BSI C5 in Cloud-Ausschreibungen: Testat, Typ 1 und Typ 2 erklärt

Sobald öffentliche Auftraggeber Cloud-Leistungen beschaffen, taucht in den Eignungsanforderungen häufig ein Kürzel auf: C5. Der Kriterienkatalog des BSI ist der maßgebliche Sicherheitsnachweis für Cloud-Dienste in Deutschland — und der Unterschied zwischen seinen zwei Testat-Typen entscheidet oft über die Teilnahme.

Aktualisiert am 13. Juni 2026

Kurz gesagt

Der BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist der zentrale Sicherheitsnachweis für Cloud-Dienste in Deutschland. Er wird nicht zertifiziert, sondern durch ein Testat eines Wirtschaftsprüfers belegt. Es gibt zwei Typen: Typ 1 beurteilt das Design der Kontrollen zu einem Stichtag, Typ 2 zusätzlich deren Wirksamkeit über einen Zeitraum (3 bis 12 Monate). Für Bundesbehörden und im Gesundheitswesen ist meist ein Typ-2-Testat gefordert.

Was der C5 ist

Der Cloud Computing Compliance Criteria Catalogue (C5) ist der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Kriterienkatalog für die Sicherheit professioneller Cloud-Dienste. Er definiert Mindestanforderungen an Informationssicherheit und Transparenz und richtet sich an Cloud-Anbieter, deren Prüfer und deren Kunden.

2016 erstmals veröffentlicht und seither mehrfach überarbeitet, hat sich der C5 als zentraler Standard im deutschen Cloud-Markt etabliert. Inhaltlich greift er auf anerkannte Normen zurück — unter anderem ISO/IEC 27001, den BSI-Grundschutz und die Cloud Controls Matrix der Cloud Security Alliance.

Ein Testat, kein Zertifikat

Anders als bei ISO 27001 gibt es beim C5 keine Zertifizierung. Stattdessen wird die Einhaltung der Kriterien durch ein Testat eines Wirtschaftsprüfers nachgewiesen, das auf etablierten Prüfungsstandards beruht (IDW PS 951 bzw. ISAE 3402). Das Ergebnis ist ein detaillierter Prüfbericht, der belegt, dass die Sicherheitsmaßnahmen tatsächlich umgesetzt und wirksam sind.

Für Bieter heißt das: Der C5-Nachweis ist kein einfaches Zertifikatslogo, sondern ein umfangreicher Prüfbericht. Wer ihn in einer Ausschreibung fordert oder vorlegt, sollte wissen, welchen Geltungsbereich und welchen Stichtag bzw. Zeitraum er abdeckt.

Typ 1 und Typ 2: der entscheidende Unterschied

Der C5 kennt zwei Arten von Testaten, die sich in ihrer Aussagekraft deutlich unterscheiden:

  • Typ 1 beurteilt, ob die Sicherheitskontrollen zu einem bestimmten Stichtag angemessen gestaltet (designt) sind. Es ist eine Momentaufnahme.
  • Typ 2 geht weiter: Es beurteilt zusätzlich, ob die Kontrollen über einen Zeitraum hinweg tatsächlich wirksam waren. Der Prüfzeitraum beträgt in der Regel mindestens 3 und höchstens 12 Monate.
  • Typ 2 liefert damit den höheren Vertrauensgrad, weil er nicht nur das Konzept, sondern die gelebte Praxis prüft. In anspruchsvollen Ausschreibungen ist deshalb meist Typ 2 gefordert.

Wann der C5 in Ausschreibungen verlangt wird

Für Bundesbehörden ist ein C5-Testat (Typ 2) der etablierte Weg, die Konformität zum BSI-Mindeststandard für die Nutzung externer Cloud-Dienste nachzuweisen. Entsprechend taucht der C5 in Cloud- und Rechenzentrumsausschreibungen der öffentlichen Hand regelmäßig als Eignungs- oder Mindestanforderung auf.

Im Gesundheitswesen ist die Anforderung sogar gesetzlich verankert: Nach dem Digitalisierungsgesetz (DigiG) mit Bezug auf § 391 SGB V dürfen Gesundheitsdaten in der Cloud nur verarbeitet werden, wenn ein gültiges C5-Testat vorliegt — seit dem 1. Juli 2025 ein Testat vom Typ 2. Wer Cloud-Leistungen für diesen Sektor anbietet, kommt am C5 nicht vorbei.

