BSI C5:2026 Audit-Readiness: Ein praktischer Leitfaden fuer Cloud-Diensteanbieter
Was der neue Cloud Computing Compliance Criteria Catalogue fuer Ihre naechste Pruefung bedeutet, und wie Sie sich vor der Frist im Juni 2027 vorbereiten.**
BSI C5:2026 Audit-Readiness: Ein praktischer Leitfaden fuer Cloud-Diensteanbieter
Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) hat den C5:2026 veroeffentlicht — die zweite grosse Ueberarbeitung des Cloud Computing Compliance Criteria Catalogue. Fuer Cloud-Diensteanbieter im europaeischen Markt und fuer alle Organisationen, die Cloud-Infrastruktur fuer regulierte Workloads nutzen, veraendert dieses Update die Pruefungslandschaft grundlegend.
Dieser Leitfaden erlaeutert die pruefungsrelevanten Anforderungen des C5:2026, zeigt die wesentlichen Unterschiede zum Vorgaenger auf und bietet eine praxisnahe Roadmap fuer die Vorbereitung auf die naechste Pruefung.
Was ist eine C5-Pruefung?
Eine C5-Pruefung ist eine unabhaengige Bewertung des internen Kontrollsystems eines Cloud-Diensteanbieters durch einen externen Pruefer. Geprueft wird, ob Grundsaetze, Verfahren und Massnahmen des Anbieters die im C5-Katalog des BSI definierten Sicherheitskriterien erfuellen.
Das BSI ist am Pruefungsverfahren selbst nicht beteiligt. Der Pruefer agiert unabhaengig und wird in der Regel vom Cloud-Diensteanbieter — nicht vom Kunden — beauftragt. Der resultierende Pruefbericht wird bestehenden und potenziellen Kunden zur Verfuegung gestellt, damit diese die Informationssicherheit des Dienstes fuer ihren jeweiligen Anwendungsfall beurteilen koennen.
Gemaess C5:2026 muessen Konformitaetsbewertungen nach ISAE 3000 (Revised), dem deutschen Pruefungsstandard PS 860 oder gleichwertigen nationalen Standards durchgefuehrt werden.
Typ-1- vs. Typ-2-Berichte: Welcher Bericht ist der richtige?
Der C5:2026 unterscheidet zwei Arten von Pruefberichten. Welcher fuer Sie in Frage kommt, haengt davon ab, an welchem Punkt Ihres Compliance-Wegs Sie sich befinden.
Ein Typ-1-Bericht bewertet, ob die Kontrollen des Anbieters zu einem bestimmten Stichtag angemessen konzipiert sind. Er beantwortet die Frage: "Sind die richtigen Kontrollen vorhanden?" Dieser Berichtstyp ist ausschliesslich fuer Erstpruefungen vorgesehen — etwa bei der Einfuehrung eines neuen Cloud-Dienstes. Typ-1-Berichte koennen nicht wiederholt erstellt werden.
Ein Typ-2-Bericht geht weiter: Er bewertet sowohl die Konzeption als auch die Wirksamkeit der Kontrollen ueber einen definierten Zeitraum und beantwortet damit: "Sind die Kontrollen vorhanden — und haben sie tatsaechlich funktioniert?" Alle Folgepruefungen muessen Typ-2-Berichte sein. Der Pruefungszeitraum betraegt mindestens drei Monate; er sollte in der Regel zwoelf Monate nicht ueberschreiten, wobei Ausnahmen zur Abstimmung mit anderen Pruefungszyklen moeglich sind.
Wichtig: Der Katalog erlaubt fuer Erstpruefungen einen Typ-1-Bericht — schreibt ihn aber nicht vor. Liegen bereits ausreichende Nachweise zur Wirksamkeit der Kontrollen vor, kann ein Anbieter auch bei seiner ersten C5-Pruefung direkt einen Typ-2-Bericht erstellen. Ein Typ-1-Bericht ist nur dann angemessen, wenn der Cloud-Dienst neu eingefuehrt wurde und ein Betriebszeitraum noch nicht nachgewiesen werden kann.
Was hat sich bei den Pruefungsanforderungen geaendert?
Der C5:2026 baut auf dem C5:2020 auf, bringt aber mehrere strukturelle und inhaltliche Neuerungen mit sich, die die Pruefungsvorbereitung unmittelbar betreffen.
