Audit oder Alibi? Wie C5 zum echten Prüfrahmen wird

C5 – der Cloud Computing Compliance Criteria Catalogue des BSI – hat eine erstaunliche Karriere hinter sich. Was als Antwort auf die notorische Intransparenz großer Plattformen begann, ist heute vielerorts Prüfstandard, Einkaufsfilter und Beruhigungspille in einem. Genau darin liegt die Gefahr: Wenn C5 nur noch als Etikett am Anbieterprofil hängt, verliert er seine Kraft. Dann wird aus der Idee einer belastbaren, nachvollziehbaren und anschlussfähigen Prüfung ein Alibi. Und Alibis sind bequem – bis der erste Vorfall Druck erzeugt und plötzlich alle wissen wollen, was, wann, warum geprüft wurde, wer wofür verantwortlich ist und welche Belege den Unterschied machen. Dieser Beitrag zeigt, wie C5 vom Stempel zur Steuerung wird: als operativer Prüfrahmen, der Architektur, Betrieb, Einkauf, Recht, Revision und Aufsicht zusammenbringt, statt sie in parallelen Diskussionen verharren zu lassen.

Vom Kriterienkatalog zum Betriebsinstrument

Die Frage „Audit oder Alibi?“ entscheidet sich an einer simplen Beobachtung: Entstehen Beweise nebenbei im Betrieb – oder werden sie nachträglich zusammengetragen, wenn ein Audit im Kalender steht? Ein Katalog allein beantwortet das nicht. C5 liefert die Sprache (Kontrollziele, Kontrollen, Feststellungen, Zeiträume), aber erst die Umsetzung schafft Substanz. Dort, wo Unternehmen C5 am Lebenszyklus ausrichten, verändert er das Arbeiten:

• In der Planung definieren Teams Guardrails (Policies) entlang C5-relevanter Kontrollen: Schlüsselhoheit, Logging, Mandantentrennung, Härtung, Löschpfade, Wiederanlaufziele, Subprozessor-Transparenz.
• In der Umsetzung landen diese Guardrails als Policies-as-Code in Landing Zones, CI/CD-Pipelines und Plattformen. Was der Prüfrahmen fordert, ist nicht „versprochen“, sondern erzwingbar.
• Im Betrieb speisen dieselben Systeme Evidenz: Entscheidungen, Ausnahmen mit Ablauf und Kompensation, Vorfall-Zeitachsen, Wiederherstellungsproben, Lieferanten-PSIRT-Feeds. Beweise entstehen im Takt der Arbeit.
• In der Prüfung sind Audits dann kein Theater, sondern eine qualifizierte Auswahl aus ohnehin vorhandenen Spuren – derselben Spuren, die im Vorfall helfen und in der Steuerung zählen.

Der Unterschied ist fundamental: Wer C5 so versteht, verschiebt Energie vom „Sammeln für Auditor:innen“ zum „Steuern für den Betrieb“. Das macht schneller, ehrlicher und resilienter.

Alibi-Signale früh erkennen

Dass C5 zum Lippenbekenntnis verkommt, erkennt man an wiederkehrenden Mustern. Dazu gehören One-Off-Dokumente (wordschöne Richtlinien ohne Durchgriff in Systeme), Checklisten-Orgien (viel Abhaken, wenig Wirkung), Inselprotokolle (Logs dort, wo niemand sie braucht), Random-Screenshots (Momentaufnahmen statt Ketten) und Zertifikate als Gesprächsverhinderer („Wir sind C5-auditiert, also ist alles gut“). Kritisches Gegenmittel ist die Frage: „Wo ist der Schalter?“ – also der technische Punkt, an dem eine C5-Anforderung automatisch greift. Gibt es ihn, ist C5 lebendig. Gibt es ihn nicht, ist C5 Rhetorik.

Shared Responsibility als Arbeitsvertrag

C5 ist stark, weil er Rollen sauber trennt: Was liegt beim Provider? Was beim Kunden? Zwischen diese Seiten gehört ein Arbeitsvertrag – nicht nur juristisch, sondern operativ. Er enthält:

• Anschlussfähigkeit des Providers: PSIRT-Feeds maschinenlesbar, Forensikpakete mit definiertem Scope und Zeit, technische Gesprächspartner:innen, Drill-Bereitschaft für Interconnects, Change-Kommunikation mit Vorlauf.
• Kundenseitige Guardrails: Schlüsselverwaltung kundenseitig, Logging-Pflicht in allen relevanten Diensten, Tagging für Datenklassen/Zwecke, Export-Gates, Netzpfad-Policies, JIT-Privilegien, Wiederanlauf-Proben mit Zielzeiten.
• Beidseitige Zeitketten: Uhr für Erkennung, Entscheidung, Begrenzung, Wiederherstellung und Time to Proof – je kritischem Prozess.

