Cloudsicherheit 24.08.2025, 12:00 Uhr

Was bringt die C5-Zertifizierung wirklich – und was kostet das Testat?

C5-Testat einfach erklärt: Was steckt hinter der BSI-Zertifizierung, wer braucht sie – und mit welchen Kosten müssen Sie rechnen?

Cloudsicherheit

Das C5-Testat des BSI gilt als zentraler Standard für Cloudsicherheit und stärkt das Vertrauen in digitale Infrastrukturen.

Foto: Smarterpix / maxkabakov

Cloud-Dienste sind das Rückgrat der digitalen Wirtschaft. Ob Sprachmodelle, Collaboration-Plattformen, Analyse-Tools oder branchenspezifische Lösungen – kaum ein Unternehmen arbeitet noch ohne Cloud-Anwendungen. Doch mit der wachsenden Abhängigkeit steigt auch der Druck, Sicherheit, Datenschutz und Compliance glaubwürdig nachzuweisen.

Gerade in Deutschland, wo der Schutz sensibler Daten einen hohen Stellenwert besitzt, braucht es dafür klare Standards. Einen zentralen Rahmen liefert das C5-Testat (Cloud Computing Compliance Criteria Catalogue), entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Inhaltsverzeichnis

Einheitliche Kriterien für Sicherheit und Transparenz

Das C5-Testat wurde 2016 eingeführt und seither mehrfach aktualisiert. Es definiert klare Prüfkriterien, die weit über Selbstbekenntnisse hinausgehen. Unabhängige Wirtschaftsprüfer kontrollieren Prozesse und technische Maßnahmen eines Cloud-Dienstes.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
IMS Röntgensysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) für digitale Inspektionssysteme IMS Röntgensysteme GmbH
Heiligenhaus Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
GEA-Firmenlogo
IT Application Consultant Masterdata (f/m/d) GEA
Düsseldorf Zum Job 
GEA-Firmenlogo
Business Application Consultant Consolidation (f/m/d) GEA
Düsseldorf Zum Job 
GEA-Firmenlogo
IT Application Consultant BI (f/m/d) GEA
Düsseldorf Zum Job 
VIAVI Solutions GmbH-Firmenlogo
Graduate Rotational Program - Entwicklungsingenieur (FPGA / KI) (w/m/d) VIAVI Solutions GmbH
Eningen unter Achalm Zum Job 
OCS Optical Control Systems GmbH-Firmenlogo
Entwicklungsingenieure (m/w/d) für die Bildverarbeitung & Softwareentwicklung OCS Optical Control Systems GmbH
Witten Zum Job 
DNV-Firmenlogo
(Senior) Consultant for Digital System Operation (f/m/d) DNV
Dresden, Schönefeld Zum Job 
THD - Technische Hochschule Deggendorf-Firmenlogo
Professorin | Professor (m/w/d) für das Lehrgebiet Robotik THD - Technische Hochschule Deggendorf
Cham Zum Job 
Hochschule Düsseldorf University of Applied Sciences-Firmenlogo
Professur (W2) "Wirtschaftsinformatik und Datenbanken mit dem Schwerpunkt IT-Venture-Design, Digital Enterprise und innovativer Lehre in Makerspace-Settings" Hochschule Düsseldorf University of Applied Sciences
Düsseldorf Zum Job 
FRITZ!-Firmenlogo
Entwicklungsingenieur für Produktionstestsysteme (w/m/d) FRITZ!
Berlin Zum Job 
DB InfraGO AG-Firmenlogo
Teilprojektleiter:in Ausrüstungstechnik (w/m/d) DB InfraGO AG
Hamburg Zum Job 

Das macht C5 glaubwürdiger als Eigenzertifikate oder Marketingaussagen. Manche Kritiker*innen verweisen zwar auf hohen Aufwand und Kosten, doch der Nutzen für Transparenz und Vertrauen ist groß.

Besonders ist die Verbindung von Kontrollmechanismen, Dokumentationspflichten und Transparenzberichten mit internationalen Standards wie ISO 27001 oder SOC 2. Anbieter mit C5-Testat belegen damit Informationssicherheit, regulatorische Konformität und eine offene Informationspolitik.