Neue Kriterienstruktur mit Subkriterien. C5-Kriterien bestehen nun aus inhaltlich klar abgegrenzten Subkriterien. Das ermoeglicht eine praezisere Zuordnung zu den Kontrollen im internen Kontrollsystem des Anbieters. Fuer Pruefer bedeutet das mehr Klarheit bei der Pruefung — fuer Anbieter, dass Kontrollen kuenftig granularer dokumentiert werden muessen.
Neue Klassifizierung zusaetzlicher Kriterien. Zusaetzliche Kriterien werden nun explizit als "schaerfend" (Ersetzung eines Basissubkriteriums durch strengere Anforderungen) oder "ergaenzend" (Einfuehrung voellig neuer Aspekte, die von Basissubkriterien nicht abgedeckt werden) eingestuft. Anbieter koennen einzelne zusaetzliche Subkriterien gezielt auswaehlen, muessen die Begruendung dafuer aber in der Systembeschreibung darlegen.
Neue Bereiche fuer aktuelle Technologien. Der C5:2026 fuehrt neue Kriterien fuer Container-Management, Post-Quanten-Kryptographie, Confidential Computing und Lieferkettenmanagement ein. Wer Container einsetzt oder Confidential-Computing-Dienste anbietet, muss diese Bereiche kuenftig in den Pruefungsumfang einbeziehen.
Abstimmung mit EUCS und NIS2. Der C5:2026 integriert Anforderungen des European Cybersecurity Certification Scheme for Cloud Services (EUCS) auf der Stufe "Substantial" sowie der Durchfuehrungsverordnung zur NIS2-Richtlinie. Eine C5-Pruefung kann damit als solide Grundlage fuer den Nachweis der Konformitaet mit diesen europaeischen Rahmenwerken dienen.
Der Uebergangszeitplan: Die wichtigsten Termine
Der C5:2026 legt einen verbindlichen Uebergangszeitplan fest, den Anbieter und Pruefer einhalten muessen.
Fuer Typ-1-Berichte: Der C5:2026 ist fuer alle Auftraege mit einem Stichtag ab dem 1. Juni 2027 verbindlich.
Fuer Typ-2-Berichte: Der C5:2026 gilt fuer alle Auftraege, deren Pruefungszeitraum ab dem 1. Juni 2027 beginnt.
Keine Vermischung erlaubt. Beginnt ein Typ-2-Pruefungszeitraum vor dem 1. Juni 2027 und endet danach, darf ausschliesslich der C5:2020 angewendet werden. Die Kombination von Kriterien beider Versionen innerhalb desselben Auftrags ist ausdruecklich untersagt.
Eine fruehere Anwendung des C5:2026 ist erlaubt — Anbieter koennen die Umstellung also vorziehen.
Wer derzeit ein C5:2020-Testat besitzt, sollte jetzt mit der Anpassung der Kontrollen beginnen. Dies kann bedeuten: bestehende Kontrollen zu erweitern, neue Kontrollen fuer neu eingefuehrte Kriterien aufzubauen oder die Dokumentation an das neue Subkriterien-Format anzupassen. Endet der aktuelle Pruefungszeitraum am oder nach dem 28. Februar 2027, muessen in der Systembeschreibung bereits Informationen ueber geplante Aenderungen an den Kontrollen enthalten sein — einschliesslich Umsetzungsstatus und voraussichtlicher Termine.
Qualifikation der Pruefer: Was das BSI verlangt
Der C5:2026 stellt konkrete Anforderungen an die Mitglieder des Pruefungsteams. Wer den Pruefungsauftrag leitet oder das Ergebnis ueberprueft, muss entweder ueber drei Jahre einschlaegige Berufserfahrung mit IT-Pruefungen in einer Wirtschaftspruefungsgesellschaft verfuegen oder eine der folgenden Zertifizierungen vorweisen: CISA, CISM oder CRISC von ISACA; ISO 27001 Lead Auditor oder BSI-zertifizierter ISO 27001 Auditor fuer BSI IT-Grundschutz; CCSK der Cloud Security Alliance; CCSP oder CISSP von (ISC)².
Beim Hinzuziehen eines Pruefers sollten Sie gezielt sicherstellen, dass das Pruefungsteam diese Anforderungen erfuellt — und dass dies im Abschnitt "Unabhaengigkeit und Qualitaetsmanagement" des Pruefberichts bestaetigt wird.
