C5 CLOUD COMPLIANCE
Ihr Cloud-Anbieter hat ein C5-Testat.
Sie brauchen trotzdem ein eigenes.
Seit Juli 2025 müssen Organisationen, die Patientendaten in der Cloud verarbeiten, ein eigenes C5-Typ-2-Testat nach § 393 SGB V vorweisen. Das Zertifikat Ihres Cloud-Anbieters deckt dessen Infrastruktur ab, nicht Ihre Anwendung. Wir helfen Ihnen, diese Lücke zu schließen.
"Mein Cloud-Anbieter ist C5-zertifiziert, also bin ich abgedeckt."
Das ist die häufigste und gefährlichste Annahme bei der C5-Compliance. Was es tatsächlich bedeutet:
Das Testat Ihres Anbieters deckt nur die Infrastruktur ab
AWS, Azure und GCP verfügen auf Infrastruktur-Ebene zwar über C5-Testate, dennoch verlangt § 393 SGB V von Ihnen als Verarbeiter von Gesundheitsdaten die unabhängige Nachweisführung der Compliance für Ihre eigene Anwendungsebene.
Anwendungsbezogene Kontrollen liegen in Ihrer Verantwortung
Zugriffsmanagement, Verschlüsselungskonfiguration, Monitoring und Incident Response für Ihre Anwendung sind vom Testat Ihres Cloud-Anbieters nicht abgedeckt. Dessen C5-Testat schließt explizit aus, wie Sie seine Dienste nutzen.
Das Shared-Responsibility-Modell hat rechtliche Konsequenzen
Wenn Sie nicht unabhängig nachweisen können, dass Ihre Anwendungsebene die C5-Kriterien erfüllt, sind Sie nicht compliant, unabhängig davon, welche Zertifizierungen Ihr Cloud-Anbieter besitzt.
Wer ist betroffen:
- SaaS-Anbieter im Gesundheitswesen: Anbieter, die Gesundheitsdaten in Cloud-Systemen verarbeiten.
- Medizinprodukte-Hersteller (SaMD): Entwickler von SaMD und DiGA, die Daten im Klinik- bzw. Praxis-Kontext verarbeiten.
- Vernetzte Medizintechnik & IoT: Unternehmen, die smarte Medizinprodukte mit einer Cloud-Infrastruktur verbinden.
- Organisationen, die Gesundheitsdaten gemäß § 393 SGB V verarbeiten.
Was ist C5?
Der Cloud Computing Compliance Criteria Catalogue des BSI, erklärt.
1BSI C5:2020 im Überblick
Der Cloud Computing Compliance Criteria Catalogue (C5:2020) definiert 121 Kriterien in 17 Sicherheitsdomänen. Er unterscheidet zwischen Basiskriterien, die für alle Cloud-Dienste verpflichtend sind, und Zusatzkriterien für die Verarbeitung hochsensibler Daten wie Patientenakten.
2Typ 1 vs. Typ 2
Ein Typ-1-Testat bestätigt, dass die richtigen Kontrollen zu einem bestimmten Zeitpunkt konzipiert und vorhanden sind. Ein Typ-2-Testat geht weiter: Es überprüft, ob diese Kontrollen über einen kontinuierlichen Zeitraum von 6 bis 12 Monaten tatsächlich funktioniert haben. Seit Juli 2025 ist Typ 2 nach § 393 SGB V verpflichtend.
3Der entscheidende Unterschied zu ISO 27001
Bei einem ISO-27001-Audit finden die Prüfer Mängel, Sie beheben sie und werden zertifiziert. Bei einem C5-Typ-2-Audit prüft der Wirtschaftsprüfer die vergangenen 6 bis 12 Monate. Waren die Kontrollen in diesem Zeitraum nicht operativ, fallen Sie durch. Es gibt keine rückwirkende Korrektur. Deshalb ist die Vorbereitung vor Beginn des Prüfungszeitraums entscheidend.
C5:2025 steht bevor, mit voraussichtlich verpflichtender Einführung ab Januar 2027. Wir berücksichtigen die aktualisierten Anforderungen bereits in unserer Vorbereitungsmethodik.