Typ-1 oder Typ-2: Der Unterschied macht’s

Beim C5-Testat unterscheidet man zwischen Typ 1 und Typ 2:

  • Typ 1 prüft, ob die vorgesehenen Sicherheitskontrollen grundsätzlich geeignet sind. Es ist eine Momentaufnahme.
  • Typ 2 geht weiter: Über mindestens sechs, oft sogar zwölf Monate wird überprüft, ob die Maßnahmen im realen Betrieb wirksam sind.

Gerade für stark regulierte Branchen ist das Typ-2-Testat entscheidend. Seit dem 1. Juli 2025 ist es in Deutschland sogar Pflicht, wenn Cloud-Dienste Sozial- oder Gesundheitsdaten verarbeiten.

Compliance als Wettbewerbsvorteil

Banken, Versicherungen, Krankenhäuser, Behörden oder Energieversorger unterliegen strengen Auflagen. Wer hier Cloud-Services einsetzt, braucht belastbare Nachweise. Das C5-Testat liefert einen standardisierten Prüfbericht, der IT-Einkäufer*innen Orientierung gibt und Compliance-Abteilungen klare Bewertungsgrundlagen bietet.

So lassen sich Anbieter einfacher vergleichen, zusätzliche Audits werden reduziert. Neben der formalen Ebene signalisiert das Testat auch Verlässlichkeit – ein wichtiger Faktor in Zeiten häufiger Cyberangriffe und Datenpannen.

Was kostet ein C5-Testat?

Das C5-Testat ist nicht nur aufwendig, sondern auch teuer. Anders als bei BSI-eigenen Verfahren legen private Wirtschaftsprüfungsgesellschaften die Honorare fest.

Gap-Analyse: 5.000–25.000 €
Beratung & Maßnahmenkonzept: 20.000–60.000 €
Testat Typ 1 oder 2: 40.000–120.000 €
Zusatzleistungen: z. B. Penetrationstests

Gerade kleinere Anbieter, die noch kein Informationssicherheits-Managementsystem (ISMS) aufgebaut haben, müssen mit Gesamtkosten von über 200.000 € rechnen. Zum Vergleich: Eine ISO/IEC-27001-Zertifizierung kostet meist nur 10.000–18.000 € plus jährliche Audits von 4.000–7.000 €.

 

DeepL als Praxisbeispiel

Wie wichtig das C5-Testat inzwischen ist, zeigt der Fall DeepL. Das Kölner Unternehmen hat seit 2017 mit seiner Übersetzungs- und Sprach-KI weltweite Bekanntheit erlangt. Heute nutzen über 200.000 Geschäftskunden die Plattform – nicht nur für Übersetzungen, sondern auch für Schreibhilfen, Speech-to-Text und KI-gestützte Kommunikationstools.

Im August 2025 erhielt DeepL das C5-Typ-2-Testat. Damit weist das Unternehmen nach, dass seine Plattform nicht nur innovativ, sondern auch hochsicher ist. Für das Gesundheitswesen bedeutet das: Übersetzungen sensibler Patientendaten erfolgen unter strengsten regulatorischen Bedingungen. Verwaltungen und öffentliche Auftraggeber können sich darauf verlassen, dass DeepL mit deutschen Sicherheitsnormen konform geht.

Zudem verweist DeepL auf internationale Standards wie SOC 2 Typ II und HIPAA. Damit positioniert sich das Unternehmen doppelt – einerseits auf dem deutschen Markt mit C5, andererseits global mit Standards, die in den USA und international hohe Relevanz besitzen.