Subdienstleister: Den Carve-out nicht zum blinden Fleck werden lassen
Greift Ihr Cloud-Dienst auf Infrastruktur Dritter zurueck — Rechenzentren, Plattformen anderer Cloud-Anbieter oder ausgelagerte Komponenten —, nimmt der C5:2026 diese Abhaengigkeiten genau in den Blick.
Eine Dienstleistungsorganisation gilt als "Subdienstleistungsorganisation" im Sinne des Katalogs, wenn zwei Bedingungen erfuellt sind: Erstens sind die erbrachten Leistungen voraussichtlich relevant fuer das Verstaendnis der C5-Kriterien durch die Kunden. Zweitens sind ergaenzende Kontrollen dieser Organisation (Complementary Subservice Organisation Controls, CSOC) notwendig, um gemeinsam mit den eigenen Kontrollen des Anbieters die C5-Kriterien zu erfuellen.
Der Anbieter muss zwischen der Einbeziehungsmethode (die Kontrollen des Subdienstleisters werden in den Pruefungsumfang einbezogen) und der Carve-out-Methode (sie werden ausgeklammert) waehlen. In beiden Faellen muss die Systembeschreibung die Art der erbrachten Leistungen, den Ort der Datenverarbeitung und -speicherung, eine Bewertung der Abhaengigkeitskomplexitaet sowie die Verfuegbarkeit eigener Pruefberichte des Subdienstleisters offenlegen.
Der C5:2026 warnt ausdruecklich davor, die Carve-out-Methode zu nutzen, um den Nachweis der Konformitaet zu umgehen. Der Cloud-Diensteanbieter bleibt letztverantwortlich dafuer, dass Entwicklung und Betrieb des Dienstes die C5-Kriterien erfuellen — unabhaengig davon, welche Leistungen ausgelagert sind.
Die 17 Kriterienbereiche im Ueberblick
Der C5:2026 gliedert seine Kriterien in 17 Bereiche mit jeweils klar definiertem Sicherheitsziel. Das Verstaendnis dieser Bereiche hilft Anbietern, ihre bestehenden Kontrollen dem Pruefungsumfang zuzuordnen:
| Nr. | Bereich | Ziel |
|---|---|---|
| 1 | Organisation der Informationssicherheit (OIS) | Informationssicherheits-Framework planen, umsetzen und aufrechterhalten |
| 2 | Sicherheitsrichtlinien und -verfahren (SP) | Richtlinien und Verfahren fuer Sicherheitsanforderungen bereitstellen |
| 3 | Personal (HR) | Sicherstellen, dass Personal seine Sicherheitsverantwortung kennt und traegt |
| 4 | Asset Management (AM) | Assets ueber ihren gesamten Lebenszyklus identifizieren und schuetzen |
| 5 | Physische Sicherheit (PS) | Unbefugten physischen Zugang, Diebstahl und Ausfaelle verhindern |
| 6 | Betrieb (OPS) | Ordnungsgemaessen Betrieb, Malware-Schutz, Backup, Logging und Schwachstellenmanagement sicherstellen |
| 7 | Identitaets- und Zugriffsmanagement (IAM) | Autorisierung und Authentifizierung sichern, unbefugten Zugriff verhindern |
| 8 | Kryptographie und Schluesselmanagement (CRY) | Kryptographie fuer Vertraulichkeit, Authentizitaet und Integritaet wirksam einsetzen |
| 9 | Kommunikationssicherheit (COS) | Informationen in Netzwerken und Verarbeitungssystemen schuetzen |
| 10 | Portabilitaet und Interoperabilitaet (PI) | Datenzugang, Portabilitaet und sichere Loeschung ermoeglichen |
| 11 | Beschaffung, Entwicklung und Aenderung (DEV) | Sicherheit im Entwicklungszyklus gewaehrleisten |
| 12 | Steuerung von Dienstleistern und Lieferanten (SSO) | Informationen bei Dienstleistungsorganisationen schuetzen |
| 13 | Sicherheitsvorfallmanagement (SIM) | Vorfaelle konsistent erfassen, bewerten und behandeln |
| 14 | Business Continuity Management (BCM) | Geschaeftskontinuitaet und Notfallmanagement aufrechterhalten |
| 15 | Compliance (COM) | Verstoesse gegen rechtliche und regulatorische Anforderungen vermeiden |
| 16 | Umgang mit Ermittlungsanfragen (INQ) | Behoerdliche Ermittlungsanfragen angemessen behandeln |
| 17 | Produktsicherheit (PSS) | Hinweise zur sicheren Konfiguration und Schwachstelleninformationen bereitstellen |
Ergaenzende Kundenkontrollen: Geteilte Verantwortung in der Praxis
Haeufig wird uebersehen: Der C5:2026 stellt klar, dass die Informationssicherheit eines Cloud-Dienstes keine alleinige Aufgabe des Anbieters ist. Auch Kunden muessen in ihrem Verantwortungsbereich aktiv mitwirken.
