C5 hat sich leise, aber stetig vom Katalog für Cloud-Kontrollen zur Referenz für gelebte Cloud-Governance entwickelt. 2025 markiert den Punkt, an dem diese Entwicklung sichtbar wird: Nicht mehr die Frage „Welche Kriterien erfüllt der Provider?“ dominiert, sondern „Wie steuern wir als Unternehmen – nachweisbar, zeitkritisch und wiederholbar – unsere Cloud-Realität?“ Wer C5 noch als Attest versteht, verschenkt Wirkung. Wer C5 als Betriebssprache, als Schalterset und als Evidenzfundament begreift, gewinnt Tempo, Resilienz und Vertrauen. Dieser Beitrag zeichnet nach, wie C5 2025 zur Benchmark wird: in Architektur und Betrieb, in Audits und Aufsicht, in Lieferketten und Verträgen, in Daten- und KI-Domänen – und wie sich die Kultur ändert, wenn Prüfung kein Ereignis mehr ist, sondern Nebenprodukt guter Arbeit.

Warum 2025 anders ist

Cloud-Nutzung ist erwachsen geworden. Unternehmen betreiben Portfolios, nicht Einzelprojekte. Kritische Geschäftsprozesse sind in Plattformen, Automatisierung und Datenströmen verankert. Regulatorik hat den Takt erhöht: Resilienz wird in Zeiten gemessen, nicht in Reifegradfarben. Meldepflichten verlangen Belege in Stunden, nicht in Wochen. Kunden verlangen Nachweise, die die Wirklichkeit abbilden – nicht Präsentationen. In diesem Umfeld reicht es nicht, einen C5-Bericht abzuheften. Er muss anschließen: an Pipelines, an Plattformen, an Notfallpläne, an Verträge, an Kennzahlensysteme. 2025 ist das Jahr, in dem C5 dort ankommt – und dadurch vom Prüfkatalog zur Benchmark wird.

Lange war C5 der pragmatische Schlüssel, um mit Hyperscalern auf Augenhöhe zu sprechen: klare Kontrollziele, nachvollziehbare Prüfberichte, eine Sprache, die Entwicklung, Betrieb, Einkauf, Recht und Revision zusammenbringt. Mit DORA – dem Digital Operational Resilience Act – verschiebt sich der Rahmen. Was zuvor „Best Practice“ oder „kundenseitige Due Diligence“ war, wird nun aufsichtliche Erwartung: belastbare Nachweise, risikobasierte Steuerung, Meldefähigkeit in Stunden, Wiederherstellbarkeit unter Druck, gelebte Lieferantenkontrolle. Kurz: Cloud-Prüfung wird regulatorisch. Dieser Beitrag zeigt, wie C5 und DORA zusammenpassen, wo sie sich ergänzen – und wie man die beiden Welten so verbindet, dass aus Compliance keine Bremse, sondern ein betriebliches Beschleunigungsprogramm wird.

Von der Komfortzone in den Ernstfall: Was sich mit DORA ändert

C5 hat Unternehmen befähigt, die Provider-Seite systematisch zu prüfen: Mandantentrennung, Kryptostrategien, physische und logische Sicherheit, Logging-Optionen, Incident-Prozesse, Subprozessoren, Notfallkonzepte. DORA dreht die Kamera und zentriert die Kundenseite: Wie sind kritische Prozesse definiert? Welche Zeiten gelten (Erkennen, Entscheiden, Begrenzen, Wiederherstellen)? Wie laufen Vorfälle durch die Organisation – und durch die Lieferkette? Welche Evidenz liegt wann vor? Wie werden Risiken bei IKT-Dritten gesteuert? Wie werden Tests geplant, durchgeführt, ausgewertet? Damit reicht es nicht mehr, „einen C5-Bericht im Ordner zu haben“. DORA erwartet, dass Cloud-Einsatz in die Resilienz-Mechanik eingebaut ist – prüfbar, wiederholbar, anschlussfähig.

