Zum Hauptinhalt springen
Alle Beiträge
Cybersicherheit5 Min. Lesezeit

BSI C5-Compliance auf Azure: Was deutsche Unternehmen wissen müssen

Ein praktischer Leitfaden zur BSI C5-Compliance auf Azure — mit Erläuterung des C5-Kriterienkatalogs, des Azure-Attestierungsumfangs, der Kundenverantwortlichkeiten und der Auditvorbereitung für deutsche Unternehmen.

Veröffentlicht

Für deutsche Unternehmen — insbesondere im öffentlichen Sektor, im Finanzwesen und in der kritischen Infrastruktur — ist die BSI C5-Attestierung keine Option. Sie ist Voraussetzung für die Cloud-Nutzung, oft vorgeschrieben durch Beschaffungsrichtlinien, branchenspezifische Regulierung oder das eigene Compliance-Framework der Organisation.

Azure besitzt eine C5-Attestierung. Aber einen Anbieter mit C5-Attestierung zu haben, macht Ihren Workload nicht C5-konform. Das Verständnis des Shared-Responsibility-Modells — was Microsoft abdeckt und was Sie selbst implementieren müssen — ist der Unterschied zwischen Compliance und einem falschen Sicherheitsgefühl.

Was BSI C5 abdeckt

Der Cloud Computing Compliance Criteria Catalogue (C5) wurde 2016 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht und 2020 aktualisiert. Er definiert:

  • 17 Domänen zu Organisation, Personal, Asset-Management, Kryptographie, Identitätsmanagement, Betrieb und mehr
  • 121 Kriterien (Basis + erweitert), die Cloud-Anbieter nachweisen müssen
  • Shared-Responsibility-Modell, das Anbieterpflichten von Kundenpflichten unterscheidet

Die 17 C5-Domänen

  1. Organisation der Informationssicherheit
  2. Sicherheitsrichtlinien
  3. Personal
  4. Asset-Management
  5. Physische Sicherheit
  6. Betriebsmanagement
  7. Identitäts- und Zugriffsmanagement
  8. Kryptographie und Schlüsselmanagement
  9. Kommunikationssicherheit
  10. Portabilität und Interoperabilität
  11. Beschaffung und Lieferkette
  12. Compliance
  13. Behandlung von Sicherheitsvorfällen
  14. Geschäftskontinuität
  15. Sicherheitsüberprüfung und -verifizierung
  16. Sicherheit in der Entwicklung
  17. Zusätzliche Kriterien (Transparenz, Datenstandort)

Umfang der Azure C5-Attestierung

Was abgedeckt ist

Microsofts C5-Typ-2-Attestierung umfasst:

  • Azure-Infrastrukturdienste (Compute, Storage, Networking)
  • Azure-Plattformdienste (App Service, Azure SQL, Cosmos DB, Key Vault)
  • Azure-Datendienste (Azure Data Factory, Synapse, Databricks)
  • Identitätsdienste (Entra ID, Azure AD B2C)
  • Sicherheitsdienste (Defender for Cloud, Sentinel, Key Vault)
  • Managementdienste (Azure Monitor, Azure Policy, Azure Resource Manager)

Die Attestierung umfasst Azure-Regionen in Deutschland (Frankfurt/Berlin) und weitere EU-Regionen.

Was NICHT abgedeckt ist

  • Die Konfiguration Ihres Workloads — Eine falsch konfigurierte Azure SQL-Datenbank liegt in Ihrer Verantwortung
  • Ihr Anwendungscode — Sicherheit kundenspezifischer Anwendungen auf Azure
  • Ihre Identitätsrichtlinien — Conditional Access, MFA-Konfiguration, Zugriffsüberprüfungen
  • Ihre Datenklassifizierung — Festlegung, welche Daten wo gespeichert werden dürfen
  • Ihre Betriebsverfahren — Incident Response, Backup-Tests, Change Management

Überblick Shared Responsibility

Loading diagram...

Kundenverantwortlichkeiten nach C5-Domäne

Domäne 7: Identitäts- und Zugriffsmanagement

Microsofts Verantwortung: Identitätsinfrastruktur auf Plattformebene, physischer Zugang zu Rechenzentren, interne Zugriffskontrollen.

Ihre Verantwortung:

  • Implementierung von MFA für alle Benutzer (Conditional Access Policies)
  • Privilegiertes Zugriffsmanagement (PIM, Just-in-Time-Zugriff)
  • Regelmäßige Zugriffsüberprüfungen (vierteljährlich für privilegierte Rollen)
  • Service-Account-Governance
  • Offboarding-Prozesse (zeitnahe Deaktivierung ausgeschiedener Benutzer)

Domäne 8: Kryptographie und Schlüsselmanagement

Microsofts Verantwortung: Verschlüsselung ruhender Daten (plattformverwaltete Schlüssel), Verschlüsselung bei der Übertragung (TLS 1.2+), HSM-Infrastruktur.

Ihre Verantwortung:

  • Kundenverwaltete Schlüssel für sensible Workloads (Azure Key Vault mit HSM)
  • Schlüsselrotationsrichtlinien
  • Zertifikats-Lifecycle-Management
  • Festlegung, welche Workloads BYOK vs. plattformverwaltete Schlüssel erfordern

Domäne 13: Behandlung von Sicherheitsvorfällen

Microsofts Verantwortung: Erkennung und Reaktion auf Sicherheitsvorfälle auf Plattformebene, Benachrichtigung über Sicherheitsvorfälle, die Ihren Tenant betreffen, innerhalb der vertraglichen SLAs.