Bei IaaS-Diensten tragen Kunden in der Regel selbst die Verantwortung fuer Sicherheitsupdates ihrer Betriebssysteme. Bei SaaS liegt diese Verantwortung typischerweise beim Anbieter. Fuer ausgewaehlte C5-Kriterien, bei denen diese Kooperation unverzichtbar ist, definiert der Katalog ergaenzende Kundenkriterien (Complementary User Entity Controls, CUEC).
Mit zunehmender Abstraktion von IaaS zu SaaS verlagert sich mehr Verantwortung auf den Anbieter. Doch selbst in einer vollstaendig verwalteten SaaS-Umgebung bleibt der Kunde fuer Datenklassifizierung und Zugriffsverwaltung verantwortlich — ein Grundsatz, den der C5:2026 durch seine CUEC ausdruecklich verankert.
Cloud-Dienstekunden sollten C5-Berichte daher nicht nur daraufhin auswerten, was der Anbieter nachweist, sondern auch pruefen, welche Massnahmen auf ihrer eigenen Seite erforderlich sind.
Praktische Schritte zur Audit-Readiness
Auf Basis der Anforderungen des C5:2026 ergibt sich folgender strukturierter Ansatz fuer die Vorbereitung auf die naechste C5-Pruefung:
1. Bestandsaufnahme gegenueber dem C5:2026. Wer bereits ein C5:2020-Testat besitzt, sollte die Querverweistabelle des BSI (abrufbar unter https://www.bsi.bund.de/C5) nutzen, um Luecken zwischen bestehenden Kontrollen und den neuen Anforderungen zu identifizieren. Besonderes Augenmerk verdienen die neu eingefuehrten Kriterien zu Container-Management, Confidential Computing und Lieferkettenmonitoring.
2. Dokumentation anpassen. Das neue Subkriterien-Format erfordert granularere Kontrollbeschreibungen. Pruefen Sie Ihre Systembeschreibung daraufhin, ob jedes Subkriterium einzeln adressiert wird und klar den internen Kontrollen zugeordnet ist.
3. Subdienstleister bewerten. Klaeren Sie, ob Ihre Drittanbieter-Beziehungen als Subdienstleistungsorganisationen im Sinne des C5:2026 einzustufen sind. Entscheiden Sie sich fuer die Einbeziehungs- oder Carve-out-Methode und stellen Sie sicher, dass alle erforderlichen Angaben in der Systembeschreibung enthalten sind.
4. Rahmenbedingungen (GC) offenlegen. Abschnitt 4 des C5:2026 verpflichtet Anbieter zur Offenlegung von Informationen zu Rechtsordnung und Gerichtsstand, Verfuegbarkeitszusagen (inkl. SLAs), Wiederherstellungsparametern (RTO, RPO, MTPD, MBCO), vorhandenen Zertifizierungen sowie dem Umgang mit Behoerdenanfragen. Diese Angaben muessen transparent und fuer Kunden verstaendlich sein.
5. Zeitplan rueckwaerts planen. Arbeiten Sie vom 1. Juni 2027 zurueck: Kontrollen muessen bis dahin angepasst, dokumentiert und in Betrieb sein. Wer einen laufenden Pruefungszeitraum hat, der am oder nach dem 28. Februar 2027 endet, sollte bereits jetzt geplante Aenderungen in die Systembeschreibung aufnehmen.
6. Pruefer fruehzeitig einbinden. Besprechen Sie den Uebergangsplan mit Ihrem Pruefer, pruefen Sie die Qualifikationsanforderungen des C5:2026 fuer das Pruefungsteam und klaeren Sie, ob ein Attestation Engagement oder ein Direct Engagement fuer Ihre Situation geeigneter ist.
Attestation Engagement oder Direct Engagement?
Der C5:2026 bietet zwei Pruefungsansaetze.
