Wichtiger Prüfhinweis
Dieses Dokument ist bewusst vorsichtiger formuliert als die alte Fassung. Es zeigt, welche Themen für C5:2026 relevant sind, aber bestätigt keine unabhängige Prüfung. Für eine belastbare externe Bewertung werden eine vollständige C5:2026-Kriterienmatrix, echte Evidenzen und gegebenenfalls ein Wirtschaftsprüfer-Testat benötigt.
Transparenz und Systembeschreibung (C5:2026)
| Bereich | Kriterium | Aktueller Stand | Benötigte Evidenz | Status |
|---|---|---|---|---|
| System | Cloud-Dienst, Rollen und Regionen beschreiben | Leistungsbeschreibung, AVV, TOMs und Subunternehmer-Verzeichnis wurden auf Mai 2026 gehoben. | Aktuelle Systembeschreibung, Hosting-Regionen, Rollenmodell Auftraggeber/Auftragnehmer | Nachweis nötig |
| Scope | Abgrenzung des C5-Umfangs | Dieses Dokument ist ein Arbeitsmapping für die interne Bewertung und kein C5-Testat. | Vollständige C5:2026-Kriterienmatrix mit Scope-Entscheidung | Mapping offen |
Organisation der Informationssicherheit
| Bereich | Kriterium | Aktueller Stand | Benötigte Evidenz | Status |
|---|---|---|---|---|
| ISMS | Informationssicherheitsprozesse | Rollen, Review-Zyklen und Sicherheitsprozesse sind als Anforderungen beschrieben. | ISMS-Policy, Risikoregister, Review-Protokolle | Nachweis nötig |
| Risk | Risikomanagement | Risiken aus KI-Verarbeitung, Dateiuploads, Mandantentrennung und Subunternehmern sind zu erfassen. | Aktuelles Risiko- und Maßnahmenregister | Mapping offen |
Identität und Berechtigungen
| Bereich | Kriterium | Aktueller Stand | Benötigte Evidenz | Status |
|---|---|---|---|---|
| Access | Rollen- und Rechtekonzept | Nutzer-, Admin- und Workspace-Rollen sind als prüfrelevante Kontrollen aufgenommen. | Berechtigungsmatrix, Admin-Liste, Rezertifizierungsprotokolle | Nachweis nötig |
| MFA | Schutz administrativer Zugänge | MFA für administrative Zugänge ist als Pflichtanforderung in den TOMs formuliert. | MFA-Konfiguration, Admin-Login-Policy, Ausnahmeprozess | Nachweis nötig |
Kryptographie und Schlüsselmanagement
| Bereich | Kriterium | Aktueller Stand | Benötigte Evidenz | Status |
|---|---|---|---|---|
| Transit | Verschlüsselung bei Übertragung | TLS/HTTPS ist als Standardmaßnahme dokumentiert. | TLS-Konfiguration, Zertifikatsprüfung, HSTS-Konfiguration | Nachweis nötig |
| Keys | Schlüssel- und Speicherstrategie | Schlüsselmanagement wird nicht mehr pauschal als vollständig umgesetzt behauptet. | Key-Management-Konzept, Verschlüsselung at rest, Rotation und Verantwortlichkeiten | Mapping offen |
Protokollierung und Überwachung
| Bereich | Kriterium | Aktueller Stand | Benötigte Evidenz | Status |
|---|---|---|---|---|
| Logs | Sicherheitsrelevante Protokollierung | Logging wird als Sicherheits- und Datenschutzanforderung beschrieben. | Log-Policy, Aufbewahrungsfrist, Beispiel-Exports, Zugriffsschutz | Nachweis nötig |
| Monitoring | Uptime- und Fehlerüberwachung | SLA und TOMs verlangen nachvollziehbares Monitoring statt bloßer Behauptung. | Monitoring-Dashboard, Alert-Regeln, Monatsberichte | Nachweis nötig |
Backup, Wiederherstellung und Notfallbetrieb
| Bereich | Kriterium | Aktueller Stand | Benötigte Evidenz | Status |
|---|---|---|---|---|
| Backup | Backup-Konzept | Die TOMs nennen nur noch die Anforderung an Frequenz, Speicherort, Retention und Verantwortlichkeit. | Backup-Policy, Retention-Plan, Speicherort, Verschlüsselung, Verantwortliche | Nachweis nötig |
| Restore | Wiederherstellungstests | Restore-Tests werden als Nachweisanforderung geführt. | Letztes Restore-Protokoll, RTO/RPO-Werte, Lessons Learned | Nachweis nötig |
Schwachstellen, Lieferkette und Betrieb
| Bereich | Kriterium | Aktueller Stand | Benötigte Evidenz | Status |
|---|---|---|---|---|
| Vulnerability | Schwachstellenmanagement | Scans und Patch-Prozesse bleiben als Anforderungen enthalten, aber ohne unbelegte Vollständigkeitsbehauptung. | Container-Scan, Dependency-Scan, Patch-Log, Ausnahmefreigaben | Nachweis nötig |
| SupplyChain | Softwarelieferkette und Subunternehmer | Subunternehmer, Drittlandtransfers und AVV-Bezüge sind verknüpft. | Vendor-Register, AVVs, DPF/SCC-Nachweise, Softwarelieferketten-Prozess | Nachweis nötig |
Incident Management und Kundenpflichten
| Bereich | Kriterium | Aktueller Stand | Benötigte Evidenz | Status |
|---|---|---|---|---|
| Incident | Meldewege und Reaktion | SLA und AVV enthalten Melde- und Unterstützungsprozesse nach DS-GVO. | Incident-Runbook, Kontaktliste, 72h-Prozess, Probealarm | Nachweis nötig |
| Customer | Korrespondierende Kundenkontrollen | Kundenpflichten wie MFA, Offboarding, Retention und Exportkontrolle sind separat ausgewiesen. | Kundenleitfaden, Betriebsübergabe, Admin-Checkliste | Text aktualisiert |
Korrespondierende Kriterien für Kunden
C5 trennt nicht nur Anbieterpflichten, sondern macht auch Kundenpflichten sichtbar. Für VoxDrop sollten Auftraggeber vor Produktivnutzung mindestens diese Punkte regeln:
MFA aktivieren
Zwei-Faktor-Authentifizierung für Admin- und sensible Nutzerkonten verwenden.
Berechtigungen prüfen
Nutzerrechte regelmäßig prüfen und auf notwendige Rollen begrenzen.
Offboarding
Konten ehemaliger Mitarbeiter zeitnah deaktivieren und Exporte einsammeln.
Retention-Einstellungen
Aufbewahrungs- und Löschfristen passend zum eigenen Einsatzfall festlegen.
Export-Kontrolle
Exportierte Daten sicher speichern, weitergeben und nach Zweckende löschen.
Freigabeprozess
Barrierefreiheitsberichte und KI-Vorschläge fachlich prüfen, bevor sie verbindlich genutzt werden.
Was noch nicht per Text aktualisiert werden kann
Offene Belege sind in der Anforderungsliste im Repository dokumentiert. Dazu gehören insbesondere Backup-/Restore-Nachweise, Hoster-Zertifikate, echte Scan-Reports, ein vollständiges C5:2026-Control- Mapping und eine juristische Schlussprüfung.