Shared Responsibility: Was abgedeckt ist und was nicht
Wir helfen Ihnen zu identifizieren, welche der 121 Kriterien auf Ihr Produkt zutreffen und welche bereits durch Ihren Anbieter abgedeckt sind.
C5-Testat des Cloud-Anbieters
- Physische Rechenzentrumssicherheit
- Netzwerkinfrastruktur
- Hypervisor & Host-Betriebssystem
- Infrastruktur-Monitoring
- Hardware-Compliance
Ihre Verantwortung
- Anwendungsbezogene Zugriffskontrollen
- Konfiguration der Datenverschlüsselung
- Patching des Gast-Betriebssystems
- Anwendungs-Monitoring & Logging
- Identity & Access Management
- Incident-Response-Verfahren
- Datenverarbeitung & Aufbewahrungsrichtlinien
- Personalsicherheit & Schulungen
Ihr Audit wird von Senior-Experten geleitet
Keine Junioren. Keine Generalisten. Spezialisten für Medizinproduktesicherheit.
Dr. rer. nat. Simon Weber
Senior Pentester & MedSec-Forscher
Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.
- Promotion über Krankenhaus-Cybersicherheit
- Kritische Schwachstellen in Krankenhaussystemen gefunden
- Alumni der THB MedSec-Forschungsgruppe
Dipl.-Inf. Volker Schönefeld
Senior Application Security Expert
Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.
- 20+ Jahre als CTO, 50+ Mio. App-Downloads
- Architektur und Absicherung großer IoT-Flotten
- Certified Web Exploitation Specialist
Unser Ansatz
Von der Gap-Analyse bis zum Testat: ein strukturierter Weg zur C5-Compliance.
Scoping & Gap-Analyse
Wir ermitteln, welche Kriterien (Basis- und relevante Zusatzkriterien) auf Ihr spezifisches Produkt zutreffen. Wir mappen die Abdeckung durch Ihren Cloud-Anbieter gegen Ihre Verantwortlichkeiten und identifizieren Lücken in Prozessen, Dokumentation und technischen Kontrollen.
IKS & Dokumentation
Wir bauen Ihr Internes Kontrollsystem (IKS) nach BSI-Vorlagen auf. Das umfasst die Definition von Kontrollen, Maßnahmen und Nachweisen für jedes anwendbare Kriterium, die Erstellung Ihrer Risikokontrollmatrix und die Dokumentation nach Prüfererwartungen.
Implementierung & Go-Live
Wir implementieren die erforderlichen Prozesse und technischen Kontrollen und definieren dann den Starttermin, ab dem der prüfbare Zeitraum beginnt. Gemeinsam stellen wir sicher, dass Ihre Organisation diese Prozesse tatsächlich im Alltag lebt, denn Papiercompliance ohne Praxis ist der häufigste Grund für ein Scheitern.
Testat
Nach 6 bis 12 Monaten operativer Nachweise unterstützen wir Sie durch den formalen Auditprozess. Für das Testat selbst arbeiten wir mit akkreditierten Prüfungspartnern zusammen.
Was C5 teuer macht
Ehrliche Risiken, die Sie kennen sollten, bevor Sie anfangen.
Papiercompliance
Sie dokumentieren perfekte Prozesse, leben diese aber nicht. Der Prüfer stichprobt echte Nachweise aus den vergangenen Monaten und findet nichts. Das ist mit Abstand der häufigste Grund für ein Scheitern.
Zu früh starten
Sie lösen den Prüfungszeitraum aus, bevor die Kontrollen tatsächlich laufen. Die Uhr tickt für einen Zeitraum, den Sie nicht rückwirkend korrigieren können.
Falscher Scope
Over-Scoping verschwendet Geld. Under-Scoping bedeutet, das Audit nicht zu bestehen und von vorne anzufangen.
Der Führungsfaktor
C5-Compliance ist nicht nur ein Projekt für das Compliance-Team. Das Engagement der Geschäftsführung, der „Tone at the Top“, muss authentisch sein. Prüfer merken das.
Vorbereitung kostet Geld. Aber es gibt nichts Teureres als ein gescheitertes C5-Testat, denn Sie bezahlen das Audit und müssen den gesamten Nachweiszeitraum von vorne beginnen.
