Icon Datenschutzbeauftragter
Datenschutz

Kriterienkatalog C5: Was Sie wissen müssen

Verfasst von: Christian Pinnecke
Berater für Informationssicherheit

Das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) vom 22. März 2024 ebnet den Weg für eine digitale Transformation und ein modernes, patientenzentriertes Gesundheitssystem.

Ein Schwerpunkt liegt darin auf der Erhöhung der Cybersicherheit in zentralen Gesundheitsservices, wie der elektronischen Patientenakte oder dem E-Rezept. Um sicherzustellen, dass bei der Verarbeitung gesundheits- und personenbezogener Daten in Cloud-basierten Informationssystemen hohe Sicherheitsstandards eingehalten werden, hat der Gesetzgeber den § 393 in das Sozialgesetzbuch (SGB V) aufgenommen. Die damit verbundenen Mindestanforderungen für Cloud-Dienste werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im „Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) definiert.

Anbieter von Cloud-Diensten, die Gesundheitsdaten verarbeiten, sind damit verpflichtet, ein C5-Testat vorzulegen. Für Unternehmen, die solche Dienste nutzen, bedeutet dies, dass sie ein C5-Zertifikat vom Dienstleister einfordern müssen, um eigene Compliance-Anforderungen zu erfüllen.

Althammer & Kill unterstützt Sie umfassend dabei, die Anforderungen des Kriterienkatalogs C5 zu verstehen und umzusetzen. Mit unserer Expertise im Bereich Datenschutz und digitale Sicherheit helfen wir Ihnen, Ihre Cloud-Strategie gesetzeskonform zu gestalten und die Sicherheit sensibler Gesundheitsdaten zu gewährleisten.

Was ist der Cloud Computing Compliance Criteria Catalogue (C5)?

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein vom BSI entwickelter Kriterienkatalog, um damit die Sicherheit von Cloud-Diensten zu bewerten und zu zertifizieren. Auf EU-Ebene definiert er die Mindestanforderungen an die Informationssicherheit von Cloud-Anbietern und dient als Nachweis für deren Compliance. Der Katalog basiert auf anerkannten Standards wie DIN EN ISO/IEC 27001 und berücksichtigt zusätzliche Cloud-spezifische Anforderungen. Er wurde erstmals 2016 veröffentlicht und zuletzt 2020 aktualisiert.

Struktur des C5

Der C5 gliedert sich in 17 Kontrollbereiche, darunter:

  1. Organisation der Informationssicherheit
  2. Personalsicherheit
  3. Physische Sicherheit und Umgebungsbedingungen
  4. Kommunikationssicherheit
  5. Betriebssicherheit
  6. Zugangskontrolle
  7. Kryptographie
  8. Lieferantenbeziehungen
  9. Informationssicherheitsvorfälle
  10. Notfallmanagement

Jeder Kontrollbereich enthält spezifische Kriterien und Maßnahmen, die Cloud-Anbieter implementieren müssen, um die Sicherheitsanforderungen zu erfüllen.

C5-Testat

Ein zentraler Aspekt des Kriterienkatalogs ist das C5-Testat. Es bestätigt, dass ein Cloud-Anbieter die C5-Kriterien erfüllt. Die Prüfung erfolgt dabei unabhängig durch externe Auditoren.

Für Unternehmen und Organisationen, die Cloud-Lösungen in einem deutschen oder europäischen Kontext einsetzen möchten, ist die Zertifizierung ein wichtiges Qualitätsmerkmal. Sie gewährleistet, dass nicht nur technische Sicherheitsstandards, sondern auch Compliance-Richtlinien eingehalten werden.

Warum sind die C5-Kriterien für den Datenschutz wichtig?

Da immer mehr sensible Daten, darunter auch Gesundheits- und Sozialdaten, in der Cloud verarbeitet und gespeichert werden, besteht ein erhöhtes Risiko für Datenmissbrauch und Sicherheitsverletzungen. Daher ist der Schutz personenbezogener Daten im Cloud-Computing von zentraler Bedeutung. Die C5-Kriterien helfen dabei, Datenschutzrisikenzu minimieren, indem sie klare Standards und Sicherheitsanforderungen speziell für Cloud-Dienste bereitstellen.

Die Mindestanforderungen des Kriterienkatalogs decken verschiedene sicherheitsrelevante Aspekte ab. Zu den wichtigsten C5-Kriterien gehören:

  • Datensicherheit: Schutz der in der Cloud gespeicherten Daten
  • Verfügbarkeit und Ausfallsicherheit: Sicherstellung, dass Dienste stets zugänglich sind
  • Transparenz: Nachvollziehbarkeit von Datenverarbeitung und Sicherheitsmaßnahmen
  • Schutz vor Cyberangriffen: Maßnahmen zur Verhinderung von Sicherheitsvorfällen

Cloud-Computing-Compliance nach dem Kriterienkatalog C5 bedeutet, dass Cloud-Anbieter diese Anforderungen erfüllen und durch eine unabhängige Prüfung nachweisen. Für Unternehmen, die Cloud-Dienste nutzen, bietet er eine verlässliche Basis, um die Einhaltung von Datenschutzgesetzen wie der DSGVO zu gewährleisten. Damit trägt der Katalog maßgeblich dazu bei, das Vertrauen in Cloud-Dienste zu stärken und Datenmissbrauch effektiv vorzubeugen.

