C5
C5 ist der deutsche Standard des BSI zur objektiven Bewertung und Verbesserung der IT-Sicherheit – besonders für IT-Dienstleister, Cloud-Provider und KRITIS-Betreiber. Er definiert 48 IT-Sicherheitskontrollziele (KOs) in Governance, Schutz und Technik und liefert ein standardisiertes Reifegrad-Schema (C0–C5), das Kunden für vergleichbare Ausschreibungen nutzen können.
Was ist C5 genau?
C5: IT-Sicherheitsbewertung und -verbesserung von Organisationen ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er bewertet systematisch, wie gut eine Organisation IT-Sicherheit umsetzt – aus Sicht eines Kunden, der einen Dienstleister beauftragt.
Drei Hauptkategorien mit 48 KOs:
Bewertungsdimensionen pro KO (Stufen C0–C5):
- Vollständigkeit: Sind alle geforderten Maßnahmen definiert?
- Wirksamkeit: Funktionieren die Maßnahmen in der Praxis?
- Nachweisbarkeit: Kann der Kunde die Umsetzung überprüfen?
Ergebnis: Matrix-Bewertung mit konkreten Verbesserungsempfehlungen. C5-Berichte sind vertraulich, aber für Kunden zugänglich und 24 Monate gültig.
Herkunft und präzise Entwicklung
C5 entstand aus marktwirtschaftlichem Bedarf:
Zeitstrahl:
Hintergrund: Kunden großer Unternehmen/KRITIS konnten IT-Dienstleister nicht objektiv vergleichen. ISO 27001 zertifiziert interne Prozesse, C5 bewertet die extern sichtbare Dienstleistungssicherheit.
Warum C5 existiert – die 5 Kernprobleme
- Vergleichbarkeit fehlt Ohne einheitliche Kriterien sind Dienstleister-Sicherheitsaussagen nicht überprüfbar.
- Cloud-/Outsourcing-Transparenz C5 adressiert Multi-Tenancy, Data Residency, Shared Responsibility – speziell für IaaS/PaaS/SaaS.
- KRITIS-Verordnung §8 Abs. 3 Kritische Infrastrukturen müssen nachweisen, dass Dienstleister "state of the art" sind.
- Ausschreibungsbeschleunigung C5-Bericht ersetzt eigene Sicherheitsaudits (Kostenersparnis: 50.000–200.000 €).
- Reifegrad-Management C5 zeigt nicht nur Lücken, sondern priorisiert Maßnahmen mit ROI-Berechnung.
Detaillierte Methodik – 5-Phasen-Prozess
| Phase | Inhalt | Verantwortlich | Deliverable |
|---|---|---|---|
| 1. Vorbereitung | Geltungsbereich definieren (Scope), Risikoprofil, Team | Dienstleister | Scoping-Dokument |
| 2. Selbstbewertung | KO-Matrix ausfüllen | Dienstleister | Erste Einschätzung |
| 3. Unabhängige Bewertung | Interviews (20-40h), Dokumentation, Tests, Dark Room | Akkreditierter Prüfer | Evidence-Sammlung |
| 4. Berichterstattung | C5-Matrix (C0-C5 pro KO/Dimension), Lücken, Roadmap | Prüfer | Offizieller C5-Bericht |
| 5. Verbesserung | Maßnahmen umsetzen, Re-Audit nach 24 Monaten | Dienstleister | Reifegrad-Verbesserung |
KOs im Detail (Beispiele):
Aktuelle Entwicklungen 2026 – Zahlen und Trends
C5:2024 (gültig seit 01.04.2024):
Marktstatistiken 2026:
- 2.847 C5-Bewertungen (2025: 1.923)
- 47 akkreditierte Prüfer (Deutschland: 32, International: 15)
- Top-Branchen: Cloud (42%), Managed Services (28%), KRITIS (19%)
- Durchschnitt Reifegrad: C2,9 → C3,4 (2024)
Regulatorische Anerkennung:
C5 Light (neu 2025): 24 Kern-KOs für KMU, 50% geringerer Aufwand.
C5 vs. ISO 27001 vs. BSI IT-Grundschutz
| Kriterium | C5 | ISO 27001 | IT-Grundschutz |
|---|---|---|---|
| Zielgruppe | Dienstleister | Alle Organisationen | Behörden/Unternehmen |
| Bewertung | Extern sichtbar (C0-C5) | Internes ISMS (Pass/Fail) | Best Practice Katalog |
| KOs | 48 fix | 93 flexibel (SoA) | 100+ Bausteine |
| Gültigkeit | 24 Monate | 3 Jahre | Kontinuierlich |
| NIS2 | Ja | Ja | Teilweise |
Synergie: IT-Grundschutz → ISO 27001 Zertifizierung → C5 Bewertung.