C5 – der Cloud Computing Compliance Criteria Catalogue des BSI – hat eine erstaunliche Karriere hinter sich. Was als Antwort auf die notorische Intransparenz großer Plattformen begann, ist heute vielerorts Prüfstandard, Einkaufsfilter und Beruhigungspille in einem. Genau darin liegt die Gefahr: Wenn C5 nur noch als Etikett am Anbieterprofil hängt, verliert er seine Kraft. Dann wird aus der Idee einer belastbaren, nachvollziehbaren und anschlussfähigen Prüfung ein Alibi. Und Alibis sind bequem – bis der erste Vorfall Druck erzeugt und plötzlich alle wissen wollen, was, wann, warum geprüft wurde, wer wofür verantwortlich ist und welche Belege den Unterschied machen. Dieser Beitrag zeigt, wie C5 vom Stempel zur Steuerung wird: als operativer Prüfrahmen, der Architektur, Betrieb, Einkauf, Recht, Revision und Aufsicht zusammenbringt, statt sie in parallelen Diskussionen verharren zu lassen.

Vom Kriterienkatalog zum Betriebsinstrument

Die Frage „Audit oder Alibi?“ entscheidet sich an einer simplen Beobachtung: Entstehen Beweise nebenbei im Betrieb – oder werden sie nachträglich zusammengetragen, wenn ein Audit im Kalender steht? Ein Katalog allein beantwortet das nicht. C5 liefert die Sprache (Kontrollziele, Kontrollen, Feststellungen, Zeiträume), aber erst die Umsetzung schafft Substanz. Dort, wo Unternehmen C5 am Lebenszyklus ausrichten, verändert er das Arbeiten:

Cloud-Compliance war lange der ungeliebte Nachzügler moderner IT-Strategien: Erst wurden Workloads migriert, Datenplattformen aufgebaut und Betriebsmodelle skaliert – und wenn alles lief, kam die Frage: „Wie weisen wir das jetzt sauber nach?“ Der BSI-Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) hat diese Reihenfolge auf den Kopf gestellt. C5, ursprünglich als transparenzstarker Prüfmaßstab für Cloud-Anbieter gedacht, ist in der Praxis zu etwas Größerem gereift: zu einem operativen Bezugsrahmen, der technische Realität, Governance und Aufsichtsfähigkeit zusammenführt. Nicht als Fremdkörper, nicht als lästiges Audit-Overlay, sondern als Betriebsleistung, die von der Architektur bis zum Vertrag, vom Logging bis zur Evidenz, vom Incident bis zur Wiederherstellung durchgreift. Genau deshalb ist Cloud-Compliance heute kein Anhängsel mehr. Sie ist die Spielregel des Alltags – und C5 ihr verständlichstes Vokabular.

C5 ändert die Gesprächslogik zwischen Kunden und Hyperscalern, zwischen Anwendungsbetrieb und Revision, zwischen Risiko-Ownern und Produktteams. Statt „Glaubensfragen“ über Sicherheit in dichten Marketing-Whitepapern setzt C5 auf prüfbare Behauptungen: Welche Kontrollen gibt es? Wie wirken sie? Wo liegen Grenzen? Welche Artefakte liegen vor, in welchem Zeitraum, mit welcher Aussagekraft? Das Format – eine Prüfung nach ISAE 3000/3402-Logik inklusive Prüfbericht – zwingt die Beteiligten in dieselbe Sprache: identische Kontrollziele, identische Prüfspuren, identische Zeitfenster. Aus vagen Zusicherungen werden zeitlich und sachlich abgegrenzte Nachweise, aus denen sich konkrete betriebliche Entscheidungen ableiten lassen. Für regulierte Häuser ist das mehr als Bequemlichkeit. Es ist die Bedingung, um Cloud-Nutzung in die Governance einzubetten, ohne Geschwindigkeit oder Innovation zu verlieren.

Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.