Unternehmen müssen heute vielfältige Anforderungen an Informationssicherheit, Cloud-Sicherheit und Compliance erfüllen. Dazu zählen sowohl gesetzliche Vorgaben als auch Anforderungen von Kunden und Auftraggebern.
Der Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist der maßgebliche Standard für Cloud-Sicherheit in Deutschland. Er schafft Transparenz über die implementierten Sicherheitsmaßnahmen von Cloud-Diensten und ermöglicht deren unabhängige Prüfung und Vergleichbarkeit.
Eine C5-Zertifizierung zeigt Ihren Kunden, Partnern und Behörden, dass:
Unsere Expert:innen bewerten Cloud-Dienste und Prozesse nach anerkannten Standards und begleiten Sie sicher durch den gesamten Audit- und Zertifizierungsprozess.
Wir unterstützen Sie umfassend bei der Vorbereitung, Durchführung und Umsetzung der Prüfungsanforderungen nach dem C5-Kriterienkatalog:
In all diesen Punkten unterstützen unsere IT-Expert:innen Sie gerne.
Sie wünschen weitere Informationen oder ein persönliches Beratungsgespräch? Gerne vereinbaren wir mit Ihnen einen unverbindlichen Termin, damit wir uns kennenlernen.
Zertifizierungen und Audits im Bereich Information- und Cybersecurity erfordern Erfahrung. Die Anforderungen aus C5 sowie die Prüfung eines internen Kontrollsystems sind komplex. Deshalb ist es sinnvoll, mit Expert:innen zusammenzuarbeiten, die Audit- und Zertifizierungsprozesse seit vielen Jahren durchführen und die Besonderheiten aus IT- und Cybersicherheit, Technik, Recht und Datenschutz gleichermaßen im Blick haben.
Unsere ausgebildeten Fachleute sind sowohl in der IT als auch in der Wirtschaftsprüfung und Rechtsberatung zu Hause. Dadurch sind wir in der Lage, zielorientierte und ordnungsgemäße Audits und Zertifizierungen durchzuführen und Ihnen Informationen an die Hand zu geben, die einen echten Mehrwert bieten.
Als Teil einer Wirtschaftsprüfungs-, Rechts- und Steuerberatung ist IT-Sicherheit ein fester Bestandteil unseres Verständnisses von Qualität und Verantwortung. Unsere Fachleute bringen umfassende Erfahrung mit Prüfungsstandards für IT-Zertifizierungen im Bereich der Information- und Cybersecurity ein.
Wir verfügen über langjährige und umfangreiche Projekterfahrung in allen Fragen der IT- und Cybersicherheit. Mit Best-Practice-Ansätzen, Methoden und Erfahrung bauen wir auf den in Ihrem Unternehmen bereits vorhandenen Prozessen und Strukturen auf.
Eine C5-Zertifizierung nach dem C5-Kriterienkatalog ist insbesondere relevant für:
Eine C5-Zertifizierung folgt einem strukturierten Vorgehen:
Der Aufwand bis zur C5-Zertifizierung hängt insbesondere ab von:
Der C5-Katalog (Cloud Computing Compliance Controls Catalogue) des BSI ist der deutsche Prüfstandard für sicheres Cloud Computing. Er umfasst über 100 Kriterien aus verschiedenen Themenbereichen, darunter Organisation, Sicherheit und Kryptographie, und orientiert sich an etablierten Standards wie ISO 27001. Die Kriterien bestehen aus verpflichtenden Basiskriterien sowie Zusatzkriterien, die je nach Schutzbedarf relevant werden.
Das Ergebnis ist ein C5-Prüfbericht, der nur durch unabhängige Wirtschaftsprüfer ausgestellt werden darf.
Eine Bescheinigung nach C5 bezieht sich immer auf einen konkret definierten Cloud-Dienst innerhalb eines klar abgegrenzten Geltungsbereichs (Scope). Nicht das gesamte Unternehmen beziehungsweise der gesamte Cloud-Dienstleister wird zertifiziert, sondern ausschließlich der jeweils geprüfte Cloud-Service. Für weitere Cloud-Services desselben Unternehmens ist jeweils eine separate Prüfung erforderlich. Für jeden geprüften Cloud-Dienst wird eine eigene Testierungsbescheinigung ausgestellt.
