Ihr Weg zu geprüfter Cloud-Sicherheit und mehr Marktvertrauen
Wir begleiten Sie vom Status-Check bis zum Testat - klar, effizient, prüfungsnah.
Ausgewählte Kunden
Sicherheit, die Kunden überzeugt
Unsichere Cloud-Dienste
schrecken Kunden ab
Wir machen Sie
BSI C5 fit & sicher
Mehr Vertrauen.
Mehr Aufträge. Mehr Erfolg!
Ihr Weg zu einem BSI C5 Testat in 4 Schritten
BSI C5
In 4 Schritten die BSI C5 Prüfung meistern!
- Analyse & Status-Check
- Aufbau maßgeschneiderter Kontrollen
- Prüfung des Kontrollsystems
- Erteilung des Testats
1
Analyse & Status-Check
Wir analysieren den aktuellen Stand Ihres Informationssicherheitsniveaus in Bezug auf Ihren Cloud-Dienst und identifizieren Lücken im Hinblick auf die Anforderungen des BSI C5.
Dauer: 1-2 Tage
2
Aufbau maßgeschneiderter Kontrollen
Auf Basis der Analyse entwickeln Sie ein an Ihre Cloud-Dienstleistung angepasstes internes Kontrollsystem – wir begleiten Sie während des gesamten Aufbaus im Rahmen unserer prüfungsnahen Beratung.
Dauer: 4-6 Wochen
3
Prüfung des Kontrollsystems
Unsere unabhängigen Prüfer:innen bewerten die Angemessenheit sowie Implementierung (Typ 1) und ggf. die Wirksamkeit (Typ 2) Ihrer implementierten Kontrollen und deren Übereinstimmung mit dem BSI C5 Kriterienkatalog.
Dauer: 4-6 Wochen
4
Erteilung des Testats
Nach erfolgreicher BSI C5 Prüfung stellen wir das Testat hinsichtlich Ihres internen Kontrollsystems nach BSI C5 aus (inkl. Prüfungsbericht) – als Nachweis für ein geprüftes Sicherheitsniveau Ihrer Cloud-Dienstleistung.
Dauer: 2 Wochen
Vorteile einer BSI C5 Prüfung
Mit einer BSI C5 Prüfung Vertrauen schaffen, Risiken minimieren und Wettbewerbsvorteile sichern
Vertrauensaufbau bei Kunden und Partnern
Ein C5-Testat signalisiert, dass Ihre Cloud-Dienste höchsten Sicherheitsstandards entsprechen – das stärkt das Vertrauen von Kunden und Geschäftspartnern.
Erfüllung regulatorischer Anforderungen
Die BSI C5 Prüfung hilft dabei, gesetzliche und branchenspezifische Vorgaben in Bezug auf Informationssicherheit zu erfüllen – ein wichtiger Schritt Richtung Compliance. Insbesondere bei Verarbeitung von Sozial- oder Gesundheitsdaten.
Transparenz und Nachvollziehbarkeit
Der BSI C5 Kriterienkatalog schafft einheitliche Anforderungen – Ihre Kunden erhalten klare, nachvollziehbare Aussagen zur Sicherheit Ihrer Cloud-Dienste.
Wettbewerbsvorteil durch BSI C5 Prüfung
Ein erfolgreiches BSI C5 Testat kann als Differenzierungsmerkmal im Markt dienen – besonders im Vergleich zu Anbietern ohne BSI C5 Testat.
Vorbereitung auf internationale Standards
Der BSI C5 Kriterienkatalog ist kompatibel mit anderen Normen wie ISO 27001 oder SOC 2 – die BSI C5 Prüfung ist ein idealer Einstieg für global ausgerichtete Compliance-Strategien.
Das sagen unsere Kunden
„Dank der kompetenten und zielorientierten Arbeitsweise des Teams von ADVANTA konnten wir die BSI C5 Typ 1 Prüfung planmäßig und erfolgreich abschließen. Besonders überzeugt hat uns
die systematische Arbeitsweise sowie die zielgerichtete Vorbereitung auf alle Abstimmungen, wodurch der gesamte Prüfverlauf effizient und nachvollziehbar gestaltet wurde."
„Dank der professionellen und effizienten Unterstützung von ADVANTA konnten wir die BSI C5 Typ 1 Prüfung innerhalb der geplanten Zeit erfolgreich
abschließen. Die strukturierte Vorgehensweise, die konstruktiven und gut vorbereiteten Abstimmungstermine haben den gesamten Prüfprozess reibungslos und transparent gestaltet. Wir
schätzen die hervorragende Zusammenarbeit und besonders die Fähigkeit des Teams von ADVANTA sich in Unternehmensstrukturen und Geschäftsmodelle einzuarbeiten."
„Durch die zuverlässige und praxisorientierte Begleitung durch ADVANTA konnten wir die BSI C5 Typ 1 Prüfung erfolgreich und ohne Verzögerungen abschließen. Besonders wertvoll waren für uns die klare Struktur im Vorgehen, die präzise Vorbereitung aller Abstimmungen sowie die transparente Kommunikation während des gesamten Prüfprozesses. Die Zusammenarbeit mit dem ADVANTA-Team war jederzeit konstruktiv und zielgerichtet."
