Sie stehen vor der Entscheidung: Dürfen kritische Finance-Workloads und vertrauliche Daten in die Public Cloud? Und wie belegen Sie das revisionssicher gegenüber Wirtschaftsprüfern, interner Revision und Aufsichtsanforderungen? Der Cloud Computing Compliance Criteria Catalogue (C5) liefert Ihnen belastbare Nachweise, klare Entscheidungskriterien und eine standardisierte Basis für Risikobewertung, Audit-Fähigkeit und Provider-Auswahl – eingebettet in eine durchdachte Cloud-Compliance-Governance.
Der Cloud Computing Compliance Criteria Catalogue ist kein theoretisches Regelwerk, sondern ein praxiserprobter Kriterienkatalog mit 114 Anforderungen in 17 Domänen. Er wurde vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und basiert auf international anerkannten Standards wie ISO/IEC 27001, der Cloud Security Alliance Cloud Controls Matrix und dem BSI-Grundschutz. C5 definiert Mindestanforderungen an Cloud-Sicherheit und Nachweisführung – und ermöglicht Ihnen, Provider vergleichbar zu bewerten, Vertragsrisiken zu senken und Audit-Prozesse zu beschleunigen.
Was ist der Cloud Computing Compliance Criteria Catalogue – und warum ist er für CFOs entscheidend?
Der Cloud Computing Compliance Criteria Catalogue ist ein geprüfter Standard, der verbindliche Mindestanforderungen für Cloud-Sicherheit festlegt. Ein akkreditierter Wirtschaftsprüfer prüft den Provider gegen die 114 Anforderungen und erstellt einen Bericht, der Scope, Prüfzeitraum, Methodik und Findings transparent dokumentiert. Dieser Bericht ist Ihre Grundlage für Go/No-Go-Entscheidungen, Vendor-Management und Audit-Readiness.
In Behörden und behördennahen Kontexten ist C5 häufig Mindestanforderung. Aber auch in der Privatwirtschaft – insbesondere bei Finance-Prozessen, Konzernen und kritischen Lieferketten – wird C5 zunehmend als Standard-Evidence im Vendor- und Risk-Management genutzt. Der Grund: C5 bietet eine gemeinsame Sprache für Sicherheit, Nachvollziehbarkeit und Kontrollwirksamkeit – und vermeidet Fragebogenwildwuchs und Doppelprüfungen.
CFO-Checkliste: Wann C5 ausreicht – und wann zusätzliche Nachweise erforderlich sind
Diese Entscheidungsmatrix hilft Ihnen bei der schnellen Bewertung:
| Kriterium | C5 ausreichend | Zusätzliche Nachweise nötig |
|---|---|---|
| Datenklasse | Normal vertraulich, keine Personendaten | Streng vertraulich, Zahlungsdaten, personenbezogene Daten |
| Verfügbarkeit | Standard-Prozesse (RTO über 4 Stunden) | Zahlungsverkehr, Monatsabschluss (RTO unter 1 Stunde) |
| Regulierung | Kein öffentlicher Sektor, keine Aufsicht | Öffentlicher Auftraggeber, Finanzaufsicht, Datenschutzbehörde |
| IKS- und ICFR-Scope | Nicht-finanzrelevante Prozesse | Zahlungsfreigabe, Stammdatenänderung, Journal Entries |
| Segregation of Duties | Keine kritischen SoD-Konflikte | Zahlungsfreigabe und -ausführung, Buchung und Freigabe |
Faustregel: Wenn mindestens zwei Kriterien in der rechten Spalte zutreffen, benötigen Sie zusätzlich zu C5: detaillierte Kundenkontrollen (IAM, Logging, SoD-Matrix), ergänzende Prüfberichte (SOC 2 Type II, ISAE 3402) und spezifische vertragliche Regelungen (Sub-Prozessor-Transparenz, Datenlokation, Audit-Rechte).
