Der Kriterienkatalog C5 ist ein Prüfstandard, der Mindestanforderungen an sicheres Cloud Computing spezifiziert. Dabei fasst er aus Sicht des BSI Kriterien zusammen, die Cloud-Anbieter unabhängig vom Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste gegenüber ihren Kunden zu gewährleisten.

Nach erfolgreicher Prüfung aller Kriterien durch Wirtschaftsprüfer wird dem Cloud-Anbieter ein C5-Testat über die geprüften Cloud-Dienste ausgestellt.

Bei einer C5-Prüfung werden ein oder mehrere Cloud-Dienste eines Cloud-Anbieters für festgelegte Regionen geprüft. Ein C5-Testat wird also nicht für einen Cloud-Anbieter als ganzes, sondern immer nur für die geprüften Cloud-Dienste in den festgelegten, geographischen Regionen des Cloud-Anbieters erstellt.

Ein C5-Testat ist ein Bestätigungsvermerk in Form eines Prüfberichtes, nach einer erfolgten Prüfung eines oder mehrerer Cloud-Dienste, bei welcher mindestens alle Basiskriterien des Kriterienkataloges C5 geprüft wurden.

Diese Prüfung erfolgt nach dem internationalen Standard ISAE 3000, bzw. dessen nationalen Pendants. Nach diesem Standard dürfen nur Wirtschaftsprüfer prüfen und auch nur diese dürfen entsprechende Testate ausstellen.

Bei einem Zertifikat gibt es drei verschiedene Parteien: Auditierter, Auditor und Zertifizierungsstelle. Der Auditbericht des von der Zertifizierungsstelle akkreditierten Auditors, wird zur Überprüfung an die Zertifizierungsstelle geschickt. Wenn dieser den Regularien der Zertifizierung entspricht, wird von der Zertifizierungsstelle ein entsprechendes Zertifikat erteilt. Die Beteiligung dieser drei Parteien soll die Qualität und Vergleichbarkeit der Zertifikate gewährleisten. Zudem verhindert oder erschwert ein solches Vorgehen "Gefälligkeits-Zertifikate". Bei der Testierung gibt es nur zwei Parteien: den Auditierten und den Auditor.

Der Auditor wird vom Auditierten mit der Prüfung beauftragt und von ihm bezahlt. Somit besteht eine Abhängigkeit des Auditors vom Auditierten, die zu einer Beeinträchtigung der Qualität des Testats führen kann. Um hier entgegenzuwirken, wurde für den C5 ein Verfahren gewählt, bei dem der Prüfer in der Regel für seine Prüfungsleistung haftet. Nach einer erfolgten Prüfung der Kriterien des C5 wird ein Testat ausgestellt.

Nach den geltenden Regulierungen, können nur Wirtschaftsprüfer ein C5-Testat ausstellen.

Eine gleichzeitige Durchführung von Testierung und Zertifizierung hat folgenden großen Vorteil: Da alle Anforderungen der ISO/IEC 27001 auch im C5 aufgeführt sind, kann bei gleichzeitiger Testierung und Zertifizierung das Prinzip "audit once – certify many" angewendet werden. Hierunter versteht man, dass das Ergebnis der Prüfung für unterschiedliche Audits verwendet werden kann, also z. B. für den C5 und für ein Zertifikat nach ISO/IEC 27001. Dies verringert den Aufwand bei der Durchführung der Prüfung erheblich.

Nein, eine ISO 27001 Zertifizierung ist keine Voraussetzung für ein C5-Testat. Allerdings orientieren sich viele Anforderungen des C5 an der ISO/IEC 27001. Eine vorhandene Zertifizierung kann daher hilfreich sein und die Prüfung erleichtern, ist aber nicht zwingend erforderlich.

Ein C5-Testat bezieht sich ausschließlich auf den geprüften Cloud-Dienst, nicht auf die gesamte Organisation. Es wird konkret der jeweilige Dienst beurteilt, einschließlich seiner Prozesse, Sicherheitsmaßnahmen und Infrastruktur, wie sie im Prüfzeitraum betrieben wurden.

Ein dienstleistungsbezogenes internes Kontrollsystem (IKS) umfasst alle organisatorischen Maßnahmen und Kontrollen, die ein Cloud-Dienstleister implementiert, um Sicherheit, Ordnungsmäßigkeit und Regelkonformität beim Betrieb seiner Dienste sicherzustellen. Es bildet die Grundlage für die Prüfung nach C5, da es die Umsetzung der Anforderungen dokumentiert und absichert.