Häufig gestellte Fragen
Was Sie über C5-Compliance für Medizinprodukte wissen müssen.
Was ist der Unterschied zwischen C5 Typ 1 und Typ 2?
Typ 1 ist eine Stichtagsprüfung: Sind die richtigen Kontrollen vorhanden? Typ 2 prüft einen historischen Zeitraum von 6 bis 12 Monaten: Haben diese Kontrollen tatsächlich funktioniert? Seit Juli 2025 ist Typ 2 für die Verarbeitung von Patientendaten in der Cloud nach § 393 SGB V verpflichtend.
Brauche ich ein eigenes C5-Testat, wenn ich AWS, Azure oder GCP nutze?
Ja. Das C5-Testat Ihres Cloud-Anbieters deckt dessen Infrastruktur ab, nicht wie Sie diese nutzen. Sie müssen die Compliance für Ihre Anwendungsebene unabhängig nachweisen, einschließlich Zugriffskontrollen, Verschlüsselungskonfiguration, Monitoring und Incident Response.
Wie lange dauert der gesamte Prozess vom Start bis zum Typ-2-Testat?
Planen Sie mindestens 12 bis 18 Monate ein. Das umfasst die Vorbereitung (3 bis 6 Monate), den Prüfungszeitraum selbst (6 bis 12 Monate) und das formale Audit. Ein Typ-1-Testat als Zwischennachweis ist möglich, während Sie die Nachweishistorie für Typ 2 aufbauen.
Kann ich mit Typ 1 beginnen und später auf Typ 2 upgraden?
Ja, und wir empfehlen das häufig. Ein Typ-1-Testat dient als Zwischennachweis für Ihr Kontrolldesign, während Sie die 6 bis 12 Monate an operativen Nachweisen für Typ 2 sammeln.
Was kostet die C5-Vorbereitung?
Das hängt von Ihrem Produktumfang, der Anzahl anwendbarer Kriterien und dem Reifegrad Ihrer bestehenden Kontrollen ab. Nach dem initialen Scoping und der Gap-Analyse erstellen wir eine klare Kostenschätzung.
Was passiert, wenn ich das Testat nicht bestehe?
Sie bezahlen das Audit und müssen den gesamten Nachweiszeitraum von vorne beginnen. Der Prüfer kann Kontrollen, die nicht operativ waren, nicht rückwirkend akzeptieren. Deshalb ist eine gründliche Vorbereitung vor dem Prüfungszeitraum entscheidend.
Wie verhält sich C5 zu ISO 27001?
Sie sind komplementär, kein Ersatz füreinander. ISO 27001 zertifiziert Ihr Informationssicherheitsmanagementsystem. C5 adressiert spezifisch Cloud-Computing-Kontrollen. Eine vorhandene ISO-27001-Zertifizierung hilft, da es erhebliche Überschneidungen gibt, ersetzt aber nicht die Notwendigkeit eines C5-Testats.
Ist C5 nur in Deutschland erforderlich?
C5 ist ein BSI-Framework und wird derzeit durch deutsches Recht (§ 393 SGB V) für die cloudbasierte Verarbeitung von Patientendaten vorgeschrieben. Es wird jedoch zunehmend als Benchmark in Europa anerkannt und dient als wesentlicher Input für das EU-weite EUCS-Cloud-Zertifizierungsschema.
Vom Pentest zur MDR-Zertifizierung
“Wir arbeiten seit mehreren Jahren mit Machine Spirits zusammen und schätzen ihre technische Expertise und unkomplizierte Zusammenarbeit. Ihre praxisnahen Empfehlungen haben maßgeblich dazu beigetragen, den Schutz der uns anvertrauten Patientendaten nachhaltig zu stärken.”
Nicht sicher, ob C5 auf Ihr Produkt zutrifft?
Lassen Sie es uns gemeinsam herausfinden. Wir bewerten Ihr Cloud-Setup, ermitteln welche C5-Kriterien zutreffen und skizzieren einen realistischen Weg zu Ihrem Testat.
Telefon
+49 221 65031192Antwortzeit
Wir antworten in der Regel innerhalb von 24 Stunden an Werktagen auf alle Anfragen.
Durchschnittliche Antwortzeit: 6-12 Stunden