C5:2020-Prüfung für Cloud-Anbieter
(SaaS / PaaS / IaaS)

Zurück zur IT- & Systemprüfung

Der C5:2020-Katalog des BSI definiert konkrete Anforderungen an die Informationssicherheit von Cloud-Diensten. Er schafft einen einheitlichen Rahmen, um die Compliance, Verfügbarkeit, Vertraulichkeit und Integrität cloudbasierter Systeme nachvollziehbar zu dokumentieren und zu prüfen. Anbieter erhalten damit die Möglichkeit, ihre Sicherheitsmaßnahmen transparent darzustellen und sich gegenüber Kunden, Partnern und Regulatoren klar zu positionieren.

 

 

Für Unternehmen:
Ob SaaS-, PaaS oder IaaS Anbieter – der BSI C5:2020 Cloud Computing Compliance Criteria Catalogue-Standard unterstützt Sie dabei, die Informationssicherheit Ihrer Cloud-Dienste nachprüfbar und belastbar abzusichern. Der Standard ermöglicht es Ihnen Ihre Sicherheitsmaßnahmen strukturiert darzustellen und unabhängig prüfen zu lassen.

Wir prüfen Ihre Sicherheitsmaßnahmen auf Angemessenheit und Wirksamkeit gemäß dem entsprechenden Prüfungsstandard IDW PS 860 i.v.m IDW PH 9.860.3. Damit schaffen Sie nicht nur Sicherheit, sondern auch Vertrauen und Wettbewerbsvorteile durch überprüfbare IT-Sicherheitsstrukturen im Bereich Cloud Computing.

Für BerufskollegInnen:
Der Prüfstandard C5:2020 des BSI bietet eine fundierte Grundlage, um die Sicherheitslage von Cloud-Anbietern im Rahmen Ihrer Prüfungs- oder Beratungstätigkeit einzuschätzen. Wir unterstützen Sie bei der Beurteilung, ob die technischen und organisatorischen Maßnahmen Ihrer Mandantinnen und Mandanten den Vorgaben des BSI entsprechen. Dabei berücksichtigen wir sowohl nationale als auch branchenspezifische Anforderungen und helfen, Prüfungsfeststellungen nachvollziehbar zu dokumentieren. So stärken Sie die Compliance Ihrer Mandate im Umgang mit Cloud-Technologien und sensiblen Daten.

Unsere Leistung – Ihre Sicherheit

Wir prüfen Ihre Grundsätze, Verfahren und Sicherheitsmaßnahmen:

  • Nach dem Standard IDW PS 860 / IDW PH 9.860.3
  • Gemäß den Anforderungen des C5:2020-
    Katalogs des BSI
  • Begleitung bei der Aufstellung der erforderlichen Kontrollbeschreibung
  • Prüfung Kontrollbeschreibung
  • Analyse bereits implementierter Kontrollen
  • Prüfungssimulation
  • Typ 1 (Angemessenheit) und/oder Typ 2 (Wirksamkeit) der Kontrollen

Hauptunterschiede ISO und C5

Der C5-Katalog des BSI enthält Anforderungen, die auf internationalen Standards wie ISO 27001, ISO 27017 oder COBIT basieren. Die Anforderungen werden im Katalog transparent gemapped, was C5 als integrierenden Standard besonders wertvoll macht.

 

Wer bereits ein ISMS nach ISO 27001 etabliert hat, kann viele Anforderungen einfacher erfüllen – eine bestehende Zertifizierung erleichtert die C5-Testierung deutlich.
Dennoch geht C5 methodisch weiter: Es erfolgt eine jährliche Prüfung durch unabhängige Wirtschaftsprüfer, wobei nicht nur die Existenz, sondern die tatsächliche
Wirksamkeit der implementierten Maßnahmen über einen festgelegten Zeitraum bescheinigt wird.

 

Im Unterschied dazu bezieht sich die ISO 27001-Zertifizierung auf einen bestimmten Zeitpunkt, ohne den Nachweis einer durchgängigen Wirksamkeit aller Sicherheits-
kontrollen. Zudem ist ISO 27001 nicht zwingend auf Cloud-Dienste ausgerichtet, während C5 explizit für SaaS, PaaS und IaaS konzipiert wurde.

Vertrauen schaffen durch geprüfte
Cloud-Sicherheit

 

Die Umsetzung und Prüfung der C5-Kriterien ist ein starkes Signal an Ihre Kunden, Partner und Aufsichtsbehörden: Ihre Cloud-Dienste entsprechen objektiv geprüften Sicherheitsstandards.

 

Wir bieten Ihnen genau das:
Eine strukturierte und unabhängige C5-Prüfung auf Basis der anerkannten Prüfungsstandards IDW PS 860 und IDW PH 9.860.3.

Ihre Qualität – Ihr Nachweis

 

Sie erhalten einen prüfbaren Nachweis, den Sie z. B. verwenden können für:

  • Kundenausschreibungen und Rahmenverträge
  • Behördenanforderungen (z. B. im Gesundheitswesen)
  • Interne Risikoanalysen
  • Compliance-Berichte gegenüber Auftraggebern

Sie haben Fragen zur C5:2020 Prüfung? Gerne!

Kontakt

Ihre Experten für C5

Abgesehen von den eigentlichen Prüfungsleistungen unterstützen wir Ihr Unternehmen auch bei der Analyse, Definition und prüferischer Begleitung der Grundsätze, Verfahren und Maßnahmen, die für die Erfüllung der Anforderungen aus dem C5-Kriterienkatalog notwendig sind. So schaffen wir gemeinsam die Basis für eine erfolgreiche Prüfung – effizient und praxisnah.

 

Für die Prüfung Ihrer Cloud-Dienste steht Ihnen bei uns nicht nur ein einzelner Prüfer zur Verfügung – sondern ein ganzes Team aus qualifizierten und zertifizierten Fachleuten. Sie erhalten einen festen Ansprechpartner für die Kommunikation, profitieren jedoch von der gesamten fachlichen Kompetenz unserer IT-Sicherheits- und Prüfungsexperten. Unsere nachgewiesene Qualifikation und Erfahrung garantiert Ihnen eine objektive, anerkannte und praxisorientierte Prüfung Ihrer Cloud-Angebote – ganz gleich ob SaaS, PaaS oder IaaS.

Betriebswirt (VWA)

Sebastian Rütten

CISA

Geschäftsführer der RLT IT- & Systemprüfung

Zur Vita

Phillip Bär

CISA | IT-Auditor IDW

Prokurist der RLT IT- & Systemprüfung

Zur Vita

Weitere Leistungen

IT-Prüfung außerhalb der Jahresabschlussprüfung: IDW PS 860