So wird aus „gemeinsamer Verantwortung“ kein freundlicher Nebel, sondern eine arbeitsteilige Taktung. Wenn der Provider einen Sicherheits-Hinweis verschickt, ist klar, welche Pipeline blockt, welche Ausnahme greift, welches Team entscheidet, welche Kundeninformation wann rausgeht und welches Evidenzpaket ins Archiv fällt.

C5 in der Architektur: Minimale Regeln, maximale Wirkung

Ein echter Prüfrahmen lebt von wenigen harten Regeln mit großem Hebel. Drei Beispiele:

1. Kryptoschlüssel-Hoheit
   Regulatorische, vertragliche oder sensible Daten werden immer mit kundenseitig verwalteten Schlüsseln verschlüsselt. Umsetzung: Customer-Managed Keys als Default in IaC, Provider-Defaults technisch unterbunden, Rotation und Logging verpflichtend. C5 prüft die Fähigkeit – der Betrieb lebt sie.
2. Logging, das trägt
   Relevante Dienste schreiben in ein konsolidiertes, manipulationsgeschütztes Log – anbieter- und kontenübergreifend, mit Mindestfeldern (Identität, Aktion, Objekt, Zeit, Erfolg/Fehlschlag, Korrelation). Keine App live ohne gültigen Log-Sink. C5-Forderung wird zur Freigabevoraussetzung.
3. Export nur mit Zweck
   Daten mit Label X verlassen Systeme nur über Wege, die Zweckbindung erzwingen. UI und API verlangen Zweck, zeigen Scope, bieten sichere Alternativen (Secure Links, Pseudonymisierung), halten Ausnahmen knapp, sichtbar und befristet. Ergebnis: Exfiltration sinkt, Evidenz steigt.

Solche Regeln sind Prüf- und Betriebsziele zugleich. Auditor:innen sehen die Wirkung; Teams spüren die Hilfe.

Evidence Layer: Beweise, die nicht zerfallen

Wenn C5 zum Prüfrahmen wird, gibt es ein Evidenzfundament. Es ist systemnah, signiert, versioniert und adressierbar. Es sammelt:

• Policy-Definitionen (wer hat wann was geändert, mit Review-Spuren),
• Gate-Entscheidungen (Block/Allow samt Begründung, Scope, Laufzeit),
• Ausnahmen (Ablauf, Kompensation, Verantwortliche),
• Drills (Restore, Exit light, Interconnect-Probe) mit Zeiten und Ergebnissen,
• Provider-Pakete (PSIRT, Forensik) mit Hashes und Zuordnung,
• Vorfall-Zeitachsen (Erkennen–Entscheiden–Begrenzen–Wiederherstellen),
• SBOM/VEX-Status aus Build-Pipelines,
• Daten-Löschläufe mit End-to-End-Nachweis (auch in Backups/Indizes).

Entscheidend ist die Wiederverwendbarkeit. Dieselben Daten bedienen Betrieb, Management-Reports, Audits und Aufsichtsanfragen. Keine separaten „Audit-Ordner“ mehr, keine toten Excel-Kopien; stattdessen Sichten aus einem System der Wahrheit.

Zeit schlägt Status: Metriken mit Zähnen

C5 wird dort scharf, wo Prüfziele an Zeit gekoppelt sind. Vier Uhren verleihen Zähne:

• Erkennen (MTTD): Abweichung, Vorfall, relevanter Provider-Hinweis.
• Entscheiden (MTTDecide): klare Schwellen, klare Rollen, klarer Takt.
• Begrenzen (MTTC): Isolieren, blocken, drosseln, Backup abkoppeln, Schlüssel drehen.
• Wiederherstellen (MTTR): Betriebsfähigkeit in definierter Qualität.

Dazu Time to Proof: Zeit bis zur belastbaren Evidenz für Dritte. Diese Uhren gelten je kritischem Prozess, nicht global. Sie haben Schwellen und Konsequenzen: Reißt eine Uhr, löst ein Gate aus, folgt ein Drill, verschiebt sich Budget. So wird Governance steuerbar.

