C5 Testat vs ISO 27001: Was Ihr Cloud-Anbieter wirklich können muss

C5 Testat vs ISO 27001 – Was ist der Unter­schied? Während die ISO 27001 ein all­ge­meines Manage­ment­system für Infor­ma­ti­ons­si­cher­heit zer­ti­fi­ziert, ist das BSI C5 Testat ein spe­zi­fi­scher Nachweis für die operative Sicher­heit konkreter Cloud-Dienste über einen Zeitraum von 6–12 Monaten.

Viele IT-Leiter vertrauen auf die ISO 27001-Zer­ti­fi­zie­rung ihres Cloud-Anbieters. Doch Vorsicht: Während die ISO 27001 das Manage­ment­system bestätigt, belegt erst das C5 Typ 2 Testat die tat­säch­liche Sicher­heit im laufenden Cloud-Betrieb. Besonders im Gesund­heits­wesen ist dies seit Juli 2025 keine Option mehr, sondern gesetz­liche Pflicht.

Für Unter­nehmen in regu­lierten Branchen, mit kri­ti­schen Infra­struk­turen oder der öffent­li­chen Ver­wal­tung ist das C5 Testat mitt­ler­weile zum gelebten Standard geworden. Doch die wenigsten Ent­scheider kennen den konkreten Unter­schied zwischen beiden Zer­ti­fi­zie­rungen – und noch weniger verstehen, welche erheb­li­chen Com­pli­ance-Vorteile ein Cloud-Anbieter mit beiden Nach­weisen bietet.

In diesem Beitrag zeigen wir den fun­da­men­talen Unter­schied zwischen ISO 27001 und C5 Testat auf, warum beide Standards für pro­fes­sio­nelle Cloud-Dienste notwendig sind, und welche konkreten Vorteile Sie als Kunde erwarten können, wenn Ihr Anbieter beide Zer­ti­fi­zie­rungen vorweisen kann.

Der grund­le­gende Unter­schied: Infor­ma­ti­ons­si­cher­heits-Manage­ment­system vs. Cloud-Betriebs­si­cher­heit

ISO 27001 und C5 Testat werden häufig in einem Atemzug genannt, verfolgen aber völlig unter­schied­liche Ziele. Dieser Unter­schied ist ent­schei­dend für Ihre Com­pli­ance-Strategie.

ISO 27001 sagt: „Wir managen Sicher­heit richtig.“

Die inter­na­tio­nale Norm ISO 27001 definiert die Anfor­de­rungen an ein Infor­ma­ti­ons­si­cher­heits-Manage­ment­system. Das Zer­ti­fikat beschei­nigt einem Unter­nehmen, dass es dieses System wirksam betreibt. Der Fokus liegt auf Prozessen, Ver­ant­wort­lich­keiten, risi­ko­ba­siertem Vorgehen und kon­ti­nu­ier­li­cher Ver­bes­se­rung. ISO 27001 ist branchen- und tech­no­lo­gie­un­ab­hängig – jedes Unter­nehmen kann sich zer­ti­fi­zieren lassen, egal ob es Cloud-Services anbietet, pro­du­zie­rende Industrie ist oder im Ein­zel­handel tätig ist.

Die Zer­ti­fi­zie­rung prüft den Reifegrad und die Wirk­sam­keit des bestehenden Manage­ment­sys­tems. Sie doku­men­tiert unter anderem, dass Risiken sys­te­ma­tisch iden­ti­fi­ziert, bewertet und behandelt werden. Für die Orga­ni­sa­tion werden Policies, Prozesse und Ver­ant­wort­lich­keiten definiert.

C5 Typ 2 sagt: „Dieser konkrete Cloud-Service ist nach­weis­lich sicher betrieben.“

Das C5 Testat des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­technik wurde speziell für Cloud-Dienste ent­wi­ckelt. Es prüft nicht nur das Manage­ment­system des Unter­neh­mens, sondern auch konkrete Cloud-Services und deren tech­ni­sche Kon­trollen. Das bedeutet: Ein Wirt­schafts­prüfer bestätigt, dass spe­zi­fi­sche Cloud-Anwen­dungen über einen Prüf­zeit­raum von 6 bis 12 Monaten kon­ti­nu­ier­lich die 121 Sicher­heits­kri­te­rien des BSI erfüllt haben.

