Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > BSI C5: Das Cloud-Sicherheitsrahmenwerk Deutschlands für Compliance meistern

BSI C5: Das Cloud-Sicherheitsrahmenwerk Deutschlands für Compliance meistern

von Danielle Barbour updated Januar 8, 2026 Regulatorische Compliance
Lesezeit: 7 Minuten

Wenn Sie Cloud-Services für den Betrieb in Deutschland in Betracht ziehen – oder bereits mit deutschen Kunden arbeiten –, sind Sie wahrscheinlich schon auf BSI C5 gestoßen. Vielleicht tauchte es in einer Ausschreibung auf. Möglicherweise hat Ihr Compliance-Team es bei der Lieferantenbewertung markiert. Oder Ihre deutsche Tochtergesellschaft fragt immer wieder danach.

Das sollten Sie wissen: BSI C5 ist nicht nur ein weiteres Compliance-Häkchen. Es ist zum De-facto-Standard für Cloud-Sicherheit in einer der größten Volkswirtschaften Europas geworden. Und angesichts des deutschen Einflusses auf EU-weite Vorgaben bleibt, was in Berlin beginnt, selten dort.

In diesem Beitrag erfahren Sie, was BSI C5 tatsächlich verlangt, warum deutsche Unternehmen so großen Wert darauf legen und was es bedeutet, wenn Sie Cloud Service Provider bewerten. Wir erläutern den Aufbau des Frameworks, den Attestierungsprozess und die geschäftlichen Auswirkungen der Zusammenarbeit mit (oder ohne) C5-zertifizierte Anbieter.

Executive Summary

Kernaussage: BSI C5 ist Deutschlands umfassendes Cloud-Sicherheits-Framework und definiert Mindestanforderungen an Cloud Service Provider mit 121 Controls in 17 Bereichen. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), ist es ein zentrales Vertrauenselement für die Cloud-Nutzung auf dem deutschen Markt – insbesondere für Behörden, Gesundheitswesen und Finanzdienstleister.

Warum das relevant ist: Unternehmen, die in Deutschland tätig sind, verlangen zunehmend von ihren Cloud Service Providern einen Nachweis der C5-Compliance. Ohne diese sind Sie praktisch von wichtigen Marktsegmenten ausgeschlossen. Deutsche Aufsichtsbehörden akzeptieren die C5-Attestierung als Nachweis angemessener Sicherheitsmaßnahmen – sie ist essenziell für die Einhaltung gesetzlicher Vorgaben. Der Einfluss des Frameworks reicht über Deutschland hinaus und prägt Cloud-Sicherheitsstandards in der gesamten EU.

5 wichtige Erkenntnisse

  1. BSI C5 besteht aus 121 verpflichtenden Controls, die in 17 Sicherheitsbereiche gegliedert sind. Diese Controls decken alles ab – von physischer Sicherheit und Zugriffsmanagement bis hin zu Incident Response und Business Continuity – und bieten umfassenden Schutz vor Cloud-spezifischen Risiken in Multi-Tenant-Umgebungen.

  2. Die C5-Attestierung erfordert unabhängige Typ-2-Audits, die sowohl Design als auch operative Wirksamkeit prüfen. Im Gegensatz zu punktuellen Zertifizierungen bewerten C5-Auditoren die Controls über einen längeren Zeitraum (in der Regel sechs Monate) und stellen so sicher, dass die Sicherheitsmaßnahmen auch im Alltag funktionieren – nicht nur auf dem Papier.

  3. Deutsche Behörden und regulierte Branchen verlangen häufig C5-Compliance für Cloud-Services. Banken, Versicherungen, Gesundheitsdienstleister und öffentliche Einrichtungen schreiben C5 oft vertraglich vor – es ist also ein Marktzugangskriterium und nicht nur eine Sicherheitsfrage.

  4. Das Framework adressiert explizit Cloud-spezifische Risiken wie Datentrennung und Multi-Tenancy. C5 geht über generische IT-Sicherheitsstandards hinaus und fokussiert auf Herausforderungen, die einzigartig für Cloud Computing sind – darunter Shared-Responsibility-Modelle, dynamische Ressourcenallokation und mandantenübergreifender Datenschutz.