Third Parties im selben Takt

C5 entfaltet gerade in der Lieferkette Wirkung – sofern Drittparteien den Anschluss liefern. Gute Verträge sichern:

• Transparente Subprozessorlisten mit Fristen und Vetorechten,
• PSIRT-Feeds in standardisierten Formaten,
• Forensikpakete binnen 24/48/72 Stunden,
• Interconnect-Drills (z. B. halbjährlich) mit definierten Zielzeiten,
• Exit-Proben „light“, die Minimalbetrieb belegen,
• Telemetry-Sharing an Schnittstellen (Latenzen, Fehlerraten, Status).

Das Ziel ist weniger „Harte Hand“ als gemeinsame Professionalität. In einem Vorfall verhindert Anschlussfähigkeit den bekannten Satz „Wir warten noch auf Informationen des Dienstleisters“ – den niemand mehr hören will.

Backups, die nicht zur Falle werden

Backups sind Prüfungsstolz und Praxishürde. C5 stellt Fragen nach Strategie, Medien, Prozessen; echte Prüfrahmen beantworten zusätzlich: Wie vermeiden wir Schattenrisiken? Konkret:

• Löschpfade enden nicht an Backups. Auch dort gibt es Mechanismen, um DSGVO-Löschungen und Retention anzuwenden (z. B. durch Chunks/Objekte mit Ablauf, Maskierungspläne, erneute Verschlüsselung).
• Air-Gap ohne Blindheit: Offline-/unveränderliche Kopien existieren, aber Log-Metadaten bleiben zugreifbar, damit Time to Proof nicht explodiert.
• Restore-Proben unter Zeitdruck: nicht nur „irgendwann“, sondern mit definierten Zielzeiten, für realistische Datenmengen und Abhängigkeiten.
• Ransomware-Szenarien: Wiederanlauf ohne gefährliche Wiederinfektion; Schlüsselrotation und Credential Hygiene im Notfallplan.

Damit wird aus „Wir sichern“ ein „Wir können wirklich wiederherstellen und nachweisen, was gelöscht wurde“.

C5 im Alltag: Wie Prüfziele Gespräche verändern

Ein Indikator für Reife sind Sätze, die plötzlich normal klingen:

• „Deployment blockiert – VEX ‚exploitable‘; Ausnahme 7 Tage, Kompensation aktiv, Review gebucht.“
• „Export verweigert – Zweck fehlt; alternativer Secure-Link bereit, Freigabe in 2 Minuten möglich.“
• „PSIRT 09:12, Entscheidung 09:40, Maßnahmen 10:05, Kundeninfo 11:00, Forensikpaket 12:00 im Archiv; Time to Proof 19:30.“
• „Interconnect-Drill bestanden; Exit-Light in 2 Tagen lauffähig; diese Formate wackelig – Aufgaben sind im Backlog eingeplant.“
• „JIT-Admin 60 Minuten, Verlängerung abgelehnt – Grund unzureichend; Ticket dokumentiert.“

Das ist keine Rhetorik. Das ist Betrieb, der Prüfziele ernst nimmt. Auditor:innen sehen die Spuren; Kund:innen spüren die Professionalität; Teams erleben Tempo statt Blockade.

Weniger Regeln, mehr Schalter

Überkomplexe Policy-Landschaften erzeugen Ermüdung. Ein echter C5-Prüfrahmen setzt auf Reduktion. Zehn wirksame Schalter schlagen hundert Seiten Richttext:

1. CMK verpflichtet für definierte Datenklassen; Provider-Keys technisch verboten.
2. Log-Sink Pflicht pro Konto/Projekt; Deployments ohne Sink schlagen fehl.
3. ZTNA/Proxy anstelle von Netzfreigaben; App-Ziel statt IP-Bereiche.
4. JIT-PAM mit kurzen Laufzeiten und automatischem Ablauf.
5. Export-Gate mit Zweck; Exceptions befristet und kompensiert.
6. SBOM/VEX-Gate in CI/CD; „exploitable“ blockiert.
7. Data-Contracts für kritische Pipelines; Build-Break bei Verletzung.
8. Interconnect-Drills terminiert; Ergebnisse im Evidence Layer.
9. Exit-Light jährlich; Minimalbetrieb belegbar.
10. Restore-Drills mit Zielzeit; Wiederanlauf-Report automatisch.

Diese Schalter sind auditfest, menschenlesbar und maschinenausführbar. Genau diese Kombination macht C5 praktisch.

