Katalog orientiert sich an etablierten Standards wie ISO/IEC 27001, der Cloud Controls Matrix der Cloud Security Alliance und den Trust Services Criteria, die auch SOC 2 zugrunde liegen. Wer C5 erfüllt, hat den Großteil der Arbeit für angrenzende Nachweise bereits geleistet.

C5 Typ 1 und Typ 2: Der entscheidende Unterschied

Beim C5-Testat gibt es zwei Ausprägungen: Typ 1 bestätigt die Angemessenheit der Kontrollen zu einem Stichtag, Typ 2 bestätigt zusätzlich deren Wirksamkeit über einen längeren Zeitraum. Der Unterschied ist für Kunden erheblich, weil nur Typ 2 belegt, dass Ihre Maßnahmen im Alltag tatsächlich funktionieren.

Ein Typ-1-Testat eignet sich als Einstieg. Es zeigt, dass Sie zu einem bestimmten Datum ein passend gestaltetes Kontrollsystem hatten. Der Prüfer betrachtet dabei das Design, nicht den Nachweis über die Zeit. Das ist schneller zu erreichen und oft der erste Schritt für Anbieter, die frisch in den Markt eintreten.

Ein Typ-2-Testat ist der Goldstandard. Hier prüft der Wirtschaftsprüfer über einen Zeitraum von typischerweise sechs bis zwölf Monaten, ob die Kontrollen durchgängig wirksam waren. Genau diesen Nachweis erwarten anspruchsvolle Kunden. Die folgende Übersicht fasst die Unterschiede zusammen.

Merkmal C5 Typ 1 C5 Typ 2
Prüfgegenstand Angemessenheit der Kontrollen (Design) Angemessenheit und Wirksamkeit über die Zeit
Bezugspunkt Ein Stichtag Zeitraum von 6 bis 12 Monaten
Aussagekraft für Kunden Grundlegend Hoch
Typischer Anwendungsfall Markteinstieg, erster Nachweis Etablierte Anbieter, regulierte Kunden
Aufwand Geringer Höher, dafür deutlich wertvoller

Unsere Empfehlung: Planen Sie von Anfang an auf Typ 2 hin. Ein Typ-1-Testat als Zwischenschritt ist sinnvoll, sollte aber nicht das Endziel sein, wenn Sie ernsthaft in regulierte Märkte wollen.

So läuft der Weg zum C5-Testat ab

Der Weg zum C5-Testat folgt einem klaren Ablauf, von der Bestandsaufnahme bis zur Prüfung durch den Wirtschaftsprüfer. Wer die Schritte kennt, vermeidet die häufigsten Verzögerungen.

  1. Scoping und Gap-Analyse. Zuerst legen Sie fest, welcher Cloud-Dienst geprüft wird, und vergleichen Ihren Ist-Zustand mit den C5-Kriterien. Hier zeigt sich, wo Lücken bestehen.
  2. Umsetzung der Maßnahmen. Sie schließen die identifizierten Lücken, dokumentieren Prozesse und richten die notwendigen technischen und organisatorischen Kontrollen ein.
  3. Erstellung der Systembeschreibung. Sie beschreiben Ihr System und Ihre Kontrollen so, dass ein außenstehender Prüfer sie nachvollziehen kann.
  4. Prüfung durch den Wirtschaftsprüfer. Der unabhängige Prüfer bewertet Design und, bei Typ 2, Wirksamkeit über den Prüfzeitraum.
  5. Testat und Bericht. Am Ende erhalten Sie den Prüfbericht mit dem professionellen Urteil, den Sie Ihren Kunden vorlegen können.

Der zeitintensivste Teil ist selten die eigentliche Prüfung. Es ist die kontinuierliche Nachweisführung: Belege sammeln, Kontrollen dokumentieren und den Zustand über Monate hinweg konsistent halten. Genau an dieser Stelle scheitern viele Projekte am manuellen Aufwand. Ein strukturierter Ansatz zur automatisierten Beweissammlung, wie ihn moderne GRC-Software von Kertos bietet, macht hier den Unterschied zwischen einem quälenden und einem planbaren Projekt.

Wichtig ist auch die richtige Erwartung an die Dauer. Für ein Typ-2-Testat sollten Sie realistisch mit mehreren Monaten rechnen, allein wegen des vorgeschriebenen Beobachtungszeitraums. Wer diesen Zeithorizont früh einplant, kann den Vertrieb entsprechend takten.

C5 im Vergleich zu ISO 27001 und SOC 2

C5, ISO 27001 und SOC 2 verfolgen ein ähnliches Ziel, unterscheiden sich aber in Herkunft, Prüflogik und Marktakzeptanz. Kurz gesagt: ISO 27001 ist der globale Managementstandard, SOC 2 der US-geprägte Attestierungsbericht und C5 der deutsche Cloud-spezifische Kriterienkatalog.

