Sichere Cloud-Dienste im Gesundheitswesen
C5 Testat
Erfahren Sie in diesem Artikel, was C5 bedeutet und warum es für Arztpraxen, MVZ und andere Gesundheitseinrichtungen relevant ist.
Was steckt hinter C5?
Bei C5 handelt es sich um den Cloud Computing Compliance Criteria Catalogue, einen Katalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der die Anforderungen an das Mindestmaß an Informationssicherheit für Cloud-Dienste definiert. Durch die Anwendung des Katalogs soll die Sicherheit von Cloud-Diensten nachvollziehbar dargestellt werden. Die Grundlage hierfür bietet eine einheitliche und standardisierte Prüfung. [1]
Cloud-Welt verstehen: Die Kernbegriffe im Überblick
Cloud Computing beschreibt die Bereitstellung von IT-Ressourcen über das Internet. Die benötigten Dienste sind über festgelegte Schnittstellen und Protokolle abrufbar und werden nach Nutzung abgerechnet. Dadurch müssen Unternehmen keine eigenen Rechenzentren aufbauen und betreiben.
Unter einem Cloud-Dienst versteht man eine über Cloud-Computing angebotene Dienstleistung, wie z. B. Speichermöglichkeiten oder Software.
Anbieter dieser Leistungen werden als Cloud-Anbieter bezeichnet.
Als Cloud-Kunden gelten die Personen, die diese Dienste in Anspruch nehmen. [2]
Die C5-Struktur kompakt erklärt
Die aktuelle Version C5:2020 des Kriterienkatalogs umfasst insgesamt 121 Anforderungen, die sich in Basis- und Zusatzkriterien gliedern. Während die Basiskriterien das Mindestniveau an Sicherheitsmaßnahmen für normal schutzbedürftige Informationen definieren, richten sich die Zusatzkriterien an besonders sensible Daten. Die Kriterien sind in 17 Bereiche aufgeteilt, darunter beispielsweise Organisation der Informationssicherheit, Personal, Physische Sicherheit und Produktsicherheit. [3]
Ein C5-Testat steht für geprüfte und bestätigte Informationssicherheit, auf die Verlass ist.
Der Weg zur bestätigten C5-Konformität
Mit einem C5-Testat wird bescheinigt, dass ein Cloud-Anbieter mindestens alle Basiskriterien erfüllt. Grundlage ist ein Prüfbericht, der nach internationalen Standards ausschließlich durch einen Wirtschaftsprüfer erstellt wird. Dabei gibt es zwei Prüfarten: Typ 1, die die Einhaltung der Kriterien zum Zeitpunkt der Prüfung bewertet, und Typ 2, die bestätigt, dass die Sicherheitsmaßnahmen über einen definierten Zeitraum hinweg wirksam waren und mit hoher Wahrscheinlichkeit auch weiterhin wirksam bleiben.
Warum ein C5-Testat einen echten Mehrwert bringt
Für Cloud-Anbieter stellt ein C5-Testat den Nachweis dar, dass Maßnahmen zur Informationssicherheit wirksam umgesetzt wurden. Dies kann durch öffentliche Kommunikation als Wettbewerbsvorteil genutzt werden. Zudem bietet die Auseinandersetzung mit dem C5-Kriterienkatalog die Chance, die eigene Sicherheitslage zu analysieren und Verbesserungen umzusetzen. Dafür müssen die in der Cloud verarbeiteten Daten klassifiziert und regelmäßige Risikoanalysen durchgeführt werden. Sicherheitsvorfälle müssen unverzüglich gemeldet und behoben werden. So kann gewährleistet werden, dass die eigene Cloud einen umfänglichen IT-Grundschutz bietet.
Cloud-Kunden erhalten durch das C5-Testat eine nachvollziehbare Einsicht in die Sicherheitsmaßnahmen des Cloud-Anbieters und werden zugleich auf eigene Mitwirkungspflichten im Umgang mit dem Dienst aufmerksam gemacht. Diese Mitwirkungspflichten umfassen beispielsweise die sichere Einrichtung von Benutzerkonten und Berechtigungen, die Aktivierung einer Mehr-Faktor-Authentifizierung und der Durchführung eigener Risikoanalysen.
C5 im Gesundheitswesen
Gerade im Gesundheitswesen wird mit besonders sensiblen und schützenswerten Daten gearbeitet. Ein C5-Testat gewährleistet, dass Patientendaten jederzeit zuverlässig vor unbefugtem Zugriff geschützt sind und nach klar definierten Sicherheitsstandards verarbeitet werden. Dadurch entsteht eine stabile Vertrauensbasis für alle Patient:innen. Durch die transparente Darstellung der umgesetzten Maßnahmen können Patient:innen jederzeit nachvollziehen, wie ihre Daten geschützt und welche Sicherheitsvorkehrungen dabei umgesetzt werden.
Darüber hinaus ist ein C5-Testat im Gesundheitswesen zudem wichtig, weil es klare Anforderungen an Risikomanagement und Notfallkonzepte definiert. Es stellt die Verfügbarkeit kritischer Systeme sicher, sieht regelmäßige Prüfungen vor und regelt Verantwortlichkeiten eindeutig. So stärkt C5 auch die Ausfallsicherheit digitaler Lösungen und fördert die nachhaltige Digitalisierung medizinischer Versorgung.
C5-Testat: Pflicht oder Empfehlung?
