C5 - Versionsgeschichte

Dirk: /* Quellen */

2026-04-13T16:21:39Z

Quellen

← Nächstältere Version		Version vom 13. April 2026, 18:21 Uhr
Zeile 205:		Zeile 205:

	=== Quellen ===		=== Quellen ===
	[https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/CloudComputing/ComplianceControlsCatalogue/2026/C5_2026.html Cloud Computing Compliance Criteria Catalogue (<abbr>C5</abbr>:2026)]		[https://www.bsi.bund.de/dok/7685384 BSI: Cloud Computing Kriterienkatalog <abbr>C5 (allgemeine Themenseite)</abbr>]

			[https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/CloudComputing/ComplianceControlsCatalogue/2026/C5_2026.html Cloud Computing Compliance Criteria Catalogue (<abbr>C5</abbr>:2026 - englisch)]

	=== Fazit ===		=== Fazit ===

Dirk am 13. April 2026 um 13:08 Uhr

2026-04-13T13:08:22Z

Änderungen zeigen

Dirk am 4. März 2026 um 20:31 Uhr

2026-03-04T20:31:00Z

← Nächstältere Version		Version vom 4. März 2026, 22:31 Uhr
Zeile 1:		Zeile 1:
	{{#seo:		{{#seo:
	\|title=~~BSI~~ C5 – ~~IT-Sicherheitsbewertung, KOs & Reifegrade~~		\|title=C5 – Cloud Computing Compliance Criteria Catalogue
	\|description=Kurzartikel zu BSI C5: 48 Kontrollziele für Dienstleister, Cloud-Provider & KRITIS. Bewertungsmatrix, Prozess & NIS2-Anforderungen im Leitfaden für CISO und Einkäufer.}}		\|description=Kurzartikel zu BSI C5: 48 Kontrollziele für Dienstleister, Cloud-Provider & KRITIS. Bewertungsmatrix, Prozess & NIS2-Anforderungen im Leitfaden für CISO und Einkäufer.}}
	{{SHORTDESC:~~BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade~~}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cloud-Provider und KRITIS-Betreiber. Er definiert 48 IT-Sicherheitskontrollziele (KOs) in Governance, Schutz und Technik und liefert ein standardisiertes Reifegrad-Schema (C0–C5), das Kunden für vergleichbare Ausschreibungen nutzen können.''		{{SHORTDESC:Cloud Computing Compliance Criteria Catalogue.}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cloud-Provider und KRITIS-Betreiber. Er definiert 48 IT-Sicherheitskontrollziele (KOs) in Governance, Schutz und Technik und liefert ein standardisiertes Reifegrad-Schema (C0–C5), das Kunden für vergleichbare Ausschreibungen nutzen können.''
	=== Was ist C5 genau? ===		=== Was ist C5 genau? ===
	'''C5''' steht für '''Cloud Computing Compliance Criteria Catalogue.'''		'''C5''' steht für '''Cloud Computing Compliance Criteria Catalogue.'''

Dirk am 4. März 2026 um 20:17 Uhr

2026-03-04T20:17:29Z

← Nächstältere Version		Version vom 4. März 2026, 22:17 Uhr
Zeile 4:		Zeile 4:
	{{SHORTDESC:BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cloud-Provider und KRITIS-Betreiber. Er definiert 48 IT-Sicherheitskontrollziele (KOs) in Governance, Schutz und Technik und liefert ein standardisiertes Reifegrad-Schema (C0–C5), das Kunden für vergleichbare Ausschreibungen nutzen können.''		{{SHORTDESC:BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cloud-Provider und KRITIS-Betreiber. Er definiert 48 IT-Sicherheitskontrollziele (KOs) in Governance, Schutz und Technik und liefert ein standardisiertes Reifegrad-Schema (C0–C5), das Kunden für vergleichbare Ausschreibungen nutzen können.''
	=== Was ist C5 genau? ===		=== Was ist C5 genau? ===
	'''C5~~: IT-Sicherheitsbewertung und -verbesserung von Organisationen~~''' ~~ist~~ ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er bewertet systematisch, wie gut eine Organisation IT-Sicherheit umsetzt – aus Sicht eines Kunden, der einen Dienstleister beauftragt.		'''C5''' steht für '''Cloud Computing Compliance Criteria Catalogue.'''

			Ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er bewertet systematisch, wie gut eine Organisation IT-Sicherheit umsetzt – aus Sicht eines Kunden, der einen Dienstleister beauftragt.

	'''Drei Hauptkategorien mit 48 KOs:'''		'''Drei Hauptkategorien mit 48 KOs:'''

Dirk: Die Seite wurde neu angelegt: „{{#seo: |title=BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade |description=Kurzartikel zu BSI C5: 48 Kontrollziele für Dienstleister, Cloud-Provider & KRITIS. Bewertungsmatrix, Prozess & NIS2-Anforderungen im Leitfaden für CISO und Einkäufer.}} {{SHORTDESC:BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cl…“

2026-03-04T20:06:17Z

Die Seite wurde neu angelegt: „{{#seo: |title=BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade |description=Kurzartikel zu BSI C5: 48 Kontrollziele für Dienstleister, Cloud-Provider & KRITIS. Bewertungsmatrix, Prozess & NIS2-Anforderungen im Leitfaden für CISO und Einkäufer.}} {{SHORTDESC:BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cl…“

Neue Seite

{{#seo:
|title=BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade
|description=Kurzartikel zu BSI C5: 48 Kontrollziele für Dienstleister, Cloud-Provider & KRITIS. Bewertungsmatrix, Prozess & NIS2-Anforderungen im Leitfaden für CISO und Einkäufer.}}
{{SHORTDESC:BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cloud-Provider und KRITIS-Betreiber. Er definiert 48 IT-Sicherheitskontrollziele (KOs) in Governance, Schutz und Technik und liefert ein standardisiertes Reifegrad-Schema (C0–C5), das Kunden für vergleichbare Ausschreibungen nutzen können.''
=== Was ist C5 genau? ===
'''C5: IT-Sicherheitsbewertung und -verbesserung von Organisationen''' ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er bewertet systematisch, wie gut eine Organisation IT-Sicherheit umsetzt – aus Sicht eines Kunden, der einen Dienstleister beauftragt.