Warum CFOs und Finance jetzt handeln: Pain Points und Trigger
Die Cloud-Migration betrifft längst nicht mehr nur IT-Infrastruktur. Heute migrieren Unternehmen ihre ERP-Systeme, E‑Rechnung-Plattformen, Dokumentenmanagementsysteme, Workflow-Engines und Data-Plattformen in die Cloud. Finance-Prozesse werden digitalisiert – und damit entsteht ein neuer Bedarf an Nachweisen, die Wirtschaftsprüfer, Revision und Aufsicht akzeptieren.
Typische Trigger:
- Cloud-Migration kritischer Finance-Workloads wie Zahlungsverkehr, Rechnungseingang, Monatsabschluss und Freigabeworkflows
- Ausschreibungen mit öffentlichem Sektor oder regulierten Kunden, die C5 explizit fordern
- Interne oder externe Audits, IKS- und ICFR-Programme, die nachvollziehbare Kontrollen über Cloud-Services verlangen
- Vorstand oder CFO fordert prüfbaren Cloud-Compliance-Nachweis statt Selbstauskünften
ROI und Metriken: CFO-orientierte Kennzahlen mit Richtwerten
Welche Metriken können Sie messen – und welche Größenordnungen sind realistisch?
| Metrik | Vorher (ohne C5-Standard) | Nachher (mit C5-Standard) | Einsparung |
|---|---|---|---|
| Zeitaufwand Provider-Assessment | 40 bis 80 Stunden pro Provider | 8 bis 12 Stunden (Scope-Prüfung, Gap-Analyse) | 70 bis 85 Prozent |
| Anzahl individueller Fragebögen pro Jahr | 5 bis 15 pro Provider | 0 bis 2 (nur Ergänzungsfragen) | 80 bis 100 Prozent |
| Audit-Findings (Anzahl kritisch/hoch) | 3 bis 8 pro Audit-Zyklus | 0 bis 2 | 60 bis 75 Prozent |
| Zeit bis Remediation (Tage) | 45 bis 90 Tage | 10 bis 20 Tage | 70 bis 80 Prozent |
| Time-to-Approval neue Cloud-Workload | 6 bis 12 Wochen | 2 bis 4 Wochen | 60 bis 70 Prozent |
Beispielrechnung für mittelständischen Konzern
Annahme: 3 Cloud-Provider, 2 Audit-Zyklen pro Jahr.
- Provider-Assessment: 3 mal 60 Stunden gespart = 180 Stunden pro Jahr mal 120 Euro pro Stunde = 21.600 Euro Personalkosten
- Audit-Nacharbeit: 4 Findings mal 40 Stunden pro Finding gespart = 160 Stunden mal 120 Euro pro Stunde = 19.200 Euro
- Externe Beratung (Incident-Vermeidung): 1 vermiedener Vorfall mal 50.000 Euro = 50.000 Euro
- Gesamt-ROI Jahr 1: circa 90.000 Euro Einsparung und Kostenvermeidung
Finance-spezifische Kontrollziele: Verknüpfung C5 mit IKS und ICFR
C5 ist kein Finance-Framework – aber Sie können C5-Controls direkt auf Finance-Kontrollziele mappen. Diese Tabelle zeigt die Verknüpfung:
| Finance-Kontrollziel (IKS/ICFR) | Relevante C5-Domänen | Provider-Control (C5) | Kunden-Control (Ihre Verantwortung) |
|---|---|---|---|
| Zahlungsfreigabe (4-Augen-Prinzip, SoD) | IAM, Logging, Change | Rollenmodell-Baseline, Logging-Infrastruktur, Change-Nachvollziehbarkeit | SoD-Matrix, Rollendesign, Freigabe-Workflow, Rezertifizierung quartalsweise, Log-Auswertung |
| Stammdatenänderung (Lieferanten, Konten) | IAM, Change, Logging | Multi-Faktor-Authentifizierung, Change-Protokollierung | Freigabeprozess, Vier-Augen-Kontrolle, Änderungshistorie, monatliche Stichproben |