Beim Attestation Engagement erstellt der Cloud-Diensteanbieter eine formelle Beschreibung seines internen Kontrollsystems sowie eine Managementerklarung (Written Statement). Der Pruefer bewertet anschliessend, ob diese Beschreibung sachgerecht dargestellt ist und die Kontrollen den C5-Kriterien entsprechen. Bei einem Typ-2-Bericht prueft er zusaetzlich, ob die Kontrollen ueber den gesamten Pruefungszeitraum hinweg wirksam waren.
Beim Direct Engagement erstellt der Anbieter keine formelle Beschreibung. Stattdessen identifiziert der Pruefer die relevanten Aspekte des internen Kontrollsystems selbst — durch Befragung von Fachexperten und die direkte Pruefung von Unterlagen. Dieser Ansatz eignet sich besonders fuer Anbieter, die ihr internes Kontrollsystem noch nicht hinreichend dokumentiert haben.
Beide Ansaetze erfordern hinreichende Sicherheit (reasonable assurance) und koennen zu einem Typ-1- oder Typ-2-Bericht fuehren.
Ausblick
Der C5:2026 spiegelt den Anspruch des BSI wider, Cloud-Sicherheitsstandards mit dem technologischen Wandel Schritt halten zu lassen — von Containerisierung und Post-Quanten-Kryptographie bis zur sich weiterentwickelnden europaeischen Regulierung rund um EUCS und NIS2. Fuer Cloud-Diensteanbieter gilt: Beginnen Sie jetzt mit der Vorbereitung, und verstehen Sie die Frist im Juni 2027 nicht als Klippe, sondern als Meilenstein auf einem kontinuierlichen Compliance-Weg.
Der vollstaendige C5:2026-Katalog ist verfuegbar unter https://www.bsi.bund.de/C5.
Quelle: BSI, „Cloud Computing Compliance Criteria Catalogue (C5:2026)," Bundesamt fuer Sicherheit in der Informationstechnik.
SEO-Metadaten (Strapi)
metaTitle (39 Zeichen)
BSI C5:2026 Audit-Leitfaden – CertHub
metaDescription (157 Zeichen)
Alles, was Cloud-Anbieter ueber das BSI C5:2026-Audit wissen muessen: Typ 1 vs Typ 2, Uebergangsfristen, 17 Kriteriendomaenen und konkrete Vorbereitungsschritte.
openGraph title (69 Zeichen)
BSI C5:2026 Audit-Leitfaden – Was Cloud-Anbieter jetzt wissen muessen
openGraph description (189 Zeichen)
Ein praxisnaher Leitfaden zum neuen BSI C5:2026-Katalog: Audittypen, Uebergangsfrist bis Juni 2027, Prueferqualifikationen, die 17 Kriteriendomaenen und eine Schritt-fuer-Schritt-Vorbereitung.
openGraph url
https://www.certhub.de/de/blog/bsi-c5-2026-audit-leitfaden
keywords
BSI C5:2026, C5 Audit, Cloud-Compliance, Typ 1 Typ 2 Bericht, Cloud-Sicherheit Deutschland, C5 Kriterienkatalog, Audit-Vorbereitung
metaRobots
index, follow
metaViewport
width=device-width, initial-scale=1
canonicalURL
https://www.certhub.de/de/blog/bsi-c5-2026-audit-leitfaden
structuredData
{
"@context": "https://schema.org",
"@type": "Article",
"headline": "BSI C5:2026 Audit-Leitfaden – Was Cloud-Anbieter jetzt wissen muessen",
"description": "Ein praxisnaher Leitfaden zum neuen BSI C5:2026-Katalog: Audittypen, Uebergangsfrist bis Juni 2027, Prueferqualifikationen, die 17 Kriteriendomaenen und eine Schritt-fuer-Schritt-Vorbereitung.",
"author": {
"@type": "Organization",
"name": "CertHub",
"url": "https://www.certhub.de"
},
"publisher": {
"@type": "Organization",
"name": "CertHub",
"url": "https://www.certhub.de"
},
"datePublished": "2026-04-15",
"mainEntityOfPage": "https://www.certhub.de/de/blog/bsi-c5-2026-audit-leitfaden",
"inLanguage": "de",
"keywords": "BSI C5:2026, C5 Audit, Cloud-Compliance, Cloud-Sicherheit Deutschland"
}