Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI definiert Mindestanforderungen an die Sicherheit von Cloud-Diensten. Er ist der de-facto-Standard für Cloud-Sicherheit in Deutschland und wird zunehmend von Behörden, KRITIS-Betreibern und regulierten Unternehmen als Pflicht vorausgesetzt.
Typ 1 attestiert, dass Sicherheitsmaßnahmen zu einem bestimmten Zeitpunkt angemessen gestaltet sind — eine Momentaufnahme. Typ 2 attestiert, dass diese Maßnahmen über einen definierten Zeitraum (üblicherweise 6-12 Monate) wirksam betrieben werden. Typ 2 ist deutlich anspruchsvoller und der Standard, den ernsthafte Kunden erwarten.
Open Source macht BSI C5 einfacher, nicht schwerer. Jede Konfiguration liegt in Git — versioniert und auditierbar. Infrastructure-as-Code bedeutet: der Ist-Zustand ist immer dokumentiert. Prometheus exportiert Verfügbarkeitsmetriken automatisch. Wazuh liefert Audit-Trails. Die meiste Evidenz, die BSI C5 verlangt, wird automatisch generiert.
Dieser Artikel basiert auf unserer Praxiserfahrung aus 6+ Kundenprojekten. Haben Sie Fragen zur Umsetzung in Ihrem Unternehmen?
