Das BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist ein deutscher Anforderungskatalog für Cloud-Diensteanbieter mit starkem Fokus auf Transparenz, Nachvollziehbarkeit und Prüfbarkeit.
Die ISO/IEC 27001 bildet mit ihrem Informationssicherheits-Managementsystem (ISMS) die internationale Basis für systematische Informationssicherheit. Die ISO/IEC 27017 ergänzt dies um Cloud-spezifische Sicherheitsanforderungen.
Ein Anbieter, der nach ISO 27001 und ISO 27017 zertifiziert ist, erfüllt bereits den größten Teil der Sicherheits- und Managementanforderungen des BSI C5. Die Unterschiede liegen im Wesentlichen in den Nachweis- und Transparenzpflichten (z. B. Offenlegung von Standorten, Subdienstleistern, Audit-Report nach IDW PS 860/ISAE 3000).
Mit ergänzender Dokumentation und Reporting kann ein ISO 27001/27017-zertifizierter Anbieter die C5-Anforderungen vollständig erfüllen.
| C5-Kriterium | Entsprechung in ISO 27001 | Entsprechung in ISO 27017 | Abdeckung | Kommentar |
|---|---|---|---|---|
| ISMS / Governance | ISO 27001: Kap. 4–10 (Kontext, Leadership, Planung, Betrieb, Bewertung, Verbesserung) | Ergänzende Cloud-Controls für Verantwortlichkeiten | ✔ | Managementsystem deckt C5 vollständig ab |
| Risikomanagement | ISO 27001: Kap. 6.1, Anhang A | Cloud-spezifische Risikobetrachtung | ✔ | Vollständige Abdeckung |
| Zugriffskontrolle | Annex A.9 | Cloud-spezifische Rollenmodelle | ✔ | Entspricht C5-BA |
| Kryptografie & Schlüsselmanagement | Annex A.10 | Guidance für Cloud-KMS | ✔ | Vollständige Abdeckung |
| Betrieb & Patchmanagement | Annex A.12 | Cloud-Umgebungen berücksichtigt | ✔ | Vollständige Abdeckung |
| Logging & Monitoring | Annex A.12.4 | Cloud-Log-Sharing, Mandanten-Logs | ✔ | Vollständige Abdeckung |
| Notfallmanagement (BC/DR) | Annex A.17 | Cloud-spezifische DR-Szenarien | ✔ | Vollständige Abdeckung |
| Forensik / Ermittlungsunterstützung | nur generisch in Annex A.16 (Incident Management) | teilweise | △ | C5 fordert explizit Unterstützung von Ermittlungsbehörden |
| Transparenzpflichten (z. B. Datenstandort, Subunternehmer, Vorfälle) | nicht explizit | teilweise (z. B. Rollenmodell, Vertragsgestaltung) | ✖ | Muss durch Zusatzdokumentation ergänzt werden |
| Auditfähigkeit / Prüfbericht | interne Audits (Kap. 9.2) | keine externe Report-Pflicht | ✖ | C5 verlangt IDW PS 860 / ISAE 3000-konformen Report |
Deckung: ISO 27001 + ISO 27017 decken ~80–85 % der C5-Anforderungen vollständig ab.
Lücken: Transparenz- und Prüfvorgaben (Disclosure, externe Auditberichte) sind über ISO nicht abgedeckt.
Empfehlung: Ergänzende Compliance - Dokumentation (z. B. SOC 2 oder ISAE 3000 Report) schließt die Lücke.