'''Drei Hauptkategorien mit 48 KOs:'''

'''Bewertungsdimensionen''' pro KO (Stufen C0–C5):

* '''Vollständigkeit''': Sind alle geforderten Maßnahmen definiert?
* '''Wirksamkeit''': Funktionieren die Maßnahmen in der Praxis?
* '''Nachweisbarkeit''': Kann der Kunde die Umsetzung überprüfen?

'''Ergebnis''': Matrix-Bewertung mit konkreten Verbesserungsempfehlungen. C5-Berichte sind '''vertraulich''', aber für Kunden zugänglich und 24 Monate gültig.

=== Herkunft und präzise Entwicklung ===
C5 entstand aus '''marktwirtschaftlichem Bedarf''':

'''Zeitstrahl:'''

'''Hintergrund''': Kunden großer Unternehmen/KRITIS konnten IT-Dienstleister nicht objektiv vergleichen. ISO 27001 zertifiziert interne Prozesse, C5 bewertet die '''extern sichtbare Dienstleistungssicherheit'''.

=== Warum C5 existiert – die 5 Kernprobleme ===

# '''Vergleichbarkeit fehlt''' Ohne einheitliche Kriterien sind Dienstleister-Sicherheitsaussagen nicht überprüfbar.
# '''Cloud-/Outsourcing-Transparenz''' C5 adressiert Multi-Tenancy, Data Residency, Shared Responsibility – speziell für IaaS/PaaS/SaaS.
# '''KRITIS-Verordnung §8 Abs. 3''' Kritische Infrastrukturen müssen nachweisen, dass Dienstleister "state of the art" sind.
# '''Ausschreibungsbeschleunigung''' C5-Bericht ersetzt eigene Sicherheitsaudits (Kostenersparnis: 50.000–200.000 €).
# '''Reifegrad-Management''' C5 zeigt nicht nur Lücken, sondern priorisiert Maßnahmen mit ROI-Berechnung.

=== Detaillierte Methodik – 5-Phasen-Prozess ===
{| class="wikitable"
!'''Phase'''
!'''Inhalt'''
!'''Verantwortlich'''
!'''Deliverable'''
|-
|'''1. Vorbereitung'''
|Geltungsbereich definieren (Scope), Risikoprofil, Team
|Dienstleister
|Scoping-Dokument
|-
|'''2. Selbstbewertung'''
|KO-Matrix ausfüllen
|Dienstleister
|Erste Einschätzung
|-
|'''3. Unabhängige Bewertung'''
|Interviews (20-40h), Dokumentation, Tests, Dark Room
|Akkreditierter Prüfer
|Evidence-Sammlung
|-
|'''4. Berichterstattung'''
|C5-Matrix (C0-C5 pro KO/Dimension), Lücken, Roadmap
|Prüfer
|Offizieller C5-Bericht
|-
|'''5. Verbesserung'''
|Maßnahmen umsetzen, Re-Audit nach 24 Monaten
|Dienstleister
|Reifegrad-Verbesserung
|}
'''KOs im Detail (Beispiele):'''

=== Aktuelle Entwicklungen 2026 – Zahlen und Trends ===
'''C5:2024''' (gültig seit 01.04.2024):

'''Marktstatistiken 2026:'''

* '''2.847 C5-Bewertungen''' (2025: 1.923)
* '''47 akkreditierte Prüfer''' (Deutschland: 32, International: 15)
* '''Top-Branchen''': Cloud (42%), Managed Services (28%), KRITIS (19%)
* '''Durchschnitt Reifegrad''': C2,9 → C3,4 (2024)

'''Regulatorische Anerkennung:'''

'''C5 Light''' (neu 2025): 24 Kern-KOs für KMU, 50% geringerer Aufwand.

=== C5 vs. ISO 27001 vs. BSI IT-Grundschutz ===
{| class="wikitable"
!'''Kriterium'''
!'''C5'''
!'''ISO 27001'''
!'''IT-Grundschutz'''
|-
|'''Zielgruppe'''
|Dienstleister
|Alle Organisationen
|Behörden/Unternehmen
|-
|'''Bewertung'''
|Extern sichtbar (C0-C5)
|Internes ISMS (Pass/Fail)
|Best Practice Katalog
|-
|'''KOs'''
|48 fix
|93 flexibel (SoA)
|100+ Bausteine
|-
|'''Gültigkeit'''
|24 Monate
|3 Jahre
|Kontinuierlich
|-
|'''NIS2'''
|Ja
|Ja
|Teilweise
|}
'''Synergie''': IT-Grundschutz → ISO 27001 Zertifizierung → C5 Bewertung.
[[Kategorie:Kurzartikel]]
__KEIN_INHALTSVERZEICHNIS__