DER BSI C5-KRITERIENKATALOG – BEDEUTUNG UND AKTUELLE ANFORDERUNGEN IM GESUNDHEITSSEKTOR
Der BSI C5-Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) ist ein vom Bundesamt für Sicherheit in der Informationstechnik entwickelter Standard, der Mindestanforderungen an die Sicherheit von Cloud-Diensten definiert. Mit insgesamt 121 Kriterien aus 17 Themenbereichen – darunter Informationssicherheit, physische Sicherheit, sichere Beschaffung und Qualifizierung des Personals – dient der Katalog als zentraler Maßstab für die Bewertung der IT-Sicherheit von Cloud-Angeboten.
Ihre Ansprechpartner
Gerd Marlert
Certified Information Systems Auditor (CISA)
Björn Haje
Manager
Bedeutung für den Gesundheitssektor
Die Relevanz des BSI C5-Kriterienkatalogs hat im deutschen Gesundheitswesen deutlich zugenommen, insbesondere durch das am 1. Juli 2024 in Kraft getretene Digital-Gesetz (DigiG) und die damit verbundene Änderung des § 393 SGB V. Seitdem sind Cloud-Anbieter, die Gesundheits- oder Sozialdaten verarbeiten, verpflichtet, ein aktuelles C5-Testat vorzuweisen. Bis zum 30. Juni 2025 genügt ein C5-Testat des Typs 1 (Angemessenheitsprüfung), ab dem 1. Juli 2025 ist ein C5-Testat des Typs 2 (Wirksamkeitsprüfung über einen Zeitraum) zwingend erforderlich.
Diese Regelung betrifft nicht nur klassische Cloud-Speicheranbieter, sondern auch sämtliche Anbieter von cloudbasierten Lösungen wie SaaS-Plattformen, die im Gesundheitswesen eingesetzt werden. Alle Organisationen, die IT-Systeme mit Cloudanbindung betreiben, müssen die C5-Testierung ihrer Dienstleister überprüfen und gegebenenfalls Anbieter ohne gültiges Testat austauschen.
Hintergrund und Ziele
Der Gesetzgeber verfolgt mit dieser Regelung das Ziel, die Verarbeitung besonders schützenswerter Gesundheits- und Sozialdaten in der Cloud auf ein einheitlich hohes und transparentes Sicherheitsniveau zu heben. Die C5-Testierung schafft für Leistungserbringer, wie Arztpraxen, Krankenhäuser und Krankenkassen, sowie für Hersteller von Medizinprodukten Rechtssicherheit und unterstützt sie beim Risikomanagement und der Auswahl geeigneter Cloud-Dienstleister.
Für eine Übergangszeit sind auch alternative Zertifikate gemäß Gleichwertigkeitsverordnung (C5GleichwV) zulässig, sofern sie ein mindestens gleichwertiges Sicherheitsniveau wie der C5-Standard bieten. Dies erleichtert die Migration bestehender Systeme auf den neuen Standard und schafft Flexibilität, etwa für internationale Anbieter.
Potenzielle Ausweitung auf andere Branchen
Die Bedeutung des C5-Kriterienkatalogs beschränkt sich nicht auf das Gesundheitswesen. Auch in anderen Bereichen – etwa bei Betreibern kritischer Infrastrukturen (KRITIS), bei öffentlichen Auftraggebern und Behörden – ist das C5-Testat bereits verpflichtend oder wird zunehmend als Voraussetzung für die Zusammenarbeit mit Cloud-Anbietern gefordert. Damit entwickelt sich der C5-Standard zu einem branchenübergreifenden Maßstab für Cloud-Sicherheit in Deutschland.
Fazit
Der BSI C5-Kriterienkatalog ist heute der maßgebliche Standard für die Sicherheit von Cloud-Diensten im deutschen Gesundheitswesen. Durch die gesetzliche Verankerung im SGB V und das Digital-Gesetz wird die Einhaltung hoher IT-Sicherheitsstandards bei der Verarbeitung sensibler Gesundheitsdaten verbindlich. Die C5-Testierungspflicht stärkt das Vertrauen in Cloud-Lösungen und fördert die Digitalisierung im Gesundheitssektor. Angesichts der wachsenden Bedeutung von Cloud-Technologien und der Übertragbarkeit der Anforderungen auf andere Branchen ist zu erwarten, dass der C5-Standard auch außerhalb des Gesundheitswesens weiter an Bedeutung gewinnen wird.