Die gute Nachricht für Sie: Diese Standards überschneiden sich stark. Der C5-Katalog wurde bewusst so gestaltet, dass er auf bestehende Rahmenwerke aufbaut. Wenn Sie bereits ein Informationssicherheits-Managementsystem nach ISO 27001 betreiben, haben Sie viele C5-Kriterien im Kern schon abgedeckt. Die Grundlagen dazu erklären wir in unserem Beitrag zu den Anforderungen der ISO 27001.

Diese Verwandtschaft ist auch der Grund, warum ein Mehr-Standard-Programm effizienter ist als isolierte Einzelprojekte. Eine Kontrolle, die Sie einmal sauber umsetzen und dokumentieren, zahlt oft gleichzeitig auf C5, ISO 27001, SOC 2 und weitere Nachweise ein.

Wann welcher Standard sinnvoll ist

Entscheidend ist, wo Ihre Kunden sitzen. Für den deutschen öffentlichen Sektor und regulierte deutsche Unternehmen ist das C5-Testat oft die klarste Erwartung. Verkaufen Sie international, ist ISO 27001 die universelle Sprache. Adressieren Sie primär US-amerikanische Kunden, führt an SOC 2 selten ein Weg vorbei. In der Praxis brauchen wachsende Cloud-Anbieter meist eine Kombination, und genau hier lohnt sich ein integriertes Vorgehen.

Häufige Fragen zum C5-Testat

Ist ein C5-Testat gesetzlich verpflichtend?
Nein, es besteht keine allgemeine gesetzliche Pflicht. In der Praxis wird das Testat aber durch Ausschreibungen, Verträge und Aufsichtsvorgaben häufig faktisch verlangt, besonders im öffentlichen Sektor und in regulierten Branchen.

Wie lange ist ein C5-Testat gültig?
Ein C5-Testat bezieht sich auf einen bestimmten Zeitraum oder Stichtag und wird üblicherweise jährlich erneuert. Kunden erwarten in der Regel ein aktuelles Testat, das den jeweils letzten Prüfzeitraum abdeckt.

Wer darf ein C5-Testat ausstellen?
Das Testat wird von unabhängigen Wirtschaftsprüfern beziehungsweise Prüfungsgesellschaften nach den Standards ISAE 3000 oder IDW PS 951 ausgestellt, nicht vom BSI selbst. Das BSI stellt den Kriterienkatalog bereit, führt aber keine Prüfungen durch.

Reicht ISO 27001 als Ersatz für C5?
Nicht vollständig. ISO 27001 deckt viele C5-Kriterien ab, aber C5 enthält zusätzliche cloud-spezifische Anforderungen und die charakteristische Systembeschreibung. Eine bestehende ISO-Zertifizierung verkürzt jedoch den Weg zum Testat erheblich.

Mit dem richtigen Ansatz zum C5-Testat

Ein C5-Testat ist kein einmaliges Projekt, sondern ein kontinuierlicher Nachweis, dass Ihre Cloud-Sicherheit hält, was sie verspricht. Der Aufwand entsteht selten durch die Kriterien selbst, sondern durch die dauerhafte, konsistente Nachweisführung über Monate hinweg. Wer diesen Teil automatisiert, verwandelt eine zähe Pflichtübung in einen planbaren, wiederholbaren Prozess.

Kertos bündelt genau diese Arbeit auf einer Plattform: Kontrollen einmal umsetzen, Belege automatisch sammeln und mehrere Standards parallel bedienen. Wenn Sie sehen möchten, wie sich Ihr Weg zum C5-Testat konkret beschleunigen lässt, buchen Sie eine Kertos-Demo und besprechen Sie Ihren Anwendungsfall mit unseren Experten.

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

C5-Testat: Der vollständige Leitfaden zur BSI-Cloud-Attestierung
Bereit, deine Compliance auf Autopilot zu setzen?
Dr Kilian Schmidt

Dr Kilian Schmidt

CEO & Co-Founder, Kertos GmbH

Dr. Kilian Schmidt entwickelte schon früh ein starkes Interesse an rechtlichen Prozessen. Nach seinem Studium der Rechtswissenschaften begann er seine Karriere als Senior Legal Counsel und Datenschutzbeauftragter bei der Home24 Gruppe. Nach einer Tätigkeit bei Freshfields Bruckhaus Deringer wechselte er zu TIER Mobility, wo er als General Counsel maßgeblich am Ausbau der Rechts- und Public Policy-Abteilung beteiligt war - und das Unternehmen von einer auf 65 Städte und von 50 auf 800 Mitarbeiter vergrößerte. Motiviert durch die begrenzten technologischen Fortschritte im Rechtsbereich und inspiriert durch seine beratende Tätigkeit bei Gorillas Technologies, war er Co-Founder von Kertos, um die nächste Generation der europäischen Datenschutztechnologie zu entwickeln.

Über Kertos

Kertos ist das moderne Rückgrat der Datenschutz- und Compliance-Aktivitäten von skalierenden Unternehmen. Wir befähigen unsere Kunden, integrale Datenschutz- und Informationssicherheitsprozesse nach DSGVO, ISO 27001, TISAX®, SOC2 und vielen weiteren Standards durch Automatisierung schnell und günstig zu implementieren.

Bereit für Entlastung in Sachen Compliance?

CTA Image

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check