Ein Testat ist kein Freifahrtschein

Ein vorhandenes C5-Testat bedeutet nicht automatisch, dass ein Dienst für jeden Anwendungsfall passt. Entscheidend sind der Geltungsbereich (welche Dienste und Standorte erfasst sind) und die in der Systembeschreibung offengelegten Rahmenbedingungen — etwa Gerichtsbarkeit, Datenverarbeitungsstandort und Offenlegungspflichten gegenüber Behörden.

Sowohl Auftraggeber als auch Bieter sollten daher prüfen, ob das Testat den konkret ausgeschriebenen Leistungsumfang tatsächlich abdeckt. Ein C5-Bericht für einen Teildienst genügt nicht, wenn die Ausschreibung den gesamten Leistungsstack betrifft.

C5 oder ISO 27001 — was gilt wann?

Beide Nachweise hängen zusammen, decken aber Unterschiedliches ab. ISO 27001 belegt ein funktionierendes Informationssicherheits-Managementsystem allgemein und ist branchenübergreifend anerkannt. Der C5 ist spezifisch auf Cloud-Dienste zugeschnitten und prüft konkrete Cloud-Sicherheitskriterien, oft inklusive ihrer Wirksamkeit über einen Zeitraum.

In der Praxis verlangen Cloud-Ausschreibungen häufig den C5 (meist Typ 2), während ISO 27001 als grundlegender Nachweis des Sicherheitsmanagements gefordert wird. Welcher Nachweis konkret zählt, steht in den Vergabeunterlagen — Vergabit macht solche Anforderungen früh sichtbar, sodass sich der oft monatelange Vorlauf für ein Testat rechtzeitig einplanen lässt.

Häufige Fragen

Ist der BSI C5 ein Zertifikat?

Nein. Der C5 wird nicht zertifiziert, sondern durch ein Testat eines Wirtschaftsprüfers nachgewiesen (nach IDW PS 951 bzw. ISAE 3402). Ergebnis ist ein detaillierter Prüfbericht.

Was ist der Unterschied zwischen C5 Typ 1 und Typ 2?

Typ 1 prüft das Design der Sicherheitskontrollen zu einem Stichtag. Typ 2 prüft zusätzlich deren Wirksamkeit über einen Zeitraum von in der Regel 3 bis 12 Monaten und hat damit eine höhere Aussagekraft.

Wann ist ein C5-Testat in Ausschreibungen Pflicht?

Für Bundesbehörden gilt es als Standardnachweis für externe Cloud-Nutzung. Im Gesundheitswesen ist es gesetzlich vorgeschrieben: Seit dem 1. Juli 2025 ist für Gesundheitsdaten in der Cloud ein Typ-2-Testat verpflichtend (DigiG, § 391 SGB V).

Reicht ein C5-Testat als alleiniger Nachweis?

Nicht zwangsläufig. Entscheidend sind Geltungsbereich und Systembeschreibung. Bieter und Auftraggeber sollten prüfen, ob das Testat den ausgeschriebenen Leistungsumfang vollständig abdeckt.

Brauche ich C5 oder ISO 27001?

Das hängt von der Ausschreibung ab. ISO 27001 belegt das Sicherheitsmanagement allgemein, der C5 ist cloud-spezifisch. Cloud-Ausschreibungen verlangen häufig beides oder gezielt den C5 (meist Typ 2).

Rechtsgrundlagen & Quellen

  • BSI Cloud Computing Compliance Criteria Catalogue (C5), aktuelle Fassung
  • IDW PS 951 / ISAE 3402 – Prüfungsstandards für das Testat
  • ISO/IEC 27001 – Grundlage vieler C5-Kriterien
  • § 391 SGB V / DigiG – C5-Pflicht bei Gesundheitsdaten in der Cloud

Weiterlesen

Mit Vergabit

Aktuelle Ausschreibungen, die hier passen

Vergabit findet öffentliche IT-Ausschreibungen, wertet ihre Eignungskriterien aus und gleicht sie gegen Ihr Firmenprofil ab — Sie sehen sofort, welche Verfahren realistisch passen.

CloudIT-SicherheitIdentity & IAM
Kostenloses Konto anlegenAlle Ausschreibungen durchsuchen