Der ent­schei­dende Unter­schied liegt in den gefor­derten Maßnahmen und dem Detail­grad der tech­ni­schen Umsetzung. Während ISO 27001 fordert, dass Maßnahmen zur sicheren Ver­ar­bei­tung von Daten getroffen werden, belegt C5 Typ 2, dass die konkret gefor­derten Maßnahmen aus dem Katalog erfüllt und kon­ti­nu­ier­lich wirksam sind – mit Nachweis im echten Betrieb. C5 ist dabei ver­gleich­barer und konkreter; ISO 27001 lässt bei der Umsetzung mehr orga­ni­sa­ti­ons­spe­zi­fi­schen Spielraum.

C5 Testat vs ISO 27001 im direkten Vergleich

 

Kriterium BSI C5 Typ 2 ISO 27001:2022
Art der Bestä­ti­gung Testat (Prüf­be­richt) Manage­ment­system-Zer­ti­fi­zie­rung
Fokus Konkrete Cloud-Services und deren Betrieb Orga­ni­sa­tion und Prozesse (im defi­nierten Scope)
Prüf­ge­gen­stand Tech­ni­sche und orga­ni­sa­to­ri­sche Cloud-Kon­trollen Infor­ma­ti­ons­si­cher­heits-Manage­ment­system
Unter­neh­menstyp Spe­zi­fisch für Cloud-Service-Anbieter Branchen- und tech­no­lo­gie­un­ab­hängig
Ziel­gruppe Cloud-Service-Anbieter Alle Orga­ni­sa­tionen (auch Nicht-Cloud-Anbieter)
Prüflogik Wirk­sam­keit der Kon­trollen im Betrieb über 6–12 Monate Reifegrad und Wirk­sam­keit des Manage­ment­sys­tems
Prüf­kri­te­rien 121 Kriterien in 17 Kon­troll­be­rei­chen 93 Kon­trollen im Anhang A (plus Kapitel 4–10)
Prüf­zy­klus Jährliche Tes­tie­rung in der Praxis üblich 3‑jähriger Zyklus mit jähr­li­chen Über­wa­chungs­au­dits
Durch­füh­rung Wirt­schafts­prüfer nach ISAE 3000 / IDW PS 951 Akkre­di­tierte Zer­ti­fi­zie­rungs­stellen
Aus­sa­ge­kraft für Cloud Sehr hoch – Cloud-spe­zi­fisch Grund­le­gend – all­ge­meines Sicher­heits­ma­nage­ment

Vergleich: BSI C5 Typ 2 vs. ISO 27001 Zer­ti­fi­zie­rung

Die Kern­aus­sage: ISO 27001 ist die Basis für struk­tu­riertes Sicher­heits­ma­nage­ment. C5 Typ 2 bestätigt darauf aufbauend die sichere Cloud-Umsetzung im laufenden Betrieb.

Warum beide Standards für Cloud-Dienste relevant sind

Die Frage „Reicht nicht einer der beiden Nachweise?“ kommt häufig. Die Antwort lautet: Beide Standards haben ihre Berech­ti­gung und ergänzen sich gegen­seitig – sie können sich jedoch nicht ersetzen.

Das Zusam­men­spiel funk­tio­niert so: ISO 27001 schafft die orga­ni­sa­to­ri­sche Basis – defi­nierte Prozesse, klare Ver­ant­wort­lich­keiten, sys­te­ma­ti­sches Risi­ko­ma­nage­ment. C5 prüft darauf aufbauend die konkrete tech­ni­sche Umsetzung im Cloud-Betrieb. Während ISO 27001 fordert, dass ein Infor­ma­ti­ons­si­cher­heits-Manage­ment­system existiert, weist C5 nach, dass die Cloud-Dienste und deren Infra­struktur tat­säch­lich sicher laufen.