Migration ohne Stillstand

Viele Häuser stehen nicht bei Null, aber mittendrin. Der Weg zu C5 als Prüfrahmen ist inkrementell:

• Start klein: zwei, drei kritische Anwendungen, zwei Provider-Dienste, drei harte Schalter (CMK, Log, Export-Zweck).
• Evidence-MVP: Entscheidungen, Drills, Blocks, Ausnahmen, PSIRT, Forensik – signiert und durchsuchbar.
• Zeitketten-Reviews: monatlich je Prozess; Maßnahmen leiten Budget um (Guardrails, Automatisierung, Provider-Optionen).
• Verträge nachziehen: Anschlussfähigkeit und Zeit in den Vordergrund; Klassikersätze („angemessene Bemühungen“) durch messbare Zusagen ersetzen.
• Tote Regeln streichen: Alles, was nicht exekutiert wird, fliegt. Das ist die wichtigste Hygienemaßnahme gegen Alibi-Compliance.

So verschiebt sich C5 vom Prüfpunkt zur betriebsnahen Steuerung – ohne Big Bang, aber mit spürbaren Effekten nach wenigen Wochen.

C5 und andere Regime: Steckdose statt Parallelwelt

DORA, NIS2, BAIT/VAIT/KAIT, MaRisk, DSGVO, branchenspezifische Leitfäden: Niemand will fünfmal dieselben Nachweise bauen. C5 ist hier die Steckdose. Seine Kontrolllogik lässt sich präzise mappen. Wiederherstellung? C5-DR-Kontrollen plus eigene Restore-Drills. Meldepflichten? C5-Incident-Prozesse plus eigene Eskalationszeiten und Kommunikationspakete. Datenlöschen? C5-Lifecycle plus Löschnachweise in der Kundenschicht und Backups. Die Kunst besteht darin, Sichten zu erzeugen, nicht Silos. Ein Evidence Layer, viele Empfänger.

KI, Ethik, Datenschutz: Prüfziele im neuen Terrain

Cloud ist längst nicht mehr nur Compute und Storage. Daten- und KI-Plattformen, Feature Stores, Vektor-Datenbanken, Prompt-Filter, Content-Firewalls – all das gehört in den C5-Blick. Echte Prüfrahmen setzen Messpunkte im KI-Lebenszyklus: Sourcing, Kurierung, Training, Evaluation, Shadow-Serving, Monitoring, Retraining, Drift- und Bias-Kontrollen. Sie verknüpfen diese Punkte mit Zweckbindung und Löschpfaden – auch in abgeleiteten Artefakten. So werden Datenschutz und Ethik integriert, nicht addiert.

Warum das alles? Weil Vertrauen messbar werden muss

Cloud-Nutzung ist Vertrauensarbeit. C5 macht diese Arbeit messbar. Nicht, weil sich alles in Kennzahlen pressen ließe, sondern weil Zeiten, Schalter und Spuren disziplinieren. Sie schieben Interpretationsspielraum zurück, ohne Beweglichkeit zu rauben. Sie schaffen einen Gesprächsraum, in dem man mit Kund:innen und Aufsichten ergebnisorientiert reden kann: „So sind wir gebaut, so sind die Grenzen, so ist die Zeit, so ist der Beweis.“ Das ist der Unterschied zwischen Audit und Alibi.

Schluss: C5 als Prüfrahmen, der trägt

Am Ende ist es einfach. C5 wird zum Alibi, wenn er nachgereicht wird, wenn Regeln erzählt, aber nicht exekutiert werden, wenn Evidenz kuratiert, aber nicht generiert wird. C5 wird zum Prüfrahmen, wenn er vorn beginnt: bei Architektur, in Pipelines, in Verträgen, in Drills, in Uhrwerken. Dann wirkt er an den Übergängen, die sonst brüchig sind: zwischen Provider und Kunde, zwischen Dev und Ops, zwischen Recht und Produkt, zwischen Vorfall und Kommunikation. Und dann kippt auch das Gefühl im Haus: Audits sind keine Siege über Prüfer:innen, sondern Bestätigungen für Systeme, die ohnehin funktionieren.

Die entscheidende Gewohnheit lautet: „Zeit schlägt Status – und Beweis schlägt Behauptung.“ Wer diesen Satz in Cloud-Projekte schnitzt, braucht keine Schaukästen. Er hat Antworten – im Log, im Gate, im Drill, im Forensikpaket. Das ist C5, neu definiert: kein Anhängsel, sondern ein Prüfrahmen, der den Alltag besser macht.