BSI C5, ISO 27001, NIS 2, DORA
Kriterium
BSI C5
ISO 27001
NIS 2
DORA
Spezifischer Bezug zu Cloud-Dienstleistungen
✓
✗
✗
✗
Gesetzlich verpflichtende Umsetzung
✗
✗
✓
✓
Vorgabe konkreter Sicherheitsanforderungen
✓
✓
✓
✓
Implementierung eines Dienstleistungsbezogenen IKS notwendig/möglich
✓
✗
✗
✓
Anpassbarkeit an Unternehmensspezifikationen
✓
✓
✗
✓
BSI C5
Spezifischer Bezug zu Cloud-Dienstleistungen
Gesetzlich verpflichtende Umsetzung
Vorgabe konkreter Sicherheitsanforderungen
Implementierung eines Dienstleistungsbezogenen IKS notwendig/möglich
Anpassbarkeit an Unternehmensspezifikationen
ISO 27001
Spezifischer Bezug zu Cloud-Dienstleistungen
Gesetzlich verpflichtende Umsetzung
Vorgabe konkreter Sicherheitsanforderungen
Implementierung eines Dienstleistungsbezogenen IKS notwendig/möglich
Anpassbarkeit an Unternehmensspezifikationen
NIS 2
Spezifischer Bezug zu Cloud-Dienstleistungen
Gesetzlich verpflichtende Umsetzung
Vorgabe konkreter Sicherheitsanforderungen
Implementierung eines Dienstleistungsbezogenen IKS notwendig/möglich
Anpassbarkeit an Unternehmensspezifikationen
DORA
Spezifischer Bezug zu Cloud-Dienstleistungen
Gesetzlich verpflichtende Umsetzung
Vorgabe konkreter Sicherheitsanforderungen
Implementierung eines Dienstleistungsbezogenen IKS notwendig/möglich
Anpassbarkeit an Unternehmensspezifikationen
DAS SIND IHRE ANSPRECHPARTNER
Justus Franke
Geschäftsführer,
Wirtschaftsprüfer
Justus Franke ist geschäftsführender Partner bei ADVANTA. Als Wirtschaftsprüfer und Berater begleitet er Unternehmen beim Aufbau, der Umsetzung und Prüfung von Management- und Kontrollsystemen – mit einem besonderen Fokus auf prozessorientierte Steuerung, Risikomanagement und Compliance.
Lena Franke
Geschäftsführerin, Wirtschaftsprüferin
Lena Franke ist geschäftsführende Partnerin bei ADVANTA. Sie berät Unternehmen beim Aufbau, der Weiterentwicklung und Prüfung von Managementsystemen – mit besonderem Fokus auf Qualitätsmanagement sowie Energie- und Umweltmanagement. Ihr Schwerpunkt liegt auf der praxisnahen Umsetzung normativer Anforderungen und der kontinuierlichen Verbesserung betrieblicher Prozesse.
Nils Lingthaler
Manager,
ISO 27001 Auditor
Nils Lingthaler ist Manager bei ADVANTA. Als Wirtschaftsingenieur und zertifizierter ISO 27001 Auditor berät er Unternehmen zu IT-Compliance, Informationssicherheit sowie Management- und Kontrollsystemen. Sein Fokus liegt auf der Einführung und Weiterentwicklung von Managementsystemen sowie der praxisnahen Umsetzung regulatorischer Anforderungen.
FAQ
Was ist der C5
Der BSI C5 Kriterienkatalog enthält Mindestanforderungen an sicheres Cloud Computing, welche durch das BSI spezifiziert wurden. Dabei fasst er aus Sicht des BSI Kriterien zusammen, die Cloud-Anbieter unabhängig vom Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste gegenüber ihren Kunden zu gewährleisten.
Nach erfolgreicher Prüfung aller Kriterien durch Wirtschaftsprüfer wird dem Cloud-Anbieter ein C5-Testat über die geprüften Cloud-Dienste ausgestellt.
Nach erfolgreicher Prüfung aller Kriterien durch Wirtschaftsprüfer wird dem Cloud-Anbieter ein C5-Testat über die geprüften Cloud-Dienste ausgestellt.
Was wird bei einer C5 Prüfung geprüft?
Bei einer C5-Prüfung werden ein oder mehrere Cloud-Dienste eines Cloud-Anbieters für festgelegte Regionen geprüft. Ein C5-Testat wird also nicht für einen Cloud-Anbieter als ganzes, sondern immer nur für die geprüften Cloud-Dienste in den festgelegten, geographischen Regionen des Cloud-Anbieters erstellt.
Was ist ein C5-Testat?
Ein C5-Testat ist ein Bestätigungsvermerk in Form eines Prüfberichtes, nach einer erfolgten Prüfung eines oder mehrerer Cloud-Dienste, bei welcher mindestens alle Basiskriterien des Kriterienkataloges C5 geprüft wurden.
Diese Prüfung erfolgt nach dem internationalen Standard ISAE 3000, bzw. dessen nationalen Pendants. Nach diesem Standard dürfen nur Wirtschaftsprüfer prüfen und auch nur diese dürfen entsprechende Testate ausstellen.
Diese Prüfung erfolgt nach dem internationalen Standard ISAE 3000, bzw. dessen nationalen Pendants. Nach diesem Standard dürfen nur Wirtschaftsprüfer prüfen und auch nur diese dürfen entsprechende Testate ausstellen.
Was ist der Unterschied zwischen einem Testat und einem Zertifikat?
Bei einem Zertifikat gibt es drei verschiedene Parteien: Auditierter, Auditor und Zertifizierungsstelle. Der Auditbericht des von der Zertifizierungsstelle akkreditierten Auditors, wird zur Überprüfung an die Zertifizierungsstelle geschickt. Wenn dieser den Regularien der Zertifizierung entspricht, wird von der Zertifizierungsstelle ein entsprechendes Zertifikat erteilt. Die Beteiligung dieser drei Parteien soll die Qualität und Vergleichbarkeit der Zertifikate gewährleisten. Zudem verhindert oder erschwert ein solches Vorgehen "Gefälligkeits-Zertifikate". Bei der Testierung gibt es nur zwei Parteien: den Auditierten und den Auditor.
Der Auditor wird vom Auditierten mit der Prüfung beauftragt und von ihm bezahlt. Somit besteht eine Abhängigkeit des Auditors vom Auditierten, die zu einer Beeinträchtigung der Qualität des Testats führen kann. Um hier entgegenzuwirken, wurde für den C5 ein Verfahren gewählt, bei dem der Prüfer in der Regel für seine Prüfungsleistung haftet. Nach einer erfolgten Prüfung der Kriterien des C5 wird ein Testat ausgestellt.
Der Auditor wird vom Auditierten mit der Prüfung beauftragt und von ihm bezahlt. Somit besteht eine Abhängigkeit des Auditors vom Auditierten, die zu einer Beeinträchtigung der Qualität des Testats führen kann. Um hier entgegenzuwirken, wurde für den C5 ein Verfahren gewählt, bei dem der Prüfer in der Regel für seine Prüfungsleistung haftet. Nach einer erfolgten Prüfung der Kriterien des C5 wird ein Testat ausgestellt.
Wer darf ein C5-Testat ausstellen?
Nach den geltenden Regulierungen, können nur Wirtschaftsprüfer ein C5-Testat ausstellen. ADVANTA ist eine anerkannte Wirtschaftsprüfungsgesellschaft - nehmen Sie jetzt Kontakt auf.
Was passiert wenn gleichzeitig mit der Testierung eine Zertifizierung durchgeführt wird?
Eine gleichzeitige Durchführung von Testierung und Zertifizierung hat folgenden großen Vorteil: Da alle Anforderungen der ISO/IEC 27001 auch im C5 aufgeführt sind, kann bei gleichzeitiger Testierung und Zertifizierung das Prinzip "audit once – certify many" angewendet werden. Hierunter versteht man, dass das Ergebnis der Prüfung für unterschiedliche Audits verwendet werden kann, also z. B. für den C5 und für ein Zertifikat nach ISO/IEC 27001. Dies verringert den Aufwand bei der Durchführung der Prüfung erheblich.
Muss eine gültige ISO 27001 Zertifizierung für ein C5-Testat vorliegen?
Nein, eine ISO 27001 Zertifizierung ist keine Voraussetzung für ein C5-Testat. Allerdings orientieren sich viele Anforderungen des C5 an der ISO/IEC 27001. Eine vorhandene Zertifizierung kann daher hilfreich sein und die Prüfung erleichtern, ist aber nicht zwingend erforderlich. Erfahren Sie jetzt mehr über eine ISO 27001 Zertifizierung.
Bezieht sich ein C5-Testat auf die gesamte Organisation oder nur den Cloud-Dienst?
Ein C5-Testat bezieht sich ausschließlich auf den geprüften Cloud-Dienst, nicht auf die gesamte Organisation. Es wird konkret der jeweilige Dienst beurteilt, einschließlich seiner Prozesse, Sicherheitsmaßnahmen und Infrastruktur, wie sie im Prüfzeitraum betrieben wurden.
Was versteht man unter einem dienstleistungsbezogenen internen Kontrollsystem (IKS)?
Ein dienstleistungsbezogenes internes Kontrollsystem (IKS) umfasst alle organisatorischen Maßnahmen und Kontrollen, die ein Cloud-Dienstleister implementiert, um Sicherheit, Ordnungsmäßigkeit und Regelkonformität beim Betrieb seiner Dienste sicherzustellen. Es bildet die Grundlage für die Prüfung nach C5, da es die Umsetzung der Anforderungen dokumentiert und absichert.