Der Kri­te­ri­en­ka­talog macht das deutlich: C5 umfasst cloud-spe­zi­fi­sche Kon­trollen, die in der ISO 27001 so nicht enthalten sind. Diese zusätz­li­chen Kriterien decken Aspekte ab, die für Cloud-Dienste kritisch sind: physische Sicher­heit von Rechen­zen­tren, Man­dan­ten­tren­nung in Multi-Tenant-Umge­bungen, Pro­to­kol­lie­rung aller Daten­zu­griffe, nach­ge­wie­sene Backup-Stra­te­gien, doku­men­tierte Incident-Response-Prozesse, Trans­pa­renz über die gesamte Lie­fer­kette und vieles mehr.

Für Ihre Com­pli­ance-Strategie bedeutet das: ISO 27001 stellt sicher, dass Ihr Cloud-Anbieter struk­tu­riert und sys­te­ma­tisch an das Thema Infor­ma­ti­ons­si­cher­heit herangeht. C5 Typ 2 bestätigt, dass im Cloud-Betrieb tat­säch­lich alle Anfor­de­rungen des Katalogs erfüllt werden. Erst die Kom­bi­na­tion beider Standards liefert den voll­stän­digen Sicher­heits­nach­weis, den Auf­sichts­be­hörden und Wirt­schafts­prüfer in der Praxis häufig erwarten.

Die Com­pli­ance-Her­aus­for­de­rung ohne C5 Testat

Wenn Ihr Cloud-Anbieter kein C5 Testat vorweisen kann und Ihr Unter­nehmen Com­pli­ance-Auflagen unter­liegt, entstehen für Sie als Kunde erheb­liche Zusatz­auf­wände. Diese Com­pli­ance-Lücke hat direkte orga­ni­sa­to­ri­sche Kon­se­quenzen.

Zusätz­liche Prü­fungs­hand­lungen erfor­der­lich: Ohne C5 Testat Ihres Cloud-Anbieters müssen Sie die Sicher­heit seiner Infra­struktur gege­be­nen­falls selbst prüfen lassen. Das bedeutet: Ihre Wirt­schafts­prüfer müssen umfang­reiche Prü­fungs­hand­lungen beim Cloud-Anbieter durch­führen. Je nach Kom­ple­xität und Anzahl der genutzten Services bindet dies erheb­liche Res­sourcen. Für regu­lierte Branchen wie Banken, Ver­si­che­rungen oder das Gesund­heits­wesen ist dieser Nachweis nicht optional.

Interner Prüf­auf­wand: Neben externen Audits müssen Ihre eigenen Compliance‑, IT-Security- und Daten­schutz-Teams laufend Kon­trollen durch­führen. Das bindet wertvolle Res­sourcen, die für stra­te­gi­sche Sicher­heits­pro­jekte fehlen.

Recht­liche und regu­la­to­ri­sche Risiken: Die DSGVO sieht bei schweren Verstößen Bußgelder von bis zu 4 Prozent des welt­weiten Jah­res­um­satzes oder 20 Millionen Euro vor. Im Gesund­heits­wesen ist die Situation seit Juli 2025 noch ein­deu­tiger: Die Ver­ar­bei­tung von Sozial- und Gesund­heits­daten in Cloud-Diensten ohne C5 Typ 2 Testat ist rechts­widrig. Wer hier gegen die Regeln verstößt, riskiert nicht nur Bußgelder, sondern auch straf­recht­liche Kon­se­quenzen.

Die Vorteile: Wenn Ihr Anbieter beide Zer­ti­fi­zie­rungen mitbringt

Was bedeutet es konkret, wenn Ihr Cloud-Anbieter sowohl ISO 27001 als auch C5 Typ 2 Testat vorweisen kann? Die Antwort liegt in direkter Com­pli­ance-Kon­for­mität und redu­zierten Prüf­auf­wänden.

