C5-Testat verstehen: Welche Aussagekraft es wirklich hat

In einer Lastenheft-Liste für eine Klinik-KI-Anwendung steht eine Zeile, die in deutschen Beschaffungs-Verfahren inzwischen routinemäßig auftaucht: „C5-Testat des Anbieters erforderlich.“ Die Klinik-IT-Leitung erwartet damit ein hartes Qualitätssignal in einer Tiefe, die sie selbst nicht prüfen kann. Der Anbieter legt das Testat vor und erwartet damit das Beschaffungs-Häkchen, weil er die Erwartung kennt. Beide treffen sich an einer Stelle vorbei. Das Testat trägt — aber nicht alles, was die Liste daraus liest. Diese Lücke ist nicht das Verschulden des Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sie entsteht, wo das Etikett mit der Aussage verwechselt wird, die unter dem Etikett steht.

Was das C5-Testat zertifiziert

Der C5-Kriterienkatalog des BSI in der Fassung 2020 umfasst 17 Kontroll-Bereiche und circa 125 Kriterien, gegliedert in Basis-Kriterien und Zusatz-Anforderungen. Er richtet sich ausschließlich an Cloud-Anbieter und ihre Cloud-Dienste — Infrastructure-as-a-Service, Platform-as-a-Service, Software-as-a-Service in der Anbieter-Sicht — und prüft die Wirksamkeit der Sicherheits-Kontrollen, die der Anbieter für die zertifizierte Plattform betreibt: Zugangs- und Identitäts-Verwaltung, Verschlüsselung in Transit und im Ruhezustand, Audit-Logging, Vorfall-Reaktion, physische Sicherheit der Rechenzentren, Personal-Sicherheit, Notfall-Vorsorge. Der Geltungsbereich ist im Testat-Bericht namentlich definiert: welche Cloud-Dienste, welche Regionen, welche Bereitstellungs-Modelle. Was ausserhalb dieses Geltungs-Rings liegt, ist nicht zertifiziert — nicht aus methodischer Schwäche, sondern weil ein Testat nur über das attestiert, was es prüft.

Das Testat selbst trägt eine unabhängige Wirtschaftsprüfer-Gesellschaft nach Prüfungsstandard 951 des Instituts der Wirtschaftsprüfer (IDW PS 951) beziehungsweise nach International Standard on Assurance Engagements 3000 (ISAE 3000) zur Eintragung. Diese Prüfungs-Methodik ist die gleiche, die in der Wirtschaftsprüfung für interne Kontroll-Systeme verwendet wird. Das Testat tritt in zwei Ausprägungen auf, deren Aussage-Tiefe sich erheblich unterscheidet. Ein C5-Testat vom Typ 1 prüft die Konzeption der Kontrollen zu einem Stichtag — ist das Kontroll-System eingerichtet, ist es plausibel ausgelegt, sind die Verfahren dokumentiert. Ein Typ-2-Testat prüft zusätzlich die Wirksamkeit der Kontrollen über einen Beobachtungs-Zeitraum, üblicherweise sechs bis zwölf Monate — sind die Kontrollen tatsächlich angewendet worden, sind die nachgewiesenen Belege durchgängig, gab es Abweichungen und wenn ja, wie wurden sie behoben. Welcher Typ im Anbieter-Bericht vorliegt, ist der erste prüfbare Schnitt einer Beschaffung.

Was das C5-Testat nicht zertifiziert

Die strukturelle Aussage-Grenze des Testats liegt an drei Stellen, die in Klinik-Beschaffungs-Gesprächen regelmäßig übersehen werden. Erstens: die spezifische Anwendung, die auf der zertifizierten Plattform betrieben wird. Eine Klinik-KI-Anwendung — Doku-Assistenz, Bild-Analyse, Aufnahme-Vor-Strukturierung — läuft auf der Plattform; sie ist Teil der Anwendungs-Schicht, nicht der Plattform-Schicht. Das Testat sagt aus, dass die Plattform sicher betrieben wird; es sagt nicht aus, dass die Anwendung darüber sicher entwickelt, sicher konfiguriert oder gegen Anwendungs-spezifische Angriffsvektoren gehärtet ist. Eine schlecht entwickelte Anwendung, die auf einer C5-attestierten Plattform betrieben wird, bleibt eine schlecht entwickelte Anwendung; das Testat ändert daran nichts. Zweitens: die Subprozessoren-Kette unterhalb der Anwendung. Der zertifizierte Cloud-Anbieter dokumentiert seine eigenen Subprozessoren in der Regel im Testat-Bericht; die Subprozessoren der Klinik-Anwendung — der Inferenz-Anbieter eines Sprachmodells, der Annotations-Dienst eines Bild-Erkenners, der Analytics-Anbieter im Anwendungs-Stack, der Authentifizierungs-Dienst eines Identity-Providers — sind nicht im Geltungsbereich des Cloud-Plattform-Testats enthalten und brauchen eine eigene Auseinandersetzung im Anwendungs-Vertrag. Drittens: die Trainings-Daten-Praxis eines KI-Modells, die Datenfluss-Aufzeichnung im Modell-Inferenz-Pfad, die Auditierung von Modell-Updates und die Provenienz der Modell-Gewichte — alle vier sind Anwendungs- und Modell-Eigenschaften, keine Plattform-Eigenschaften, und damit ausserhalb dessen, was das C5-Testat überhaupt prüft.

Diese Aussage-Trennung ist im C5-Bericht selbst sichtbar, weil der Bericht ein Kapitel führt, das auf Englisch „Customer Responsibilities“ heißt und in deutschen Fassungen „Korrespondenz-Pflichten“ oder „Verantwortlichkeiten des Cloud-Kunden“. Dort listet der Anbieter explizit auf, welche Sicherheits-Maßnahmen der Cloud-Kunde — also die Klinik beziehungsweise der Klinik-Anwendungs-Betreiber — selbst umsetzen muss, damit die Plattform-Sicherheit ihre Wirkung in der Anwendungs-Schicht entfaltet: Identitäts-Verwaltung in der Anwendung, Verschlüsselungs-Schlüssel-Hoheit, Konfigurations-Härtung, Anwendungs-Logs, Daten-Lebenszyklus-Verwaltung. Die Klinik-IT-Leitung, die ein C5-Testat liest, ohne den Korrespondenz-Pflichten-Teil zu lesen, übersieht den Teil des Sicherheits-Aufbaus, der nicht beim Anbieter liegt — und wird in einem Vorfall feststellen, dass die unbearbeiteten Korrespondenz-Pflichten genau die Lücke waren, die die Plattform-Kontrollen nicht schließen konnten.

Methodische Abgrenzung zu ISO/IEC 27001 und 27017/27018

In der Lastenheft-Praxis tritt das C5-Testat oft neben drei verwandten Standards auf, die unterschiedliche Aussagen tragen. ISO/IEC 27001:2022 zertifiziert ein Information-Security-Management-System (ISMS) auf einer organisatorischen Ebene — die Einrichtung, Pflege und kontinuierliche Verbesserung eines ISMS in einer Organisation, mit Risiko-Bewertung und ausgewählten Kontrollen. ISO 27001 ist generisch, nicht cloud-spezifisch, und sagt nichts über die Wirksamkeit einzelner technischer Kontrollen einer konkreten Cloud-Plattform aus. ISO/IEC 27017:2015 ist eine Code-of-Practice-Erweiterung — sieben cloud-spezifische Kontroll-Empfehlungen plus Hinweise zu weiteren 37 Kontrollen — und wird im Rahmen eines erweiterten 27001-Geltungsbereichs zertifiziert. ISO/IEC 27018:2019 adressiert Public-Cloud-Anbieter, die personenbezogene Daten in Auftragsverarbeitung verarbeiten — Transparenz, Einwilligung, Subjekt-Rechte. Die Kontroll-Tiefe ist deutlich geringer als beim C5-Katalog: ISO 27017 listet sieben cloud-spezifische Kontrollen, der C5-Katalog 125 Kriterien.

Die methodische Abgrenzung lässt sich kurz fassen: ISO/IEC 27001 prüft, dass eine Organisation ein ISMS betreibt; ISO/IEC 27017 und 27018 ergänzen das ISMS um cloud- und datenschutz-bezogene Kontroll-Empfehlungen; das C5-Testat prüft, dass die konkreten Sicherheits-Kontrollen einer Cloud-Plattform im definierten Geltungsbereich wirksam sind. Eine Organisation kann nach ISO 27001 zertifiziert sein, ohne ein C5-Testat zu führen — das ISMS-Niveau ist nachgewiesen, die spezifische Cloud-Plattform-Kontroll-Tiefe nicht. Umgekehrt ist ein C5-Testat ohne ISO-27001-ISMS-Hintergrund denkbar, aber praktisch selten — die Mehrheit der C5-attestierten Anbieter führt parallel ein ISO-27001-zertifiziertes ISMS, weil die methodische Architektur sich gut ergänzt. Für die Beschaffung ist die Frage daher nicht, welcher Standard „besser“ ist, sondern welcher Standard welche Aussage trägt — und welche Aussagen die Klinik-Beschaffung überhaupt prüfen will. Eine Beschaffung, die alle drei Standards gleichzeitig in der Lastenheft-Liste verlangt, ohne die Aussage-Bereiche zu unterscheiden, sammelt Etiketten, statt Aussagen zu prüfen. Eine Beschaffung, die einen Standard verlangt und in den Korrespondenz-Pflichten-Teil und den Geltungsbereich liest, prüft, was sie verlangt.

C5-Sicherheit und DSGVO-Konformität sind nicht synonym

Eine zweite Stelle, an der Beschaffungs-Listen das Testat verkürzen, ist die Gleichsetzung mit der Datenschutz-Grundverordnung (DSGVO). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellt in ihren Beschlüssen zu Cloud-Diensten fest, dass eine C5-Bescheinigung nicht automatisch DSGVO-Konformität einer Auftragsverarbeitung herstellt. Die datenschutzrechtliche Bewertung — Auftragsverarbeitungs-Vertrag, Drittland-Übermittlungs-Beurteilung, Transfer-Folgenabschätzung, Daten-Subjekt-Rechte-Pfade — ist eine eigene Bewertung neben dem Sicherheits-Testat. Beide adressieren unterschiedliche Aussagen: das C5-Testat trifft eine Aussage über die Wirksamkeit von Sicherheits-Kontrollen einer Plattform; die DSGVO-Bewertung trifft eine Aussage über die rechtliche Zulässigkeit einer konkreten Verarbeitung in einer konkreten Konstellation. Eine Klinik-Beschaffung, die das eine für das andere ansetzt, hat zwei Bewertungs-Aufgaben in eine Zeile geschrieben — und keine der beiden gelöst.

Ein C5-Testat ist keine Aussage über die Klinik-Anwendung. Es ist eine Aussage über ihre Standfläche — sauber abgegrenzt, methodisch geprüft, von einer unabhängigen Wirtschaftsprüfer-Gesellschaft attestiert, in einem definierten Geltungsbereich für eine geprüfte Periode wirksam. Wer die Anwendung darüber prüfen will, prüft nicht das Testat, sondern die Anwendung — und liest den Korrespondenz-Pflichten-Teil des Testats als das, was er ist: eine Liste der Stellen, an denen die Klinik-Sicherheit selbst tragen muss, was die Plattform allein nicht trägt.