  5. C5:2025 wird erweiterte Anforderungen für neue Technologien einführen. Die kommende Version behandelt Container-Management, Risiken in der Lieferkette, Post-Quanten-Kryptografie, Confidential Computing und Datensouveränität – und zeigt, wohin sich deutsche Cloud-Sicherheitsanforderungen entwickeln.

BSI C5: Ursprung und Autorität

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte C5 im Jahr 2016, doch die Wurzeln reichen weiter zurück. Das BSI entstand 1991 aus der Neuordnung der Informationssicherheit nach dem Kalten Krieg in Deutschland. Das war nicht nur Bürokratie – es bedeutete einen grundlegenden Wandel: weg von geheimdienstlicher Arbeit hin zu transparenter, präventiver Cybersicherheit für die Zivilgesellschaft.

Welche Data-Compliance-Standards sind entscheidend?

Read Now

Der Cloud Computing Compliance Criteria Catalogue (C5) kam auf den Markt, als deutsche Unternehmen dringend Klarheit in Sachen Cloud-Sicherheit brauchten. Traditionelle IT-Sicherheitsrahmenwerke berücksichtigten Multi-Tenancy nicht. ISO 27001 deckte keine dynamische Ressourcenallokation ab. Und niemand hatte klare Antworten zur Datensouveränität in verteilten Cloud-Architekturen.

BSI entwickelte C5, um genau diese Lücken zu schließen. Anders als Frameworks, die bestehende Controls einfach auf die Cloud übertragen, basiert C5 auf cloud-nativen Annahmen. Das ist entscheidend, weil die Controls so tatsächlich auf die Funktionsweise von Cloud-Services zugeschnitten sind – statt Cloud-Anbieter in traditionelle IT-Sicherheitsmodelle zu zwängen.

Die 17 Bereiche: Was C5 tatsächlich abdeckt

Die 121 Controls von C5 verteilen sich auf 17 Bereiche, die alle Aspekte des Cloud-Betriebs abdecken. Hier ein Überblick, was das in der Praxis bedeutet.

Kern-Organisationskontrollen

Das Framework beginnt mit den Grundlagen: Aufbau eines Informationssicherheits-Managementsystems (ISMS), Definition von Sicherheitsrichtlinien und Management der Personalsicherheit. Das ist nicht revolutionär, aber C5 verlangt spezifische Dokumentation zu Schnittstellen und Abhängigkeiten zwischen Cloud-Anbietern und ihren Kunden.

Zum Beispiel: Wer informiert wen bei Schwachstellen? Wie läuft die Eskalation bei Vorfällen? C5 zwingt Anbieter, diese Beziehungen klar zu dokumentieren und beseitigt so die Unklarheiten, die Shared-Responsibility-Modelle oft begleiten. Ein klarer Incident-Response-Plan ist Pflicht.

Physische und Umweltsicherheit

C5 stellt an die physische Sicherheit höhere Anforderungen als reine Rechenzentrums-Controls. Anbieter müssen operative Redundanz über mehrere Standorte nachweisen – mit konkreten Distanzvorgaben für echte Georedundanz. Das Framework fordert 10 Minuten Einbruchswiderstand für physische Barrieren – das ist nicht willkürlich, sondern basiert auf Analysen der Reaktionszeiten bei Sicherheitsvorfällen.

Auch die Umweltsicherheit ist präzise geregelt. Rechenzentren müssen mindestens 48 Stunden autark bei Stromausfällen arbeiten können. Kühlsysteme müssen fünf aufeinanderfolgende Tage bei historischen Maximaltemperaturen plus 3K Sicherheitsmarge bewältigen. Das sind keine Empfehlungen – sondern revisionssichere Anforderungen.