Direkte Com­pli­ance-Kon­for­mität: Mit einem C5-tes­tierten Cloud-Anbieter können Sie dessen Prüf­be­richt direkt für Ihre eigenen Com­pli­ance-Nachweise nutzen. Ihr Wirt­schafts­prüfer kann auf den C5-Bericht zurück­greifen und akzep­tiert diesen als aus­rei­chenden Nachweis. Die Reduktion des internen Prüf­auf­wands ist erheblich – Ihre Com­pli­ance-Teams können sich auf stra­te­gi­sche Themen kon­zen­trieren.

Beschleu­nigte Geneh­mi­gungen bei Auf­sichts­be­hörden: Für Unter­nehmen in regu­lierten Branchen ist schnelle Umsetzung geschäfts­kri­tisch. Mit einem C5-tes­tierten Anbieter verkürzt sich der Abstim­mungs­pro­zess mit Auf­sichts­be­hörden erheblich. Das BSI hat das C5 Testat als Min­dest­stan­dard für Bun­des­be­hörden definiert. Viele Bun­des­länder und Auf­sichts­be­hörden akzep­tieren C5 als aus­rei­chenden Sicher­heits­nach­weis.

Wett­be­werbs­vor­teil bei Aus­schrei­bungen: Im öffent­li­chen Sektor wird das C5 Testat zunehmend zum K.O.-Kriterium. Seit Mitte 2025 defi­nieren viele IT-Aus­schrei­bungen der öffent­li­chen Hand C5 als Min­dest­an­for­de­rung. Auch im privaten Sektor setzt sich C5 als Standard durch.

Cloud-Service-Anbieter mit beiden Zer­ti­fi­zie­rungen: Der ent­schei­dende Faktor

Die Kom­bi­na­tion aus ISO 27001 und C5 Typ 2 Testat ist kein Nice-to-have, sondern ein Pflicht­pro­gramm für pro­fes­sio­nelle Cloud-Anbieter. Bei Insiders haben wir beide Standards imple­men­tiert und lassen sie regel­mäßig durch unab­hän­gige Wirt­schafts­prüfer oder akkre­di­tierte Auditoren prüfen.

Wenn Sie unsere Cloud-Services nutzen, pro­fi­tieren Sie von einer mehrfach geprüften und tes­tierten Infra­struktur und Anwendung. Alle rele­vanten Sicher­heits­nach­weise sind trans­pa­rent im C5-Prüf­be­richt doku­men­tiert und können auf Anfrage ein­ge­sehen werden.

Für Kunden aus dem Gesund­heits­wesen erfüllen wir die gesetz­li­chen Anfor­de­rungen nach §393 SGB V. Für KRITIS-Betreiber erfüllen wir die Vorgaben nach §8a BSIG. Für Bun­des­be­hörden ent­spre­chen wir den BSI-Min­dest­stan­dards für Cloud-Nutzung.

Fazit: C5 Testat vs ISO 27001 – zwei Standards, eine Strategie

ISO 27001 und C5 Typ 2 Testat verfolgen unter­schied­liche, aber kom­ple­men­täre Ziele. ISO 27001 doku­men­tiert ein funk­tio­nie­rendes Infor­ma­ti­ons­si­cher­heits­system, C5 belegt sichere Cloud-Services im laufenden Betrieb. Beide Standards haben ihre Berech­ti­gung und ergänzen sich gegen­seitig.

Für Unter­nehmen in regu­lierten Branchen, KRITIS-Betreiber und die öffent­liche Ver­wal­tung ent­wi­ckelt sich C5 Typ 2 zunehmend zum Pflicht­stan­dard. Seit Juli 2025 ist es für das Gesund­heits­wesen ver­pflich­tend. Wenn Ihr Cloud-Anbieter beide Zer­ti­fi­zie­rungen vorweisen kann, pro­fi­tieren Sie von direkter Com­pli­ance-Kon­for­mität, redu­zierten internen Prüf­auf­wänden und beschleu­nigten Geneh­mi­gungs­ver­fahren.

