ConformScan
Kostenlos scannen
BSI C5AuditCloud SecurityGermany

BSI C5 Audit-Vorbereitung: Eine Schritt-für-Schritt-Anleitung für Cloud-Teams

Wie man sich 2025 auf ein BSI-C5-Audit vorbereitet — die relevanten Controls, was Prüfer prüfen und wie man Nachweise automatisch generiert.

24. März 2025·9 min Lesezeit·
ConformScan

BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist der deutsche Bundesstandard für Cloud-Sicherheit. Ursprünglich für Cloud-Dienstanbieter konzipiert, wird er zunehmend bei Unternehmensbeschaffungen gefordert und in deutschen NIS2-Umsetzungsleitlinien referenziert. Dieser Leitfaden erklärt, was C5-Audits prüfen und wie Sie sich effizient vorbereiten.

Was ist BSI C5?

Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte C5 definiert 17 Kontrolldomänen für die Sicherheitsanforderungen von Cloud-Diensten. Zwei Bescheinigungsstufen existieren:

  • Typ 1: Punktuelle Bewertung — bestätigt, dass die Controls angemessen konzipiert sind
  • Typ 2: Zeitraumbasierte Bewertung (typischerweise 6-12 Monate) — bestätigt, dass die Controls über die Zeit wirksam betrieben werden

Typ 2 ist für die meisten Aufträge im öffentlichen Sektor erforderlich und wird zunehmend von deutschen Unternehmenskunden erwartet.

Die 17 C5-Kontrolldomänen

C5 2020 umfasst:

  1. Organisation der Informationssicherheit (OIS)
  2. Sicherheitsrichtlinien (SP)
  3. Personal (HR)
  4. Asset-Management (AM)
  5. Physische Sicherheit (PS)
  6. Betriebssicherheit (OS)
  7. Identitäts- und Zugriffsmanagement (IAM)
  8. Kryptografie und Schlüsselmanagement (CKM)
  9. Kommunikationssicherheit (CS)
  10. Portabilität und Interoperabilität (PI)
  11. Verfügbarkeit von Diensten (AVL)
  12. Incident Management (IM)
  13. Beschaffung, Entwicklung und Wartung (PDM)
  14. Compliance (CO)
  15. Informationssicherheitsrichtlinien für Lieferanten (SSO)
  16. Sicherheitstests (ST)
  17. Penetrationstests (PT)

Infrastruktur-Controls, die Prüfer zuerst prüfen

C5-Prüfer konzentrieren sich bei der Überprüfung von Cloud-Infrastrukturen intensiv auf diese Bereiche:

IAM (C5-IAM)

  • MFA für privilegierte Konten erzwungen
  • Privilegierter Zugriff über PAM-Tools oder temporäre Erhöhung verwaltet
  • IAM-Überprüfungen mindestens vierteljährlich durchgeführt
  • Dienstkonten folgen dem Least-Privilege-Prinzip
  • Zugang sofort beim Ausscheiden von Mitarbeitern widerrufen

Kryptografie (C5-CKM)

  • Verschlüsselung im Ruhezustand für alle als vertraulich eingestuften Daten
  • KMS-Schlüsselrotation aktiviert (mindestens jährlich)
  • TLS 1.2+ überall erzwungen
  • Keine veralteten Cipher-Suites (SSLv3, TLS 1.0, TLS 1.1)
  • Kundenverwaltete KMS-Schlüssel für hochsensible Daten

Betriebssicherheit (C5-OS)

  • CloudTrail multi-region, Log-Datei-Validierung aktiviert
  • Zentralisiertes Log-Management mit Manipulationsschutz
  • Change-Management-Prozess für Infrastruktur (IaC, keine manuellen Änderungen)
  • Schwachstellenscanning auf allen EC2- und Container-Workloads
  • Patch-Management innerhalb definierter SLAs

Verfügbarkeit (C5-AVL)

  • RDS Multi-AZ für Produktion aktiviert
  • Automatische Backups mit getesteten Wiederherstellungsverfahren
  • Backup-Aufbewahrung ≥ 30 Tage für regulierte Daten
  • Recovery Time Objective (RTO) und Recovery Point Objective (RPO) dokumentiert

Nachweiserhebung: der größte Audit-Engpass

Der schwierigste Teil eines C5-Audits sind nicht die Controls selbst — sondern die Erhebung von Nachweisen, dass sie funktionieren. Prüfer benötigen Konfigurationsexporte, Log-Beispiele, Zugriffsüberprüfungsaufzeichnungen und mehr. Die manuelle Erhebung dauert Wochen.

ConformScan automatisiert die Nachweiserhebung durch Ausführen von 193+ Prüfungen gegen Ihre AWS-Infrastruktur und Erstellung eines strukturierten PDF-Berichts, der den BSI-C5-Kontrolldomänen zugeordnet ist. Sie erhalten:

  • Bestanden/Nicht bestanden-Status für jede C5-relevante Kontrolle
  • Zeitgestempelte Scan-Historie als Typ-2-Audit-Nachweis
  • Deutschsprachige Berichte, die von BSI-zertifizierten Prüfern akzeptiert werden
  • Abhilfecode (Terraform/CLI) für jeden Fund

Zeitplan: Wie lange dauert ein C5-Audit?

  • Vorbereitung: 2-6 Monate (Dokumentation, Gap-Behebung)
  • Typ-1-Bewertung: 2-4 Wochen
  • Typ-2-Bewertungszeitraum: 6-12 Monate Nachweiserhebung
  • Prüfer-Review und Berichterstattung: 4-8 Wochen

Der frühe Start mit automatisiertem Scanning gibt Ihnen einen kontinuierlichen Nachweis-Trail — was die Typ-2-Bewertung deutlich schneller und kostengünstiger macht.

BSI C5 vs. ISO 27001 vs. NIS2

Diese Frameworks überschneiden sich erheblich. BSI C5 orientiert sich eng an den ISO-27001-Anhang-A-Controls und erfüllt die meisten NIS2-Artikel-21-Anforderungen. Unternehmen, die alle drei anstreben, können ConformScans Framework-übergreifendes Scanning nutzen, um Lücken in allen Standards gleichzeitig zu identifizieren.

Bereit, Ihre Infrastruktur zu prüfen?

1 kostenloser Scan/Monat · Keine Kreditkarte · Ergebnisse in unter 2 Minuten · Gehostet in Deutschland

Kostenlos scannen →

Weitere Compliance-Leitfäden

NIS2AWS

NIS2-Compliance-Checkliste für AWS: Der vollständige Leitfaden 2025

8 min Lesezeit

GDPRDSGVO

DSGVO Cloud-Sicherheit: Was AWS- und Azure-Nutzer 2025 beheben müssen

7 min Lesezeit

BSI C5 Audit-Vorbereitung: Eine Schritt-für-Schritt-Anleitung für Cloud-Teams | ConformScan Blog