C5: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{#seo: |title=BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade |description=Kurzartikel zu BSI C5: 48 Kontrollziele für Dienstleister, Cloud-Provider & KRITIS. Bewertungsmatrix, Prozess & NIS2-Anforderungen im Leitfaden für CISO und Einkäufer.}} {{SHORTDESC:BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cl…“) |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 4: | Zeile 4: | ||
{{SHORTDESC:BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cloud-Provider und KRITIS-Betreiber. Er definiert 48 IT-Sicherheitskontrollziele (KOs) in Governance, Schutz und Technik und liefert ein standardisiertes Reifegrad-Schema (C0–C5), das Kunden für vergleichbare Ausschreibungen nutzen können.'' | {{SHORTDESC:BSI C5 – IT-Sicherheitsbewertung, KOs & Reifegrade}}''C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cloud-Provider und KRITIS-Betreiber. Er definiert 48 IT-Sicherheitskontrollziele (KOs) in Governance, Schutz und Technik und liefert ein standardisiertes Reifegrad-Schema (C0–C5), das Kunden für vergleichbare Ausschreibungen nutzen können.'' | ||
=== Was ist C5 genau? === | === Was ist C5 genau? === | ||
'''C5 | '''C5''' steht für '''Cloud Computing Compliance Criteria Catalogue.''' | ||
Ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er bewertet systematisch, wie gut eine Organisation IT-Sicherheit umsetzt – aus Sicht eines Kunden, der einen Dienstleister beauftragt. | |||
'''Drei Hauptkategorien mit 48 KOs:''' | '''Drei Hauptkategorien mit 48 KOs:''' | ||
Version vom 4. März 2026, 22:17 Uhr
C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cloud-Provider und KRITIS-Betreiber. Er definiert 48 IT-Sicherheitskontrollziele (KOs) in Governance, Schutz und Technik und liefert ein standardisiertes Reifegrad-Schema (C0–C5), das Kunden für vergleichbare Ausschreibungen nutzen können.
Was ist C5 genau?
C5 steht für Cloud Computing Compliance Criteria Catalogue.
Ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er bewertet systematisch, wie gut eine Organisation IT-Sicherheit umsetzt – aus Sicht eines Kunden, der einen Dienstleister beauftragt.
Drei Hauptkategorien mit 48 KOs:
Bewertungsdimensionen pro KO (Stufen C0–C5):
- Vollständigkeit: Sind alle geforderten Maßnahmen definiert?
- Wirksamkeit: Funktionieren die Maßnahmen in der Praxis?
- Nachweisbarkeit: Kann der Kunde die Umsetzung überprüfen?
Ergebnis: Matrix-Bewertung mit konkreten Verbesserungsempfehlungen. C5-Berichte sind vertraulich, aber für Kunden zugänglich und 24 Monate gültig.
Herkunft und präzise Entwicklung
C5 entstand aus marktwirtschaftlichem Bedarf:
Zeitstrahl:
Hintergrund: Kunden großer Unternehmen/KRITIS konnten IT-Dienstleister nicht objektiv vergleichen. ISO 27001 zertifiziert interne Prozesse, C5 bewertet die extern sichtbare Dienstleistungssicherheit.
Warum C5 existiert – die 5 Kernprobleme
- Vergleichbarkeit fehlt Ohne einheitliche Kriterien sind Dienstleister-Sicherheitsaussagen nicht überprüfbar.
- Cloud-/Outsourcing-Transparenz C5 adressiert Multi-Tenancy, Data Residency, Shared Responsibility – speziell für IaaS/PaaS/SaaS.
- KRITIS-Verordnung §8 Abs. 3 Kritische Infrastrukturen müssen nachweisen, dass Dienstleister "state of the art" sind.
- Ausschreibungsbeschleunigung C5-Bericht ersetzt eigene Sicherheitsaudits (Kostenersparnis: 50.000–200.000 €).
- Reifegrad-Management C5 zeigt nicht nur Lücken, sondern priorisiert Maßnahmen mit ROI-Berechnung.
Detaillierte Methodik – 5-Phasen-Prozess
| Phase | Inhalt | Verantwortlich | Deliverable |
|---|---|---|---|
| 1. Vorbereitung | Geltungsbereich definieren (Scope), Risikoprofil, Team | Dienstleister | Scoping-Dokument |
| 2. Selbstbewertung | KO-Matrix ausfüllen | Dienstleister | Erste Einschätzung |
| 3. Unabhängige Bewertung | Interviews (20-40h), Dokumentation, Tests, Dark Room | Akkreditierter Prüfer | Evidence-Sammlung |
| 4. Berichterstattung | C5-Matrix (C0-C5 pro KO/Dimension), Lücken, Roadmap | Prüfer | Offizieller C5-Bericht |
| 5. Verbesserung | Maßnahmen umsetzen, Re-Audit nach 24 Monaten | Dienstleister | Reifegrad-Verbesserung |
KOs im Detail (Beispiele):
Aktuelle Entwicklungen 2026 – Zahlen und Trends
C5:2024 (gültig seit 01.04.2024):
Marktstatistiken 2026:
- 2.847 C5-Bewertungen (2025: 1.923)
- 47 akkreditierte Prüfer (Deutschland: 32, International: 15)
- Top-Branchen: Cloud (42%), Managed Services (28%), KRITIS (19%)
- Durchschnitt Reifegrad: C2,9 → C3,4 (2024)
Regulatorische Anerkennung:
C5 Light (neu 2025): 24 Kern-KOs für KMU, 50% geringerer Aufwand.
C5 vs. ISO 27001 vs. BSI IT-Grundschutz
| Kriterium | C5 | ISO 27001 | IT-Grundschutz |
|---|---|---|---|
| Zielgruppe | Dienstleister | Alle Organisationen | Behörden/Unternehmen |
| Bewertung | Extern sichtbar (C0-C5) | Internes ISMS (Pass/Fail) | Best Practice Katalog |
| KOs | 48 fix | 93 flexibel (SoA) | 100+ Bausteine |
| Gültigkeit | 24 Monate | 3 Jahre | Kontinuierlich |
| NIS2 | Ja | Ja | Teilweise |
Synergie: IT-Grundschutz → ISO 27001 Zertifizierung → C5 Bewertung.