Technische Sicherheitsoperationen

Hier setzt sich C5 klar ab. Das Framework adressiert die Komplexität der Absicherung gemeinsam genutzter virtueller und physischer Ressourcen mit detaillierten Vorgaben zur Datentrennung. LUN-Binding, LUN-Masking und sichere Zonen sind nicht nur erwähnt – sie sind für bestimmte Service-Typen verpflichtend.

Das Schwachstellenmanagement folgt strikten Zeitvorgaben nach CVSS-Score: Kritische Schwachstellen (9,0-10,0) müssen innerhalb von 3 Stunden gepatcht werden. Hochkritische Probleme (7,0-8,9) innerhalb von 3 Tagen. Es geht nicht um perfekte Sicherheit, sondern um vorhersehbare, revisionssichere Reaktionszeiten, die Kunden in ihre Risikobewertung einbeziehen können.

Cloud-spezifische Anforderungen

C5 enthält eigene Controls für Cloud-spezifische Herausforderungen. Die Datentrennung in Multi-Tenant-Umgebungen ist detailliert geregelt. Dynamische Ressourcenbereitstellung erfordert dokumentierte Kapazitätsmanagement-Prozesse. Selbst die Hypervisor-Ebene erhält spezifische Härtungsanforderungen nach CIS-Benchmarks oder BSI IT-Grundschutz-Modulen.

Auch moderne DevOps-Praktiken sind berücksichtigt. Continuous-Delivery-Pipelines müssen zwischen Entwicklung, Test und Produktion getrennt werden. Automatisierte Deployment-Tools benötigen rollenbasierte Zugriffskontrollen. Die Versionsverwaltung muss schnelle Rollbacks bei Problemen ermöglichen.

Der Attestierungsprozess: Mehr als ein Häkchen

Eine C5-Attestierung erhält man nicht einfach so. Anbieter durchlaufen Typ-2-Audits, bei denen unabhängige Prüfer sowohl das Design als auch die operative Wirksamkeit der Controls über einen längeren Zeitraum – meist sechs Monate – bewerten. Dieser Zeitraum ist entscheidend, weil er Controls entlarvt, die auf dem Papier gut aussehen, aber im Betrieb versagen.

Auditoren müssen bestimmte Qualifikationen nachweisen: Drei Jahre IT-Audit-Erfahrung in Wirtschaftsprüfungsgesellschaften oder Zertifizierungen wie CISA, CISM oder CRISC. Sie prüfen nicht nur Dokumente – sie testen Controls, interviewen Personal und verifizieren die Wirksamkeit der Sicherheitsmaßnahmen.

Der resultierende Attestierungsbericht enthält Management-Aussagen zur Kontrollumgebung, detaillierte Control-Beschreibungen, Testverfahren und Einzelergebnisse. Bei Abweichungen dokumentieren Auditoren diese zusammen mit Management-Maßnahmen zur Behebung. Diese Transparenz ermöglicht es Kunden, fundierte Entscheidungen zu treffen, statt auf Marketingversprechen zu vertrauen. Vollständige Prüfprotokolle unterstützen den gesamten Prozess.

Warum deutsche Unternehmen so großen Wert darauf legen

Die Bedeutung von C5 in Deutschland hat mehrere Gründe. Erstens ist der Datenschutz tief in der deutschen Unternehmenskultur verankert – lange vor der DSGVO. Unternehmen haften tatsächlich für Sicherheitsversäumnisse, nicht nur mit Bußgeldern. Die C5-Attestierung liefert einen belastbaren Nachweis für angemessene technische und organisatorische Maßnahmen.

Zweitens verweisen branchenspezifische Vorgaben zunehmend auf C5. Bank- und Gesundheitsregulierung erkennen C5 als Nachweis für angemessene Sicherheitsmaßnahmen an. In der öffentlichen Beschaffung ist es oft Pflicht.

Drittens löst C5 ein praktisches Problem: Vor C5 führte jedes deutsche Unternehmen eigene Sicherheitsprüfungen bei Cloud-Anbietern durch. Das führte zu enormen Doppelarbeiten – Anbieter beantworteten hunderte Male die gleichen Fragen, Kunden prüften mehrfach die gleichen Aspekte. C5 schafft eine standardisierte, umfassende Bewertung, auf die sich alle beziehen können.