Ein C5-Testat ist nicht grundsätzlich für alle Cloud-Anbieter verpflichtend, wird aber generell empfohlen. In bestimmten Branchen kann die Erfüllung der C5-Kriterien jedoch vorgeschrieben sein. Ein Beispiel dafür ist das Gesundheitswesen: Aufgrund der besonders sensiblen Daten dürfen Krankenhäuser, Arztpraxen und andere Leistungserbringer nur Cloud-Dienste nutzen, die mit einem C5-Testat zertifiziert sind. Seit dem 1. Juli 2024 ist ein Testat Typ 1 erforderlich und seit dem 1. Juli 2025 muss sogar ein Testat Typ 2 vorliegen. Solange ein C5-Testat noch nicht vorliegt, können übergangsweise auch vergleichbare Sicherheitsstandards wie die ISO 27001 angewendet werden. Das C5-Testat muss jedoch innerhalb eines definierten Zeitraums nachgeholt werden, um die spezifischen Anforderungen vollständig zu erfüllen. [4]
Verlässliche Sicherheit bei Docmedico
Docmedico verfügt selbstverständlich über ein C5-Testat. Dies bestätigt, dass die notwendigen Maßnahmen zur Informationssicherheit umgesetzt und nach anerkannten Standards geprüft wurden. Für die Kund:innen von Docmedico bedeutet dies ein hohes Maß an Vertrauen und Transparenz hinsichtlich der Sicherheit unserer Cloud-Dienste.
Fazit: Ein Standard, der Vertrauen schafft
Der C5-Katalog stellt einen wichtigen Standard dar, um die Informationssicherheit von Cloud-Diensten transparent und überprüfbar zu machen. Er definiert klare Anforderungen, deren Erfüllung in einem standardisierten Prüfprozess nachgewiesen werden muss und damit sowohl Cloud-Anbietern als auch Cloud-Kunden Orientierung bietet. Ein C5-Testat schafft Vertrauen, bietet Wettbewerbsvorteile und unterstützt die kontinuierliche Verbesserung der eigenen Sicherheitsmaßnahmen. Vor allem im Gesundheitswesen muss auf ein gültiges C5-Testat geachtet werden, um sensible Daten jederzeit zu schützen.
Häufige Fragen
Ein C5-Testat bestätigt, dass ein Cloud-Anbieter die Anforderungen des Cloud Computing Compliance Criteria Catalogue (C5) erfüllt. Der zugrunde liegende Kriterienkatalog legt verbindliche Mindeststandards für die Informationssicherheit von Cloud-Diensten fest. Dabei wird zwischen zwei Berichtstypen unterschieden: Typ 1 bewertet die Umsetzung der Anforderungen zu einem festgelegten Stichtag, während Typ 2 zusätzlich die Wirksamkeit über einen längeren Prüfungszeitraum hinweg bewertet.
Ein C5-Testat bescheinigt die Einhaltung sämtlicher relevanter Anforderungen an die Informationssicherheit eines Cloud-Dienstes. Es sorgt für umfassende Transparenz hinsichtlich der technischen und organisatorischen Maßnahmen, mit denen ein Cloud-Anbieter den Schutz sensibler Daten sicherstellt. Zugleich stärkt es das Vertrauen in eine jederzeit sichere Verarbeitung und Speicherung von Informationen. Durch regelmäßige und systematische Risikoanalysen werden potenzielle Schwachstellen frühzeitig erkannt, bewertet und nachhaltig behoben, sodass ein dauerhaft hohes Sicherheitsniveau gewährleistet bleibt.
Der wichtigste Unterschied ist, dass das Testat von Typ 1 eine Stichtagsbetrachtung ist. Das heißt, dass die Kriterien zu einem bestimmten Zeitpunkt eingehalten werden. Das Testat von Typ 2 betrachtet die Wirksamkeit über einen längeren Zeitraum.
Gerade im Gesundheitswesen sind sensible Daten in besonderem Maße schützenswert. Für Cloud-Dienste in diesem Bereich ist ein C5-Testat inzwischen verpflichtend und bildet damit einen verbindlichen Sicherheitsrahmen. Patient:innen müssen darauf vertrauen können, dass ihre persönlichen Gesundheitsdaten jederzeit sicher verarbeitet werden. Ein geprüftes und dokumentiertes Sicherheitsniveau schafft hierfür die notwendige Transparenz, stärkt die Verlässlichkeit digitaler Lösungen und fördert nachhaltig das Vertrauen in die digitale Gesundheitsversorgung.
C5 ist kein genereller Pflichtstandard für alle Cloud-Anbieter. In regulierten Bereichen wie dem Gesundheitswesen wird eine C5-Testierung jedoch häufig vorausgesetzt, um gesetzliche und sicherheitsrelevante Anforderungen zu erfüllen.
Veröffentlicht: März 2026
Jetzt mehr erfahren zur Online-Rezeption
Vereinbaren Sie jetzt ein Beratungsgespräch, um ein unverbindliches Angebot zu erhalten.
Jetzt mehr erfahren zur Online-Rezeption
Vereinbaren Sie jetzt ein Beratungsgespräch, um ein unverbindliches Angebot zu erhalten.
Verwendete Quellen:
[1] Bundesamt für Sicherheit in der Informationstechnik: C5 Einführung
[2] Bundesamt für Sicherheit in der Informationstechnik: Cloud Computing Compliance Criteria Catalogue – C5:2020
[3] Bundesamt für Sicherheit in der Informationstechnik: FAQ C5
[4] TÜV Nord. Was sind die C5-Kriterien?