Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
In Kooperation mit Docmedico
Docmedico

Sicherheit in Ihrer digitalen Praxis: Warum das C5-Testat wichtig ist

Cloud-Technologien treiben die Digitalisierung im Gesundheitswesen voran. Gleichzeitig steigt die Verantwortung für den Schutz sensibler Patientendaten. Der C5-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) gilt dabei als zentraler Sicherheitsstandard in Deutschland. Dieser Artikel erklärt verständlich, was C5 ist, warum es im Gesundheitswesen entscheidend ist und welche Vorteile es für Cloud-Anbieter und Kunden bietet.

Inhaltsverzeichnis

Was ist C5?

C5 steht für Cloud Computing Compliance Criteria Catalogue. Dabei handelt es sich um einen Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er definiert Anforderungen an das Mindestmaß an Informationssicherheit für Cloud-Dienste und schafft eine einheitliche Grundlage, um Sicherheitsmaßnahmen nachvollziehbar darzustellen.

Das Ziel von C5 ist klar: Cloud-Dienste sollen nicht nur sicher sein, sondern ihre Sicherheitsmaßnahmen auch transparent und standardisiert nachweisen können. Für Unternehmen, die Cloud-Lösungen nutzen, wird dadurch besser erkennbar, welche Schutzmaßnahmen umgesetzt wurden und wie belastbar diese tatsächlich sind.

Die aktuelle Version (C5:2026) umfasst 168 Anforderungen in Bereichen wie:

  • Informationssicherheit

  • Zugriffskontrolle

  • physische Sicherheit

  • Notfallmanagement

Cloud-Welt verstehen: Die wichtigsten Begriffe einfach erklärt

Wer über C5 spricht, sollte zunächst die zentralen Begriffe rund um Cloud-Dienste einordnen können. Denn gerade für Personen, die sich nicht täglich mit IT-Sicherheit beschäftigen, ist ein verständliches Grundverständnis wichtig.

Cloud Computing beschreibt die Bereitstellung von IT-Ressourcen über das Internet. Die benötigten Dienste sind über definierte Schnittstellen und Protokolle abrufbar und werden in der Regel nach Nutzung abgerechnet. Unternehmen müssen dadurch keine eigenen Rechenzentren in gleichem Umfang aufbauen und betreiben.

Ein Cloud-Dienst ist die konkrete Dienstleistung, die über dieses Modell angeboten wird, zum Beispiel Speicherplatz, Software oder Rechenleistung.

Cloud-Anbieter sind die Unternehmen, die diese Leistungen bereitstellen.

Cloud-Kunden sind die Personen oder Organisationen, die diese Dienste nutzen.

Was ist ein C5-Testat?

Ein C5-Testat bescheinigt, dass ein Cloud-Anbieter mindestens die Basiskriterien des Katalogs erfüllt. Grundlage ist ein Prüfbericht, der ausschließlich von einem Wirtschaftsprüfer nach internationalen Standards erstellt wird.

Dabei wird zwischen zwei Prüfarten unterschieden:

C5 Typ 1 bewertet, ob die Anforderungen zum Zeitpunkt der Prüfung eingehalten werden.

C5 Typ 2 geht einen Schritt weiter und bestätigt, dass die Sicherheitsmaßnahmen über einen definierten Zeitraum hinweg wirksam waren und mit hoher Wahrscheinlichkeit auch weiterhin wirksam bleiben.

Warum ist C5 für Cloud-Anbieter und Cloud-Kunden wichtig?

Ein C5-Testat bringt für beide Seiten konkrete Vorteile.

Für Cloud-Anbieter ist es ein belastbarer Nachweis dafür, dass Maßnahmen zur Informationssicherheit wirksam umgesetzt wurden. Das stärkt nicht nur die eigene Sicherheitsorganisation, sondern kann auch als Wettbewerbsvorteil genutzt werden. Die intensive Auseinandersetzung mit dem C5-Katalog hilft außerdem dabei, Risiken systematisch zu identifizieren, Sicherheitslücken zu schließen und Prozesse nachhaltig zu verbessern.

Dazu gehört beispielsweise:

  • die Klassifizierung der verarbeiteten Daten

  • die regelmäßige Durchführung von Risikoanalysen

  • die schnelle Meldung und Behebung von Sicherheitsvorfällen

Für Cloud-Kunden schafft das Testat Transparenz. Sie erhalten nachvollziehbare Einblicke in die Sicherheitsmaßnahmen des Anbieters und können fundierter beurteilen, ob ein Cloud-Dienst für ihre Anforderungen geeignet ist. Gleichzeitig macht C5 auch deutlich, dass Sicherheit nicht allein Aufgabe des Anbieters ist.

Zu den typischen Mitwirkungspflichten der Kunden gehören etwa:

  • die sichere Einrichtung von Benutzerkonten und Berechtigungen

  • die Aktivierung einer Mehr-Faktor-Authentifizierung

  • die Durchführung eigener Risikoanalysen

C5 stärkt damit nicht nur die technische Sicherheit, sondern auch das gemeinsame Sicherheitsverständnis zwischen Anbieter und Kunde.