Bei Insiders haben wir beide Standards imple­men­tiert und lassen sie regel­mäßig durch unab­hän­gige Wirt­schafts­prüfer oder akkre­di­tierte Auditoren prüfen. Unsere Cloud-Services für auto­ma­ti­sierte Rech­nungs­ver­ar­bei­tung und E‑Invoicing erfüllen damit die höchsten deutschen Sicher­heits­stan­dards – sowohl im Manage­ment als auch im tech­ni­schen Betrieb.

Möchten Sie mehr über unsere Sicher­heits­stan­dards erfahren? Kon­tak­tieren Sie uns für ein unver­bind­li­ches Gespräch über Ihre spe­zi­fi­schen Com­pli­ance-Anfor­de­rungen. Wir geben Ihnen gerne Einblick in unsere Prüf­be­richte und zeigen Ihnen, wie Sie von unserer doppelten Zer­ti­fi­zie­rung pro­fi­tieren können.

FAQs

Was ist der Haupt­un­ter­schied zwischen C5 Testat und ISO 27001?

L
K

ISO 27001 zer­ti­fi­ziert das Infor­ma­ti­ons­si­cher­heits-Manage­ment­system einer Orga­ni­sa­tion und fokus­siert sich auf Prozesse, Risi­ko­ma­nage­ment und Gover­nance. Das C5 Testat prüft hingegen konkrete Cloud-Services und deren tech­ni­sche Sicher­heits­kon­trollen über einen Zeitraum von 6 bis 12 Monaten. C5 belegt, dass ein spe­zi­fi­scher Cloud-Dienst nach­weis­lich sicher betrieben wird, während ISO 27001 doku­men­tiert, dass das Unter­nehmen Sicher­heit sys­te­ma­tisch managt.

Kann ISO 27001 das C5 Testat ersetzen?

L
K

Nein. ISO 27001 ist zwar Vor­aus­set­zung für gutes Sicher­heits­ma­nage­ment, deckt aber nicht alle Cloud-spe­zi­fi­schen Anfor­de­rungen ab. C5 enthält über die ISO 27001 hin­aus­ge­hende, cloud-spe­zi­fi­sche Kon­trollen. Für pro­fes­sio­nelle Cloud-Dienste sind beide Standards notwendig: ISO 27001 bildet das Fundament, C5 ergänzt die Cloud-spe­zi­fi­schen Anfor­de­rungen.

Für welche Branchen ist das C5 Testat Pflicht?

L
K

Seit Juli 2025 ist C5 Typ 2 für das Gesund­heits­wesen ver­pflich­tend – alle Cloud-Dienste, die Sozial- oder Gesund­heits­daten ver­ar­beiten, benötigen dieses Testat. Für Bun­des­be­hörden gilt C5 als Min­dest­stan­dard bei Cloud-Nutzung. KRITIS-Betreiber benötigen C5 faktisch zur Erfüllung von §8a BSIG. Auch für regu­lierte Branchen wie Banken, Ver­si­che­rungen und die Phar­ma­in­dus­trie wird C5 zunehmend zum Standard.

Wie lange ist ein C5 Testat gültig?

L
K

Ein C5 Testat testiert die Kon­for­mität für einen defi­nierten Prüf­zeit­raum in der Ver­gan­gen­heit. In der Praxis wird es häufig nur für einen begrenzten Zeitraum von Auf­sichts­be­hörden und Wirt­schafts­prü­fern akzep­tiert, weshalb Cloud-Anbieter übli­cher­weise jährliche Re-Audits durch­führen. Die kon­ti­nu­ier­liche Tes­tie­rung stellt sicher, dass die Sicher­heits­maß­nahmen nicht nur einmalig, sondern dauerhaft wirksam sind.

Was ist der Unter­schied zwischen C5 Typ 1 und Typ 2?