Integration des C5 in ein ISMS

Für Unternehmen mit einem bestehenden Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001 bietet der C5 eine Erweiterung, die speziell auf Cloud-Dienste zugeschnitten ist. Durch die Integration der C5-Kriterien in das ISMS können Unternehmen ihre Sicherheitsstrategie ganzheitlich aufsetzen und sicherstellen, dass sowohl interne Systeme als auch ausgelagerte Cloud-Dienste den gleichen hohen Sicherheitsstandards entsprechen. Dies schafft eine konsistente Sicherheitsinfrastruktur, die interne und externe Datenverarbeitungsprozesse abdeckt und das Vertrauen von Kunden und Partnern stärkt.

Althammer & Kill unterstützt Unternehmen im Rahmen der ISMS-Beratung dabei, die C5-Kriterien nahtlos in ihr Informationssicherheits-Managementsystem (ISMS) zu integrieren. So helfen wir Ihnen, Cloud-Dienste sicher und rechtskonform zu nutzen.

Vorteile des Kriterienkatalogs C5 für Unternehmen und Cloud-Nutzer

Unternehmen, die Cloud-Dienste nach den C5-Kriterien des BSI nutzen, profitieren von verschiedenen Vorteilen:

  • Transparenz: Der C5 ermöglicht es Cloud-Nutzern, die Sicherheitsmaßnahmen von Anbietern zu verstehen und zu bewerten.
  • Vergleichbarkeit: Durch einen standardisierten  Kriterienkatalog können verschiedene Cloud-Anbieter leichter verglichen werden.
  • Vertrauen: Die C5-Zertifizierung signalisiert Kunden, dass ein Cloud-Anbieter hohe Sicherheitsstandards einhält.
  • Compliance: Unternehmen können Compliance-Anforderungen effizienter erfüllen, indem sie auf C5-zertifizierte Dienste zurückgreifen.

Gerade in Zeiten zunehmender Cyber-Bedrohungen und steigender Anforderungen an die Informationssicherheit ist die Orientierung am Kriterienkatalog C5 für Unternehmen eine wertvolle Unterstützung.

Herausforderungen bei der Umsetzung

Trotz der Vorteile stellt die Umsetzung der C5-Kriterien Unternehmen auch vor verschiedene Herausforderungen:

  • Freiwilligkeit: Das Testat nach C5 ist nicht gesetzlich verpflichtend (ausgenommen Artikel 393 SGB V), sodass nicht alle Cloud-Anbieter zertifiziert sind.
  • Aufwand: Die Umsetzung der C5-Kriterien erfordert Zeit und Ressourcen — sowohl für Anbieter als auch für Nutzer.
  • Aktualität: Sicherheitsanforderungen ändern sich schnell; der Katalog muss regelmäßig aktualisiert werden, um relevant zu  bleiben.

Vergleich mit anderen Sicherheitsstandards

Der Kriterienkatalog C5 unterscheidet sich von anderen Standards durch seinen Fokus auf Cloud-Computing. Im Vergleich zu allgemeinen Standards, wie ISO/IEC 27001, der eine umfassende Grundlage für Informationssicherheit im Allgemeinen bietet, geht der C5 gezielt auf Cloud-spezifische Anforderungen ein und berücksichtigt rechtliche und technologische Besonderheiten, die bei der Nutzung von Cloud-Diensten relevant sind.

Auch im Vergleich zu SOC 2 oder dem Trusted Cloud Label bietet der C5 einen detaillierteren Ansatz für die deutsche Rechtslage und spezifische Datenschutzanforderungen.

Best Practices für Unternehmen

Für Unternehmen, die Cloud-Dienste nutzen, gibt es mehrere Best Practices, um die C5-Kriterien erfolgreich umzusetzen und die Sicherheit sowie Compliance zu gewährleisten.

  • Anbieterwahl: Wählen Sie Cloud-Anbieter, die nach C5 zertifiziert sind.
  • Vertragsgestaltung: Integrieren Sie C5-Anforderungen in Ihre Service Level Agreements (SLAs).
  • Kontinuierliche Überwachung: Überprüfen Sie regelmäßig die Einhaltung der Sicherheitsstandards.
  • Schulung: Sensibilisieren Sie Ihre Mitarbeiter für die Bedeutung von Cloud-Sicherheit und Datenschutz.

Althammer & Kill:  Wir helfen Ihnen bei der Umsetzung der C5-Anforderungen 


Althammer & Kill steht Ihnen als zuverlässiger Partner zur Seite, um den Maßstab des Kriterienkatalogs C5 (2020) in Ihre Cloud-Strategie zu integrieren und Ihre Sicherheitsstandards auf höchstem Niveau zu halten.

Profitieren Sie von unserer Expertise in Datenschutz und Informationssicherheit. Mit uns können Sie Risiken minimieren, das Vertrauen Ihrer Kunden stärken und sich einen entscheidenden Wettbewerbsvorteil verschaffen.

Kontaktieren Sie uns noch heute, um mehr darüber zu erfahren, wie wir Sie mit einer individuellen Datenschutzberatung auf Ihrem Weg zur Cloud-Compliance unterstützen können!

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.