Ihre Verantwortung:

  • Erkennung von Vorfällen auf Anwendungsebene (Sentinel, Defender for Cloud)
  • Incident-Response-Verfahren und Runbooks
  • Regelmäßige IR-Tests und Tabletop-Übungen
  • Kommunikationspläne zur Kundenbenachrichtigung
  • Beweissicherung für Forensik

Checkliste zur Auditvorbereitung

Bei der Vorbereitung auf ein C5-bezogenes Audit (eigene Bewertung oder Erfüllung von Kundenanforderungen):

Erforderliche Dokumentation

  1. Sicherheitskonzept — Architekturdokumentation, die zeigt, wie C5-Kriterien adressiert werden
  2. Risikobewertung — Dokumentierte Risikoanalyse für den Cloud-Workload
  3. Zugriffsmanagement-Richtlinie — Wer hat Zugriff auf was, wie wird Zugriff gewährt/entzogen
  4. Verschlüsselungskonzept — Was ist verschlüsselt, mit welchen Schlüsseln, verwaltet von wem
  5. Incident-Response-Plan — Verfahren, Verantwortlichkeiten, Kommunikationswege
  6. Geschäftskontinuitätsplan — RTO/RPO-Ziele, DR-Konfiguration, Testergebnisse
  7. Compliance-Mapping — Dokument, das zeigt, welche C5-Kriterien von Azure vs. vom Kunden adressiert werden

Nachweiserhebung

Für jedes kundenverantwortliche Kriterium bereiten Sie Nachweise vor:

Loading diagram...

Tools für kontinuierliche Compliance

  • Microsoft Defender for Cloud — Regulatory-Compliance-Dashboard mit C5-Mapping
  • Azure Policy — C5-relevante Konfigurationen erzwingen (Verschlüsselung, Netzwerkisolation, Logging)
  • Azure Monitor — Kontinuierliche Nachweiserhebung für betriebliche Kriterien
  • Compliance Manager — Assessment-Workflows und Nachweisverwaltung

C5 und andere Frameworks

C5 existiert nicht isoliert. Mappen Sie es auf andere Frameworks, die Ihre Organisation möglicherweise bereits befolgt:

C5-DomäneISO 27001SOC 2
IDM (Identität)A.9 ZugangskontrolleCC6.1-6.8
CRY (Kryptographie)A.10 KryptographieCC6.1, CC6.7
OPS (Betrieb)A.12 BetriebCC7.1-7.5
BCM (Kontinuität)A.17 GeschäftskontinuitätA1.1-A1.3

Wenn Sie bereits eine ISO 27001-Zertifizierung haben, überlappen sich etwa 70 % der C5-Nachweise — was den zusätzlichen Aufwand erheblich reduziert.

Praktische Empfehlungen für deutsche Unternehmen

  1. Beginnen Sie mit der Regulatory-Compliance-Ansicht von Defender for Cloud — Sie zeigt Ihren aktuellen C5-Status mit spezifischen Empfehlungen
  2. Fokussieren Sie sich auf die Lücken — Azure deckt die Anbieterseite ab. Ihr Aufwand fließt in die kundenverantwortlichen Kontrollen
  3. Automatisieren Sie die Nachweiserhebung — Manuelle Nachweissammlung skaliert nicht. Nutzen Sie Azure Policy Compliance-Reports und Diagnoseeinstellungen
  4. Fordern Sie den C5-Attestierungsbericht von Azure an — über das Service Trust Portal von Microsoft — und teilen Sie ihn mit Ihrem Prüfer
  5. Erwägen Sie deutsche Regionen für regulierte Workloads — Die Regionen Frankfurt und Berlin sind explizit im Umfang der C5-Attestierung

Sie bereiten sich auf C5-Compliance auf Azure vor? Kontaktieren Sie uns — wir helfen deutschen Unternehmen, BSI-Anforderungen zu navigieren und auditfähige Azure-Umgebungen aufzubauen.

Themen

BSI C5-ComplianceAzure C5-AttestierungDeutsche Cloud-SicherheitCloud-Compliance DeutschlandBSI Cloud-Kriterien

Häufig gestellte Fragen

BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist ein vom Bundesamt für Sicherheit in der Informationstechnik unterstütztes Attestierungsrahmenwerk für Cloud-Dienstleister. Es definiert 121 Sicherheitskriterien in 17 Domänen, die Cloud-Anbieter erfüllen müssen. Für den deutschen öffentlichen Sektor und regulierte Unternehmen ist die C5-Attestierung oft Voraussetzung für die Cloud-Nutzung.

Expert engagement

Brauchen Sie Expertenberatung?

Unser Team ist spezialisiert auf Cloud-Architektur, Security, KI-Plattformen und DevSecOps. Lassen Sie uns besprechen, wie wir Ihrem Unternehmen helfen können.

Kontakt aufnehmenNo commitment · No sales pressure

Verwandte Artikel

Alle Beiträge
Cybersicherheit

Incident-Response-Playbook für Azure-Umgebungen: Von der Erkennung bis zur Wiederherstellung

Ein umfassendes Sechs-Phasen-Incident-Response-Playbook für Azure-Umgebungen mit Sentinel Detection Rules, Containment Runbooks und Recovery-Verfahren.

8 Min. LesezeitCybersicherheit

Aufbau einer Zero-Trust-KI-Plattform auf Azure Databricks

Wie wir eine vollständig private Azure-Databricks-Plattform mit Hub-Spoke-Netzwerk, Forced-Tunnel-Firewall, Private Endpoints und Managed Identities konzipiert haben — ohne öffentliche IPs, ohne gespeicherte Geheimnisse.

4 Min. LesezeitCybersicherheit

ISO 27001 in der Cloud: Kontrollen auf Azure-Dienste abbilden

ISO 27001 Annex-A-Kontrollen auf Azure-native Dienste abbilden — von Azure Policy über Defender for Cloud bis zum auditfähigen Compliance-Dashboard.

6 Min. Lesezeit