L
K

C5 Typ 1 prüft die Ange­mes­sen­heit der Sicher­heits­kon­trollen zu einem bestimmten Zeitpunkt – eine Moment­auf­nahme. C5 Typ 2 prüft zusätz­lich die kon­ti­nu­ier­liche Wirk­sam­keit der Kon­trollen über einen Zeitraum von 6 bis 12 Monaten im laufenden Betrieb. Typ 2 hat deutlich höhere Aus­sa­ge­kraft und ist für sensible Branchen wie das Gesund­heits­wesen seit Juli 2025 ver­pflich­tend.

Was passiert, wenn mein Cloud-Anbieter kein C5 Testat hat?

L
K

Im Gesund­heits­wesen ist die Nutzung von Cloud-Diensten ohne C5 Typ 2 seit Juli 2025 rechts­widrig und kann zu Buß­gel­dern und straf­recht­li­chen Kon­se­quenzen führen. In anderen regu­lierten Branchen müssen Sie selbst für Com­pli­ance-Nachweise sorgen – das bedeutet zusätz­liche externe Audits, hohen internen Prüf­auf­wand und Unsi­cher­heit bei Auf­sichts­be­hörden. Bei öffent­li­chen Aus­schrei­bungen werden Anbieter ohne C5 zunehmend aus­ge­schlossen.

Wie erkenne ich ein valides C5 Testat?

L
K

Ein valides C5 Testat wird von einem Wirt­schafts­prüfer nach ISAE 3000 oder IDW PS 951 aus­ge­stellt. Es muss trans­pa­rent doku­men­tieren, welche Cloud-Services geprüft wurden, welche Standorte und Regionen abgedeckt sind und über welchen Zeitraum die Prüfung erfolgte. Achten Sie auf etwaige Fest­stel­lungen – Abwei­chungen werden doku­men­tiert und sollten sorg­fältig bewertet werden.

Ist C5 inter­na­tional anerkannt?

L
K

C5 ist primär ein deutscher Standard, wird aber zunehmend inter­na­tional anerkannt. Der Standard inte­griert Anfor­de­rungen aus ISO 27001, AICPA/CICA Trust Services Prin­ci­ples und weiteren inter­na­tio­nalen Frame­works. Viele inter­na­tio­nale Cloud-Anbieter wie AWS, Microsoft Azure und Google Cloud haben C5-Testate für ihre deutschen Regionen. Im euro­päi­schen Kontext wird C5 als hoch­wer­tige Alter­na­tive zu anderen natio­nalen Standards wahr­ge­nommen.

Welche Cloud-Services müssen C5-testiert sein?

L
K

C5 bezieht sich immer auf konkrete Cloud-Services, nicht auf das gesamte Unter­nehmen. Im C5-Prüf­be­richt muss klar doku­men­tiert sein, welche Services geprüft wurden. Wenn Sie als Kunde einen Service nutzen, der nicht im Scope des C5-Testats liegt, haben Sie keinen Com­pli­ance-Nachweis. Achten Sie daher darauf, dass die von Ihnen genutzten konkreten Services im C5-Bericht auf­ge­führt sind.

Muss ein ISO 27001-zer­ti­fi­zierter Anbieter auch C5 haben?

L
K

Nein, ISO 27001 und C5 sind unab­hän­gige Standards. Ein Unter­nehmen kann ISO 27001 zer­ti­fi­ziert sein, ohne ein C5 Testat zu besitzen. Für pro­fes­sio­nelle Cloud-Anbieter empfiehlt sich die Kom­bi­na­tion beider Nachweise, um maximale Com­pli­ance-Sicher­heit für ihre Kunden zu gewähr­leisten.

Wie unter­scheidet sich C5 vom euro­päi­schen EUCS-Standard?

L
K

Der European Union Cloud Security Scheme (EUCS) ist ein in Ent­wick­lung befind­li­cher EU-weiter Cloud-Sicher­heits­stan­dard der ENISA. C5 gilt als Vorbild für den EUCS und fließt maß­geb­lich in dessen Ent­wick­lung ein. Bis zur voll­stän­digen Ein­füh­rung des EUCS bleibt C5 der maß­geb­liche deutsche Standard für Cloud-Sicher­heits­nach­weise.