Geschäftsrisiken beim Ignorieren von C5

Wer in Deutschland ohne C5-Attestierung agiert, geht erhebliche Geschäftsrisiken ein. Sie sind sofort von öffentlichen Aufträgen ausgeschlossen. Viele Chancen im Finanzsektor entfallen. Gesundheitsdienstleister können den Einsatz nicht-C5-konformer Services für sensible Daten nicht rechtfertigen.

Doch die Risiken gehen weiter: Unternehmen, die nicht-C5-konforme Anbieter nutzen, geraten bei Audits und Behörden unter erhöhte Beobachtung. Sie müssen begründen, warum sie keinen branchenüblichen Sicherheitsnachweis verlangt haben. Kommt es zu Vorfällen, wird das Fehlen der C5-Compliance zum Haftungsfaktor. Ein starkes Sicherheitsrisikomanagement verlangt die Zusammenarbeit mit konformen Anbietern.

Vorbereitung auf C5:2025

Die kommende Version C5:2025 zeigt die Richtung der deutschen Cloud-Sicherheitsanforderungen. Container-Management erhält eigene Controls, da Containerisierung zum Standard geworden ist. Das Management von Risiken in der Lieferkette wird verpflichtend – eine Reaktion auf jüngste Software-Lieferkettenangriffe.

Post-Quanten-Kryptografie-Anforderungen berücksichtigen, dass aktuelle Verschlüsselungstechnologien dem Fortschritt beim Quantencomputing möglicherweise nicht standhalten. Controls für Confidential Computing adressieren den wachsenden Bedarf, sensible Daten zu verarbeiten, ohne sie Cloud-Anbietern offenzulegen. Die Compliance-Kontrollen zur Datensouveränität werden noch spezifischer – im Hinblick auf die fortlaufende Regulierung zur Datenlokalisierung.

Das sind keine Zukunftsthemen – Anbieter müssen sich jetzt vorbereiten. Die offizielle Version startet 2026, aber die Richtung ist klar: Deutsche Unternehmen erwarten von Cloud-Anbietern, dass sie diese neuen Risiken proaktiv adressieren.

Wie Kiteworks Unternehmen bei der Erfüllung der BSI C5-Anforderungen unterstützt

Die jüngste BSI C5-Attestierung von Kiteworks, abgeschlossen im Dezember 2025, unterstreicht unser Engagement für die Einhaltung der strengen deutschen Cloud-Sicherheitsanforderungen. Doch über die Attestierung hinaus bietet unsere Plattform gezielte Funktionen, die zentrale C5-Anforderungen adressieren.

Unsere einheitliche Plattform-Architektur erfüllt direkt die C5-Vorgaben für umfassende Protokollierung und zentrale Steuerung. Statt mehrere Tools mit fragmentierten Audit-Trails zu verwalten, erhalten Unternehmen mit unserem CISO Dashboard vollständige Transparenz über alle sensiblen Datenbewegungen. Dieser Architekturansatz erleichtert den Compliance-Nachweis bei Audits.

Die Ende-zu-Ende-Verschlüsselung der Plattform mit kundengesteuerten Schlüsseln entspricht den strengen Kryptografie-Anforderungen von C5. Unternehmen behalten die alleinige Kontrolle über ihre Verschlüsselungsschlüssel mit AES-256-Verschlüsselung – das erfüllt sowohl die Grundanforderungen an den Datenschutz als auch das deutsche Bedürfnis nach Kontrolle über staatlichen Datenzugriff.

Unser automatisiertes Compliance-Reporting erstellt die Dokumentation, die deutsche Auditoren erwarten. Die Plattform protokolliert jeden Datenzugriff, jede Änderung und jede Übertragung mit manipulationssicheren Audit-Trail-Funktionen. Wenn Aufsichtsbehörden Nachweise für angemessene Sicherheitsmaßnahmen verlangen, stehen vollständige Unterlagen sofort bereit.