| Journal Entries (manuelle Buchungen) | IAM, Logging, Change | Berechtigungsverwaltung, Logging-Aufbewahrung | Freigabe-Workflow, Segregation Bucher und Genehmiger, Nachvollziehbarkeit, monatliche Review |
| Rechnungseingang und -freigabe | Datenmanagement, IAM, Business Continuity | Datenverschlüsselung, Backup/Recovery, Verfügbarkeit | Freigabe-Workflow, Aufbewahrungsfristen (10 Jahre), Löschkonzept, OCR-Qualitätskontrolle |
| Monatsabschluss (Hochverfügbarkeit) | Business Continuity, Incident Management | RTO/RPO, Disaster Recovery Tests | Abschlussprozess-Monitoring, Eskalationskette, Notfall-Runbook, quartalsweise Tests |
Shared Responsibility: Welche Kontrollen beim Provider liegen – und welche bei Ihnen
Das Konzept der geteilten Verantwortung (Shared Responsibility) ist zentral für Cloud-Compliance. Der Provider deckt typischerweise Plattform- und Betriebscontrols ab. Sie als Kunde verantworten:
- Datenklassifizierung und Schutzbedarf: Welche Daten sind normal vertraulich, welche streng vertraulich? Welche Verfügbarkeitsanforderungen gelten?
- Berechtigungskonzepte: Rollenmodelle, Least Privilege, Segregation of Duties, quartalsweise Rezertifizierung
- Konfiguration: Security Baselines, Verschlüsselung (wer kontrolliert Keys?), Netzwerksegmente
- Logging-Nutzung: Alarmierung, SIEM-Anbindung, Aufbewahrung (zum Beispiel 7 Jahre für Finance-Logs), Zugriffsschutz, monatliche Stichproben
- Applikations- und Integrationssicherheit: Schnittstellen zu ERP, Zahlungssystemen, Archivierung
- Change- und Release-Prozesse: Freigaben, Testprotokolle, Notfall-Changes, Dokumentation
- Incident Response: Runbooks, Eskalationsketten, Kommunikation CFO/Revision, Evidence-Sicherung
Diese Verantwortlichkeiten müssen Sie dokumentieren, in Ihr IKS integrieren und regelmäßig nachweisen – zum Beispiel durch RACI-Matrizen, Runbooks, Testprotokolle und Audit-Logs.
Scope als zentraler Entscheidungshebel: Was Sie im Bericht prüfen müssen
Nicht jeder Service und nicht jede Region eines Providers ist automatisch im C5-Scope. Die Scope-Prüfung ist Ihre wichtigste Aufgabe beim Lesen eines Prüfberichts.
Was Sie im Bericht prüfen sollten:
- Geprüfte Organisation/Einheit: Welche juristische Einheit, welche Tochtergesellschaften?
- Services: IaaS, PaaS, SaaS – welche Produktlinien sind abgedeckt?
- Regionen und Datacenter-Standorte: EU, Deutschland, andere Regionen?
- Prüfzeitraum: 12 Monate? Aktueller Berichtszeitraum?
- Prüfart: Systemprüfung (Designwirksamkeit) oder Wirksamkeitsprüfung (operative Wirksamkeit über 12 Monate)?
- Ausnahmen und Findings: Welche Controls sind nicht erfüllt? Welche Kompensationsmaßnahmen?
- Abdeckung streng vertraulicher Daten und Hochverfügbarkeit: Sind verschärfte Anforderungen geprüft?
Beispiel: Ein Provider hat einen C5-Bericht für seine europäischen Rechenzentren und bestimmte Infrastructure-as-a-Service-Angebote. Wenn Sie jedoch eine Platform-as-a-Service-Lösung in einer anderen Region nutzen, ist diese möglicherweise nicht im Scope – und Sie müssen zusätzliche Nachweise anfordern oder Risiken akzeptieren.
Minimum Evidence Pack für Wirtschaftsprüfer und Revision
Was müssen Sie für Audits bereithalten? Ein strukturiertes Evidence Pack macht den Unterschied zwischen effizienten Audits und wochenlanger Nacharbeit – insbesondere, wenn parallel ein Compliance-Report für Stakeholder konsistent gepflegt werden soll.
Ihr Minimum Evidence Pack sollte enthalten:
- Aktueller C5-Prüfbericht (inklusive Scope-Seiten und Management Summary, nicht älter als 18 Monate)
- Scope-Mapping: Welche eigenen Prozesse/Workloads auf welche geprüften Services fallen (Tabelle oder Diagramm)
- Shared-Responsibility-Matrix: Provider versus Kunde, kontrollorientiert
- IKS- und ICFR-Anbindung: Relevante Kontrollen, Kontrollziele, Nachweise, Frequenzen (zum Beispiel quartalsweise Rezertifizierung, monatliche Log-Stichproben)
- Kundenkontrollen als Evidence: IAM/Rollenmodell inklusive Rezertifizierung (Protokolle, Screenshots), Logging/Monitoring-Konzept inklusive Aufbewahrung (7 Jahre) und Zugriffsschutz (Berechtigungsmatrix), Change/Release-Nachweise (Tickets, Approvals, SoD-Matrix), Incident-Runbooks plus Nachweise von Tests/Übungen (quartalsweise)
- Datenschutz- und Vertragsdokumente: Auftragsverarbeitungsvertrag/Data Processing Agreement, Technisch-organisatorische Maßnahmen (TOMs), Unterauftragsverarbeiter-Transparenz
Verantwortungs- und Kontrollmodell: RACI für Finance-Cloud-Projekte
Wer ist wofür verantwortlich? Ein klares RACI-Modell verhindert Lücken und Doppelarbeit.
| Bereich | Responsible | Accountable | Consulted | Informed |
|---|---|---|---|---|
| Provider-Auswahl und Onboarding | IT Service Owner | CFO | Security, Datenschutz, Einkauf | Interne Revision |
| Datenklassifizierung und Schutzbedarf | Finance Owner | CFO | Datenschutz, Security | IT Service Owner |
| Identity und Access (inklusive SoD, Rezertifizierung) | IT Service Owner | IT-Leitung | Security, Finance Owner | Interne Revision |
| Logging/Monitoring und Incident Response | Security | IT-Leitung | IT Service Owner | CFO, Interne Revision |
| Change/Release und Konfigurationsstandards | IT Service Owner | IT-Leitung | Security | Finance Owner |
| Audit/Reporting und Evidence-Management | Interne Revision | CFO | IT Service Owner, Security | Wirtschaftsprüfer |
Schritt-für-Schritt-Leitfaden: Von Provider-Auswahl bis Regelbetrieb
Wie setzen Sie C5 konkret um?
- Scope definieren: Welche Prozesse/Apps/Daten (zum Beispiel Rechnungseingang, Zahlungsverkehr), welche Länder/Regionen, welche Verfügbarkeitsanforderungen (RTO/RPO)?
- Datenklassifizierung: Normal vertraulich versus streng vertraulich, personenbezogene Daten, Aufbewahrungsfristen (zum Beispiel 10 Jahre GoBD)
- Provider-Vorauswahl anhand C5-Prüfbericht: Scope-Fit prüfen, Aktualität (nicht älter als 18 Monate), Findings bewerten
- Gap-Analyse: Provider-Controls versus Kunden-Controls, Residual Risk identifizieren
- Maßnahmenplan: Kundenkontrollen in IAM (SoD-Matrix), Logging (Aufbewahrung 7 Jahre), Monitoring (Alarmierung), Change (Freigabeprozess), BC/DR (Runbooks, Tests)
- Vertrags- und Exit-Check: Audit-Rechte, SLAs (RTO/RPO), Subunternehmer-Transparenz, Datenlöschung/Portabilität (Exit-Plan)
- Nachweis- und Dokumentationskonzept: Evidence Pack, RACI, Frequenzen (quartalsweise Rezertifizierung, monatliche Stichproben), Audit-Kalender
- Regelbetrieb: Kontinuierliche Kontrolle, Report-Updates (jährlich), Rezertifizierungen (quartalsweise), Change-Prozesse, Incident-Tests (quartalsweise)
Mini-Case: CFO-getriebene Cloud-Freigabe für Zahlungsverkehr
Ein mittelständischer Konzern plant, seinen Zahlungsverkehr in eine Cloud-Plattform zu migrieren. CFO Claudia fordert: „Ich brauche einen prüfbaren Nachweis, dass die Plattform sicher ist – und dass Segregation of Duties gewährleistet ist. Sonst keine Freigabe."
Das Team nutzt C5 als Bewertungsraster: Provider hat aktuellen C5-Prüfbericht, Scope deckt relevante Services und EU-Regionen ab, keine kritischen Findings. Das Team erstellt:
- Scope-Mapping (Zahlungsverkehr zu geprüftem Service)
- Shared-Responsibility-Matrix (Provider: Plattform-IAM, Logging-Infrastruktur; Kunde: SoD-Matrix, Freigabe-Workflow, Rezertifizierung)
- SoD-Matrix für Zahlungsfreigabe (Erfasser ungleich Genehmiger ungleich Ausführer)
- Logging-Konzept (Aufbewahrung 7 Jahre, Zugriffsschutz, monatliche Stichproben)
- Incident-Runbook (Eskalation bei Ausfall, RTO 1 Stunde)
CFO Claudia legt das Evidence Pack der Revision vor. Ergebnis: Schnellere Freigabe (4 Wochen statt 12), sauberer Audit-Trail, keine Findings im Jahresabschluss. Das Team hat ein wiederverwendbares Template für künftige Cloud-Projekte.
Fazit und Handlungsempfehlung
Der Cloud Computing Compliance Criteria Catalogue ist ein geprüfter, strukturierter Mindestanforderungskatalog für Cloud-Sicherheit und Nachweisführung. Er schafft Vergleichbarkeit und belastbare Evidence gegenüber Revision, Wirtschaftsprüfern und öffentlichen Auftraggebern.
Provider-Evidence ist ein zentraler Baustein – ersetzt aber nicht Ihre Kundenverantwortung. Konfiguration, Prozesse, Kontrollen und Betrieb liegen bei Ihnen. Ohne klare Datenklassifizierung, SoD-Matrix, Logging-Nutzung, Incident-Prozesse und Change-Management bleibt C5 Compliance-by-PDF.
Unsere Empfehlung: Verankern Sie C5 als Standardkriterium in Ihrer Cloud-Strategie und Ihrem Vendor-Management. Starten Sie pragmatisch: Definieren Sie Scope, klassifizieren Sie Daten, erstellen Sie eine Shared-Responsibility-Matrix und ein Minimum Evidence Pack. Wenn Sie dafür Unterstützung brauchen, kann eine gezielte E‑Rechnung-Beratung als Teil der Finance-Digitalisierung helfen, Anforderungen, Schnittstellen und Nachweise früh sauber zu klären. Binden Sie Kontrollen in RACI und IKS/ICFR ein – und machen Sie Compliance zum kontinuierlichen Prozess. Nutzen Sie die CFO-Checkliste und ROI-Metriken, um Entscheidungen zu beschleunigen und Audit-Readiness sicherzustellen. So schaffen Sie Vertrauen, reduzieren Risiken und beschleunigen Ihre Cloud-Migration – revisionssicher und zukunftsfähig.
Interesse an Consulting?
Vereinbaren Sie jetzt eine kostenlose Erstberatung und entdecken Sie, wie wir Ihr Unternehmen mit Digitalisierung voranbringen können. Unsere Expert:innen freuen sich auf Sie.