Typ I – Bewertung des Kontrollsystems zum Stichtag
Ein Typ-I-Audit beurteilt, ob die dokumentierten Kontrollen angemessen konzipiert sind, um die Anforderungen zu erfüllen. Der Auditor beurteilt die Kontrollumgebung zu einem bestimmten Stichtag.
Geprüft wird insbesondere:
Typ I bewertet damit das Design, jedoch nicht die tatsächliche Wirksamkeit über einen längeren Zeitraum. Eine Prüfung nach Typ I ist nur einmalig möglich. Bei einer Folgeprüfung erfolgt immer eine Prüfung nach Typ II.
Typ II – Bewertung der Angemessenheit und Wirksamkeit über einen Zeitraum von mindestens 6 Monaten
Ein Typ-II-Audit geht weiter und prüft zusätzlich, ob die Kontrollen angemessen sind und über einen definierten Zeitraum von mindestens sechs Monaten tatsächlich wirksam betrieben wurden.
Der Auditor beurteilt dazu zusätzlich:
Typ II ist aussagekräftiger, weil damit nachweisbar belegt werden kann, dass Kontrollen nicht nur angemessen entworfen, sondern im Alltag verlässlich umgesetzt wurden.
Die drei Standards erfüllen unterschiedliche Zwecke und richten sich an verschiedene Arten von Organisationen.
C5-Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue)
Der C5-Kriterienkatalog richtet sich vor allem an Cloud-Service-Provider, insbesondere im Gesundheitswesen, wo C5 häufig verpflichtend eingefordert wird. Hier wird überprüft, ob die Kontrollen zur Cloud-Sicherheit angemessen gestaltet wurden und je nach Typ über einen Zeitraum wirksam betrieben wurden. Cloud-Kunden, insbesondere im öffentlichen Sektor oder in regulierten Umfeldern wie dem Gesundheitswesen, verlangen zunehmend einen Nachweis der C5-Zertifizierung eines Cloud-Dienstes.
ISAE 3402 / IDW PS 951
ISAE 3402 ist ein internationaler Standard des IAASB und prüft das interne Kontrollsystem eines Dienstleisters, soweit es finanzberichtsrelevante Geschäftsprozesse für Kunden betrifft. Er wird für Outsourcing-Dienstleister eingesetzt, zum Beispiel bei Rechenzentren, IT-Operations oder HR-Services. Ergänzend existiert in Deutschland der IDW PS 951, der analog die Ordnungsmäßigkeit ausgelagerter Prozesse prüft.
SOC 2
SOC 2 ist ein Audit-Standard, der die von Serviceorganisationen verwendeten Kontrollen zum Schutz von Informationen prüft. SOC-2-Berichte beurteilen, wie zuverlässig und sicher ein Service hinsichtlich Datensicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz betrieben wird.
Mit zertifizierten IT- und Compliance-Nachweisen schaffen Unternehmen das Vertrauen, das heute über erfolgreiche Geschäftsbeziehungen entscheidet. Unsere Expert:innen unterstützen Sie dabei, komplexe Anforderungen transparent zu erfüllen und Audit- und Zertifizierungsprozesse effizient zu gestalten. Durch klare Strukturen, verlässliche Kontrollen und eine professionelle Dokumentation erhöhen Sie nicht nur Ihr Sicherheitsniveau, sondern stärken auch Ihre Wettbewerbsfähigkeit. Wir begleiten Sie von der ersten Analyse bis zum finalen Prüfbericht – pragmatisch, verständlich und zielorientiert. Ob Cloud-Sicherheit, internes Kontrollsystem oder anspruchsvolle Anforderungen von Microsoft: Wir machen Ihre Prozesse prüfbar und zertifizierungsfähig. So wird Informations- und Cybersecurity zu einem echten Mehrwert für Ihr Unternehmen.
Kontaktformular 
+49 228 81000 0 
Newsletter