Schließlich unterstützen die granularen Zugriffskontrollen von Kiteworks die von C5 geforderte Funktionstrennung. Rollenbasierte Berechtigungen, Multi-Faktor-Authentifizierung und Sitzungsmanagement liefern die technischen Controls, die deutsche Unternehmen zum Schutz sensibler Daten in geteilten Cloud-Umgebungen benötigen.

Erfahren Sie mehr – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Nein, das BSI selbst verhängt keine direkten Bußgelder bei fehlender C5-Compliance. Laut BSI-Dokumentation entstehen die Kosten der Nichteinhaltung durch indirekte Folgen, nicht durch direkte BSI-Strafen. Diese indirekten Folgen umfassen mögliche aufsichtsrechtliche Sanktionen nach anderen Frameworks wie DSGVO-Anforderungen (bis zu 4 % des weltweiten Jahresumsatzes), rechtliche Haftung bei Datenschutzverstößen und geschäftliche Einschränkungen auf dem deutschen Markt. Öffentliche Einrichtungen in Deutschland sind häufig verpflichtet, C5-konforme Anbieter zu nutzen – nicht-konforme Anbieter werden dadurch praktisch ausgeschlossen.

Wenn Cloud-Anbieter Subservice-Organisationen wie AWS oder Azure einsetzen, müssen sie dennoch eine eigene C5-Attestierung für ihre spezifischen Services vorweisen. Laut C5-Anforderungen für Subservice-Organisationen können Anbieter entweder die „Inclusive Method“ (Einbeziehung der Subservice-Controls in das Audit) oder die „Carve-Out Method“ (Dokumentation der Überwachung der Subservice-Anbieter) nutzen. Der Anbieter muss nachweisen, wie er die Wirksamkeit der Subservices überwacht und durch ein robustes Third-Party-Risk-Management die Gesamtverantwortung für die Sicherheit behält.

Die C5-Basiskriterien umfassen die 121 Mindest-Controls für die Attestierung und spiegeln ein Sicherheitsniveau für normale Schutzbedarfe wider. Zusätzliche Kriterien adressieren höhere Schutzanforderungen – etwa strengere Patch-Zeiten oder erweiterte Redundanz. Unternehmen, die besonders sensible Daten verarbeiten, sollten prüfen, ob Anbieter die relevanten zusätzlichen Kriterien erfüllen – insbesondere bei Behörden oder Finanzdienstleistern mit erhöhten Anforderungen an Data Governance.

C5-Attestierungsberichte sind bis zu drei Jahre gültig, mit jährlichen Überwachungsaudits. Unternehmen sollten den geprüften Zeitraum (Typ-2-Berichte bewerten mindestens sechs Monate Betrieb) prüfen, auf qualifizierte Meinungen oder dokumentierte Abweichungen mit Maßnahmenplänen achten, den Scope auf die eigenen Services abstimmen und kontrollieren, welche ergänzenden Kunden-Controls umzusetzen sind. Ein gründlicher Audit-Trail-Review-Prozess hilft, die Compliance fortlaufend zu überwachen.

Kiteworks Europe AG erhielt die BSI C5-Attestierung nach unabhängiger Prüfung durch die HKKG GmbH am 19. Dezember 2025. Diese Attestierung unterstützt Unternehmen, die Data Compliance auf dem deutschen Markt anstreben.

Weitere Ressourcen

  • Lösung
    BSI C5: Von der Compliance-Bürde zum Marktvorteil
  • Blogbeitrag
    Der ultimative Leitfaden für sicheres Filesharing in deutschen Finanzdienstleistungsunternehmen
  • Blogbeitrag
    DSGVO, BaFin und Secure File Transfer: Ein Compliance-Leitfaden für deutsche Finanzinstitute
  • Lösung
    Sichere, effiziente Compliance für das Bundesdatenschutzgesetz
  • Blogbeitrag
    So erreichen Sie gesetzliche Vorgaben beim sicheren Filesharing für deutsche Banken

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks