C5 Testat: Insiders schafft messbare Com­pli­ance-Ent­las­tung für Cloud-Kunden

06.03.2026 | Cloud, Blog

C5 Testat

C5 Testat: Insiders schafft messbare Com­­pli­­ance-Ent­las­­tung für Cloud-Kunden

Das C5 Testat bestätigt den kon­ti­nu­ier­lich geprüften Betrieb der Cloud Services von Insiders. Kunden sparen Prüf­auf­wände, beschleu­nigen Frei­ga­be­pro­zesse und senken nach­haltig ihre Com­pli­ance-Kosten.

Insiders verfügt ab sofort über das C5 Typ 2 Testat für unsere Cloud Services für die Nutzung inno­va­tiver KI-Tech­no­lo­gien zur auto­ma­ti­sierten Doku­men­ten­ver­ar­bei­tung (IDP). Damit wird bestätigt, dass defi­nierte Sicher­heits­maß­nahmen über einen längeren Zeitraum hinweg wirksam umgesetzt wurden. Für Kunden reduziert sich dadurch der Aufwand für eigene Audits und interne Prüf­pro­zesse.

C5 Testat als aner­kannter Prüf­stan­dard für Cloud-Dienste

Das C5 Testat basiert auf dem Kri­te­ri­en­ka­talog Cloud Computing Com­pli­ance Controls Catalogue, kurz C5, der vom Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI) ent­wi­ckelt wurde. Er definiert ver­bind­liche Min­dest­an­for­de­rungen an sicheres Cloud Computing und dient Unter­nehmen sowie öffent­li­chen Auf­trag­ge­bern als aner­kannter Maßstab zur Bewertung der Sicher­heit von Cloud-Diensten.

Im Rahmen der Prüfung werden mehr als 120 Kriterien durch unab­hän­gige Wirt­schafts­prüfer bewertet. Dazu zählen unter anderem belast­bare Zugriffs­kon­trollen, rol­len­ba­sierte Berech­ti­gungs­kon­zepte, ver­schlüs­selte Daten­über­tra­gung und ‑spei­che­rung, DSGVO-konforme Ver­ar­bei­tung per­so­nen­be­zo­gener Daten, doku­men­tierte Notfall- und Wie­der­an­lauf­kon­zepte, red­un­dante Sys­tem­ar­chi­tek­turen zur Sicher­stel­lung der Ver­füg­bar­keit sowie struk­tu­rierte Prozesse für Incident Manage­ment und Sicher­heits­mel­dungen. Auch Trans­pa­renz­pflichten gegenüber Kunden sowie klare Rege­lungen zur Daten­lo­ka­tion sind Bestand­teil der Prüfung. Für Anwender bedeutet das ein Sicher­heits­ni­veau gemäß den höchsten deutschen Standards.

Die Prüfung für das Typ 2 Testat gilt als besonders streng, weil dabei nicht nur die Aus­ge­stal­tung von Sicher­heits­maß­nahmen beschrieben, sondern deren kon­ti­nu­ier­li­chen Betrieb überprüft wird. Damit bietet es einen belast­baren Nachweis für Auf­sichts­be­hörden, Daten­schutz­stellen und interne Revi­sionen.

Seit dem 1. Juli 2025 ist ein C5 Typ 2 Testat ver­pflich­tend, wenn Cloud-Dienste in Deutsch­land Sozial- oder Gesund­heits­daten ver­ar­beiten. Auch in regu­lierten Branchen wie dem Finanz­sektor, der öffent­li­chen Ver­wal­tung oder bei Betrei­bern kri­ti­scher Infra­struk­turen wird der Nachweis zunehmend vor­aus­ge­setzt.

Weniger Prüf­auf­wand, geringere Kosten, schnel­lere Freigaben

Für Kunden von Insiders bedeutet das C5 Testat einen unmit­tel­baren wirt­schaft­li­chen Effekt. In regu­lierten Umfeldern sind Unter­nehmen ver­pflichtet, die Sicher­heit ihrer Dienst­leister regel­mäßig zu prüfen und zu doku­men­tieren. Ohne stan­dar­di­sierten Nachweis entstehen dabei hohe interne Aufwände für Risi­ko­ana­lysen, Lie­fe­ran­ten­be­wer­tungen, Audit­ge­spräche und Doku­men­ta­ti­ons­pflichten.

Durch das C5 Typ 2 Testat für die KI-Cloud-Services von Insiders reduziert sich dieser Aufwand erheblich. Kunden können auf einen aner­kannten und geprüften Sicher­heits­nach­weis zurück­greifen, statt eigene, zeit- und kos­ten­in­ten­sive Ein­zel­prü­fungen durch­führen zu müssen.

„Regu­la­to­ri­sche Anfor­de­rungen ver­ur­sa­chen in vielen Orga­ni­sa­tionen erheb­liche indirekte Kosten“, sagt Dr. Alexander Swienty, Head of Channel Manage­ment bei Insiders. „Mit dem C5 Typ 2 Testat über­nehmen wir einen großen Teil dieses Prüf­auf­wands. Unsere Kunden pro­fi­tieren von klaren Nach­weisen, kürzeren Abstim­mungen mit Auf­sichts­be­hörden und deutlich redu­zierter Bindung interner Res­sourcen.“

Ergänzung zur ISO 27001-Zer­ti­fi­zie­rung

Insiders verfügt bereits über eine ISO 27001-Zer­ti­fi­zie­rung für sein Infor­ma­ti­ons­si­cher­heits-Manage­ment­system. Während diese das struk­tu­rierte Manage­ment von Infor­ma­ti­ons­si­cher­heit bestätigt, weist das C5 Testat zusätz­lich den sicheren Betrieb der konkreten Cloud Services nach. Für Kunden entsteht daraus ein belast­bares Sicher­heits- und Com­pli­ance-Fundament.

Lesen Sie mehr über die Unter­schiede von C5 Testat und ISO 27001-Zer­ti­fi­zie­rung

Inte­grierter Com­pli­ance-Nachweis ohne Zusatz­auf­wand

Insiders inte­griert das C5 Testat über eine trans­pa­rente Assurance Fee in sein Geschäfts­mo­dell. Für Kunden entsteht dadurch kein separates Prüf­pro­jekt, sondern ein bereits geprüfter und doku­men­tierter Sicher­heits­nach­weis, der unmit­telbar für eigene Com­pli­ance-Anfor­de­rungen genutzt werden kann.

Das Testat wird jährlich erneuert und sichert damit dauerhaft über­prüf­bare Sicher­heits­stan­dards. Für Kunden bedeutet das regu­la­to­ri­sche Sta­bi­lität, planbare Kosten und deutlich weniger admi­nis­tra­tiver Aufwand im laufenden Betrieb.

Mehr zum Thema Cloud

FAQs

Was bedeutet das C5 Typ 2 Testat für die Cloud-Services von Insiders?

L
K

Das C5 Testat (Cloud Computing Com­pli­ance Controls Catalogue) ist ein vom Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI) ent­wi­ckelter Standard, der Min­dest­an­for­de­rungen an sicheres Cloud Computing definiert. Das Typ 2 Testat bestätigt dabei nicht nur, dass Sicher­heits­maß­nahmen geplant sind, sondern dass diese über einen längeren Zeitraum hinweg kon­ti­nu­ier­lich und wirksam im Betrieb umgesetzt wurden. Bei Insiders Tech­no­lo­gies umfasst dies die KI-Cloud-Services zur auto­ma­ti­sierten Doku­men­ten­ver­ar­bei­tung (IDP).

Welche konkreten Sicher­heits­kri­te­rien wurden geprüft?

L
K

Im Rahmen der Prüfung durch unab­hän­gige Wirt­schafts­prüfer wurden mehr als 120 Kriterien bewertet. Dazu gehören unter anderem:

  • Belast­bare Zugriffs­kon­trollen und rol­len­ba­sierte Berech­ti­gungs­kon­zepte.
  • Ver­schlüs­selte Daten­über­tra­gung und ‑spei­che­rung sowie DSGVO-konforme Ver­ar­bei­tung.
  • Red­un­dante Sys­tem­ar­chi­tek­turen für hohe Ver­füg­bar­keit und doku­men­tierte Not­fall­kon­zepte.
  • Struk­tu­rierte Prozesse für das Incident Manage­ment sowie Trans­pa­renz bei der Daten­lo­ka­tion.

Warum ist das Testat für regu­lierte Branchen so wichtig?

L
K

Für Unter­nehmen in regu­lierten Sektoren wie dem Finanz­wesen, der öffent­li­chen Ver­wal­tung oder bei KRITIS-Betrei­bern ist ein solcher Nachweis oft Vor­aus­set­zung für die Zusam­men­ar­beit. Besonders relevant: Seit dem 1. Juli 2025 ist ein C5 Typ 2 Testat in Deutsch­land ver­pflich­tend, wenn Cloud-Dienste Sozial- oder Gesund­heits­daten ver­ar­beiten.

Wie lange ist ein C5 Testat gültig?

L
K

Ein C5 Testat testiert die Kon­for­mität für einen defi­nierten Prüf­zeit­raum in der Ver­gan­gen­heit. In der Praxis wird es häufig nur für einen begrenzten Zeitraum von Auf­sichts­be­hörden und Wirt­schafts­prü­fern akzep­tiert, weshalb Cloud-Anbieter übli­cher­weise jährliche Re-Audits durch­führen. Die kon­ti­nu­ier­liche Tes­tie­rung stellt sicher, dass die Sicher­heits­maß­nahmen nicht nur einmalig, sondern dauerhaft wirksam sind.

Was ist der Unter­schied zur bestehenden ISO 27001-Zer­ti­fi­zie­rung?

L
K

Insiders ist bereits nach ISO 27001 zer­ti­fi­ziert, was ein struk­tu­riertes Infor­ma­ti­ons­si­cher­heits-Manage­ment­system bestätigt. Das C5 Typ 2 Testat geht darüber hinaus und weist zusätz­lich den spe­zi­fi­schen sicheren Betrieb der konkreten Cloud-Services nach. Zusammen bilden beide Nachweise ein belast­bares Com­pli­ance-Fundament für Kunden.

Wie erhalten Kunden Zugriff auf diesen Sicher­heits­nach­weis?

L
K

Insiders inte­griert das Testat über eine trans­pa­rente Assurance Fee direkt in das Geschäfts­mo­dell. Kunden erhalten damit ohne separates Prüf­pro­jekt einen doku­men­tierten Nachweis, der jährlich erneuert wird und dau­er­hafte regu­la­to­ri­sche Sta­bi­lität bietet.