Warum ist C5 im Gesundheitswesen besonders relevant?

Im Gesundheitswesen werden besonders sensible und schützenswerte Daten verarbeitet. Dazu gehören Patientendaten, medizinische Befunde, Diagnosen und weitere personenbezogene Gesundheitsinformationen. Entsprechend hoch sind die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit.

Ein C5-Testat hilft dabei, sicherzustellen, dass diese Daten zuverlässig vor unbefugtem Zugriff geschützt werden und nach klar definierten Sicherheitsstandards verarbeitet werden. Für Patientinnen und Patienten schafft das Vertrauen, für Einrichtungen und Anbieter Rechtssicherheit und Orientierung.

Darüber hinaus ist C5 im Gesundheitswesen auch deshalb so wichtig, weil der Kriterienkatalog klare Anforderungen an Risikomanagement, Verantwortlichkeiten und Notfallkonzepte definiert. So wird nicht nur der Datenschutz gestärkt, sondern auch die Verfügbarkeit kritischer Systeme abgesichert. Gerade in der medizinischen Versorgung ist das essenziell, denn digitale Lösungen müssen nicht nur sicher, sondern auch jederzeit verlässlich nutzbar sein.

Ist ein C5-Testat Pflicht oder Empfehlung?

Ein C5-Testat ist nicht grundsätzlich für alle Cloud-Anbieter verpflichtend, wird aber in vielen Fällen dringend empfohlen. In bestimmten Branchen kann die Erfüllung der C5-Kriterien jedoch vorgeschrieben sein. Das gilt insbesondere für das Gesundheitswesen.

Aufgrund der sensiblen Daten dürfen Krankenhäuser, Arztpraxen und andere Leistungserbringer nur Cloud-Dienste nutzen, die definierte Sicherheitsanforderungen erfüllen. Seit dem 1. Juli 2024 ist ein C5-Testat Typ 1 erforderlich. Seit dem 1. Juli 2025 muss ein C5-Testat Typ 2 vorliegen.

Solange ein C5-Testat noch nicht vorhanden ist, können übergangsweise auch vergleichbare Sicherheitsstandards wie ISO 27001 herangezogen werden. Das C5-Testat muss jedoch innerhalb eines definierten Zeitraums nachgeholt werden, um die spezifischen Anforderungen vollständig zu erfüllen.

Verlässliche Sicherheit bei Docmedico

Docmedico verfügt selbstverständlich über ein C5-Testat. Dies bestätigt, dass die notwendigen Maßnahmen zur Informationssicherheit umgesetzt und nach anerkannten Standards überprüft wurden. Für die Kunden von Docmedico bedeutet dies ein hohes Maß an Vertrauen und Transparenz hinsichtlich der Sicherheit unserer Cloud-Dienste.

Fazit: Warum C5 unverzichtbar ist

Am Ende geht es bei C5 um mehr als Technik. Es geht um Vertrauen.

Patient:innen müssen sich darauf verlassen können, dass ihre Daten geschützt sind, unabhängig davon, ob sie in einer Praxis, einem Krankenhaus oder in der Cloud verarbeitet werden.

Der C5-Kriterienkatalog schafft genau diese Grundlage: Er macht Sicherheit messbar, überprüfbar und vergleichbar.

Gerade in einer Branche, in der Vertrauen entscheidend ist, wird C5 damit zum zentralen Baustein für eine sichere digitale Zukunft.

Quellen:

Bundesamt für Sicherheit in der Informationstechnik. C5 Einführung. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5_Einfuehrung/C5_Einfuehrung_node.html

Bundesamt für Sicherheit in der Informationstechnik. Mindeststandard des BSI zur Nutzung externer Cloud-Dienste. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_Nutzung_externer_Cloud-Dienste_Version_2_1.pdf?__blob=publicationFile&v=4

Bundesamt für Sicherheit in der Informationstechnik. Cloud Computing Compliance Criteria Catalogue – C5:2020. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/C5_2020.pdf?__blob=publicationFile&v=3

Bundesamt für Sicherheit in der Informationstechnik. C5:2026. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5_2025/C5_2025_node.html

Bundesamt für Sicherheit in der Informationstechnik. FAQ C5. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5-FAQ/kriterienkatalog-c5-faq.html

TÜV Nord. Was sind die C5-Kriterien?https://www.tuev-nord.de/de/wissen/explore/was-sind-die-c5-kriterien/

Dominique Marcinowski

Dominique Marcinowski

Dominique Marcinowski ist Teamlead Sales bei Docmedico. Weitere Informationen und Terminvereinbarung finden Sie unter https://demodesk.com/book/dominique-marcinowski/product-demo.

089262019915

d.marcinowski@docmedico.de

Website