FAQ zum C5-Testat

  1. Was ist das C5-Testat?
    Das C5-Testat (Cloud Computing Compliance Criteria Catalogue) ist ein Prüfrahmen des BSI für Sicherheit, Transparenz und Compliance bei Cloud-Diensten.
  2. Wer vergibt das C5-Testat?
    Es wird von unabhängigen, externen Wirtschaftsprüfern vergeben, die nach den BSI-Vorgaben prüfen.
  3. Welche Unterschiede gibt es zwischen Typ 1 und Typ 2?
  • Typ 1: bewertet die Eignung der Sicherheitsmaßnahmen zu einem Zeitpunkt.
  • Typ 2: prüft deren Wirksamkeit über mehrere Monate im laufenden Betrieb.
  1. Wie lange ist ein C5-Testat gültig?
    In der Regel ein Jahr. Anbieter müssen es regelmäßig erneuern, um den Nachweis aufrechtzuerhalten.
  2. Was genau wird geprüft?
    Kontrollmechanismen, Protokollierung, Dokumentation, Notfallmanagement, Datensicherheit und Transparenzberichte.
  3. Welche Branchen brauchen C5 besonders dringend?
    Gesundheitswesen, Finanzsektor, öffentliche Verwaltung, kritische Infrastrukturen und stark regulierte Industrien.
  4. Warum reicht ISO 27001 nicht aus?
    ISO 27001 ist international anerkannt, deckt aber nicht alle deutschen und europäischen Anforderungen ab, etwa zu DSGVO-Umsetzung oder Transparenzpflichten.
  5. Ist ein C5-Testat verpflichtend?
    Seit Juli 2025 ist ein Typ-2-Testat im deutschen Gesundheitswesen vorgeschrieben. In anderen Branchen ist es noch freiwillig, wird aber zunehmend erwartet.
  6. Welche Vorteile haben Kunden vom C5-Testat?
    Sie sparen eigene Prüfaufwände, erhalten mehr Vergleichbarkeit zwischen Anbietern und können regulatorische Anforderungen leichter erfüllen.
  7. Welche Nachteile gibt es?
    Der Aufwand ist hoch, vor allem für kleinere Anbieter. Kritiker sehen das Testat daher als Markteintrittsbarriere.

 

C5 im internationalen Vergleich

Viele Unternehmen fragen sich: Reicht nicht ISO 27001 oder SOC 2? Beide sind wichtige Standards – ISO 27001 weltweit, SOC 2 vor allem in Nordamerika. Doch C5 integriert zusätzlich spezifische deutsche und europäische Anforderungen, darunter DSGVO-Vorgaben, Protokollierungspflichten und Transparenzberichte.

Für Unternehmen, die in Deutschland tätig sind oder hier Kundschaft bedienen, ist C5 damit unverzichtbar. Es sorgt dafür, dass internationale Standards nicht nur „ausreichend“, sondern auch für deutsche Aufsichtsbehörden akzeptabel sind.

Fazit: Ohne C5 kaum Zukunft in Deutschland

Das C5-Testat ist längst mehr als ein technisches Audit. Es ist Marktzugangsnachweis, Vertrauenssignal und Wettbewerbsvorteil. Viele Unternehmen prüfen heute zuerst, ob ein Anbieter ein C5-Testat vorlegen kann – und ob es sich dabei um Typ 1 oder Typ 2 handelt.

Für Deutschland ist das Testat ein Schlüssel, um Vertrauen in digitale Infrastrukturen zu schaffen. Für Cloud-Anbieter ist es zunehmend Voraussetzung, um überhaupt am Markt teilnehmen zu können. Wer führend sein will, kommt am C5-Typ-2-Testat nicht vorbei – denn nur so lassen sich Innovation und Sicherheit glaubwürdig verbinden.

Ein Beitrag von:

  • Dominik Hochwarth

    Redakteur beim VDI Verlag. Nach dem Studium absolvierte er eine Ausbildung zum Online-Redakteur, es folgten ein Volontariat und jeweils 10 Jahre als Webtexter für eine Internetagentur und einen Onlineshop. Seit September 2022 schreibt er für ingenieur.de.

  • Julia Klinkusch

    Julia Klinkusch ist seit 2008 selbstständige Journalistin und hat sich auf Wissenschafts- und Gesundheitsthemen spezialisiert. Seit 2010 gehört sie zum Team von Content Qualitäten. Ihre Themen: Klima, KI, Technik, Umwelt, Medizin/Medizintechnik.

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Geschichte des Internets
Vom militärischem Experiment zur globalen Revolution

Blick auf die Geschichte des Internets

Ähnliche Artikel

Ein interdisziplinäres Forschungsteam verknüpft EEG-Messungen von Entwicklerinnen und Entwicklern mit der Unsicherheit großer Sprachmodelle – und zeigt: Mensch und KI stolpern über dieselben verwirrenden Code-Muster.
Stolperfalle in der IT

Verwirrender Programmcode: KI und Mensch reagieren gleich
Bitcoin
Krypto-News

Bitcoin Prognose: BTC attackiert $90K – doch 3 kritische Hürden stehen dem neuen Allzeithoch im Weg
Bitcoin-Kurs
Krypto-News

Bitcoin Prognose: 5 Gründe, warum der Kurs 2026 explodieren wird
Cloudflare
Fehler bei der Rechteverwaltung

Cloudflare-Störung: Ein Netzwerkfehler mit Dominoeffekt

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos