- Von Miriam Friedmann
C5-Testat: Warum es für Krankenhäuser unverzichtbar ist
Die Sicherheit von sensiblen Gesundheitsdaten sollte für Krankenhäuser oberste Priorität haben – Stichworte Datenschutz und Datensicherheit. Denn spätestens bei einer Datenpanne müssen sie – neben dem Reputationsschaden – mit gravierenden rechtlichen Konsequenzen rechnen, sofern sie ihre Daten nicht gesetzeskonform geschützt haben Vor diesem Hintergrund wurden moderne Cloud-Lösungen in Krankenhäusern bisher oft nur zögerlich eingesetzt, da deren Sicherheit in Frage gestellt wurde. Mit dem C5-Zertifikat, das für Cloud-Lösungen im Gesundheitswesen verpflichtend ist, wird deren Sicherheit nun nachgewiesen. Krankenhäuser können damit nun moderne Technologie mit Datensicherheit in Einklang bringen und belastbare IT-Security Strategien auch mit Cloud-Lösungen umsetzen.
Besonders KRITIS-Häuser sollten 2025 die C5-Testierung im Blick haben. Denn das anstehende KRITIS-Audit wird unmittelbar aufdecken, ob und wie sie sensible Patientendaten schützen – und das nicht nur innerhalb der eigenen Infrastruktur, sondern über den gesamten Datenweg hinweg vom OP bis zum Patienten.
Eine massive Aufgabe für ein jede IT-Abteilung sowie die Geschäftsleitung. Ansätze zum Outsourcing sind daher sehr willkommen. C5-zertifizierte Cloud-Anbieter spielen hier wichtige Rolle, da das Testat an den KRITIS-Anforderungen anknüpft. Andersherum gesehen muss auch geprüft werden, ob alle bereits eingesetzten Cloud-Anwendung nach C5 zertifiziert sind, da dies im Gesundheitswesen verpflichtend ist.
Telepaxx Medical Data hat das C5-Testat bereits als einer der ersten Cloud-Anbieter für Gesundheitsdaten in Deutschland erfolgreich durchlaufen.
Was aber ist diese C5-Zertifizierung genau, warum ist sie für die Gesundheitsbranche so wichtig – und welche Vorteile bietet sie speziell für Krankenhäuser?
In diesem Artikel geben wir Antworten auf die häufigsten Fragen, die uns im Zuge der Testierung begegnet sind und die für Krankenhaus-Entscheider sowie IT-Verantwortliche wichtig sind.
Warum ist die C5-Zertifizierung für Krankenhäuser wichtig?
Krankenhäuser verwalten eine enorme Menge an vertraulichen Daten, darunter Patientenakten und medizinische Bilddaten. Die Zusammenarbeit mit einem C5-zertifizierten Cloud-Anbieter bietet nicht nur Schutz vor Cyberangriffen, sondern auch rechtliche und regulatorische Sicherheit. Mit dem Digital-Gesetz des Bundesgesundheitsministeriums müssen alle Cloud-Dienste im Gesundheitswesen das C5-Testat nachweisen.
2025 stehen beispielsweise die nächsten KRITIS-Prüfungen an. Dann müssen alle KRITIS-Krankenhäuser mit Cloud-Anbindung nachweisen, dass ihr Cloud-Partner die C5-Kriterien erfüllt. Das bedeutet: Speichert oder verarbeitet ein Krankenhaus sensible Patientendaten bei einem externen Anbieter, muss es nachweisen können, dass die Daten dort gemäß dem C5-Kriterienkatalog gesichert sind.
Überprüfen können das Krankenhäuser mit Hilfe des C5-Prüfberichts, den sie jederzeit von ihren Cloud-Dienstleistern anfordern und dem sie transparent entnehmen können, welche und wie gut die C5-Kriterien erfüllt werden. Gerne senden wir unseren Kunden das Telepaxx-C5-Testat zu.
Was ist das C5-Testat?
Die Zertifizierung nach C5 ist ein Prüfstandard, der die Sicherheitsanforderungen für Cloud-Dienstleistungen definiert und Anwendung in allen Branchen findet. Dafür hat das Bundesamt für Sicherheit in der Informationstechnik BSI den umfangreichen und enorm detailreichen C5-Kriterienkatalog entwickelt. Auf 132 Seiten sind darin sind sämtliche Sicherheitsmaßnahmen aufgelistet, die zu ergreifen sind, um eine Verarbeitung von Daten mit Hilfe der Cloud-Technologie so sicher wie möglich zu gestalten.
Das C5-Testat ist jedoch nicht nur ein Prüfsiegel, sondern ein ausführliches Zeugnis. Es bewertet die Leistung des Unternehmens in 17 Bereichen. Dazu zählen beispielsweise die Organisation der Informationssicherheit (OIS), Sicherheitsrichtlinien und Arbeitsweisen (SP), Asset Management (AM), Kryptographie und Schlüsselmanagement (CRY), Kommunikationssicherheit (COS) oder auch der Umgang mit Sicherheitsvorfällen (SIM).
Innerhalb jeden Bereichs prüfen und analysieren hochspezialisierte Wirtschaftsprüfer die bis ins kleinste Detail definierte Kriterien, vor Ort im Unternehmen.
Damit geht der C5-Kriterienkatalog weit über die allgemeinen Anforderungen der bislang im Gesundheitssektor als Maßstab geltenden ISO-Zertifizierung 27001 hinaus.
Cloud-Anbieter, die eine C5-Zertifizierung bzw. das C5-Testat nachweisen können, erfüllen also Sicherheitsmaßnahmen nach den höchsten gesetzlichen Standards. Während des Zertifizierungsprozesses prüfen Fachleute alle Prozesse und deren technische Umsetzung systematisch nach den Anforderungen des C5-Kriterienkatalogs.
Wie läuft die C5-Zertifizierung ab?
Um das C5-Testat zu erhalten, durchkämmen eine Wirtschaftsprüfer über mehrere Tage die Prozesse, Richtlinien und Umsetzungen sämtlicher Anforderungen des C5-Kriterienkatalogs. Erfüllt das getestete Unternehmen ein Kriterium, vermerken die Prüfer das. Ist die Umsetzung dagegen nach C5-Kriterien noch nicht abgeschlossen, notieren die Tester transparent den aktuellen Stand – und vermerken, was das Unternehmen unternimmt, um das Kriterium baldmöglich komplett zu erfüllen.
Den offiziellen C5-Prüfbericht bekommen die zertifizierten Cloud-Anbieter dann als PDF, sofern die Prüfer zu dem Schluss kommen, dass der Anbieter die Anforderungen ausreichend gut erfüllt. Dieses PDF können dessen Kunden jederzeit anfordern. In unserem Beispiel sind das aktuell vor allem Krankenhäuser und niedergelassene Radiologen.
Damit haben unsere Kunden jetzt einen standardisierten, von einer neutralen Instanz erstellten Überblick, ob wir alle Anforderungen in Sachen Informationssicherheit und Datenschutz bei der Verarbeitung von Daten in der Cloud erfüllen. Das stärkt das Vertrauen und schützt unsere Kunden auch vor rechtlichen Risiken.
Fazit: Warum Krankenhäuser auf C5-zertifizierte Anbieter setzen sollten
Das C5-Testat ist mehr als ein einfacher Sicherheitsstandard – es ist ein offizielles Qualitätssiegel für Cloud-Dienstleister, die höchsten Ansprüchen an die Informationssicherheit und den Datenschutz gerecht werden. Gleichzeitig bietet es maximale Transparenz durch den ausführlichen Prüfbericht, den Kunden dieser Cloud-Dienstleister jederzeit als PDF-Datei anfordern können.
Krankenhäuser, die mit C5-zertifizierten Anbietern zusammenarbeiten, profitieren von maximaler Datensicherheit, Transparenz und Compliance. Das Ergebnis: eine sichere IT-Infrastruktur, die Patienten und Klinikpersonal gleichermaßen schützt.
Interessiert, wie Telepaxx Sie mit seinen C5-testierten Software-Lösungen für das Management medizinischer Bilddaten unterstützen kann? Kontaktieren Sie uns für mehr Informationen über unsere zertifizierten Cloud-Lösungen.
Beispiele für die Detailtiefe des C5-Katalogs im Vergleich zur ISO-27001
Der C5-Kriterienkatalog legt spezifische Maßnahmen und Prozesse fest, die Cloud-Anbieter implementieren müssen, um höchste Sicherheitsstandards zu erfüllen.
Beispiel 1: Die Kommunikation von sensiblen Daten, also von einem Server im Krankenhaus bis ins Rechenzentrum.
- Der C5-Katalog verlangt unter anderem dezidiert, dass der Datenverkehr für Administration und Monitoring in getrennten Netzwerken läuft. Außerdem müssen zugelassene Netz- und Anwendungsprotokolle explizit definiert sein und diese regelmäßig überprüft werden.
- Zum Vergleich: Die ISO-27001 fordert lediglich allgemein, dass Informationsdienste und Nutzer im Netzwerk voneinander getrennt sein sollen.
Beispiel 2: Die Produktsicherheit, insbesondere die Vertraulichkeit von Authentisierungsinformationen.
- Die C5-Kriterien enthalten zum Beispiel genaue Anforderungen zu Passwörtern und deren Verwaltung.
- Zum Vergleich: Die ISO-27001 schreibt nur vor, dass Authentifizierungsinformationen durch einen Managementprozess kontrolliert werden sollen.
FAQs
Viele namhafte Cloud-Anbieter, darunter Marktführer wie Amazon Web Services (AWS) und spezialisierte Anbieter für das Gesundheitswesen wie Telepaxx oder doctolib verfügen über eine C5-Zertifizierung. Es gibt aber auch sehr viele Software-Anbieter, die das Zertifikat noch nicht haben – weil sie die Kriterien nicht erfüllen oder der Umsetzungszeitraum zu kurzfristig war.
Krankenhäuser benötigen keine eigene Zertifizierung. 2025 stehen aber die KRITIS-Audits für die Gesundheitsbranche an. KRITIS-Krankenhäuser müssen spätestens dann nachweisen, dass ihre Cloud-Dienstleister ein C5-Testat vorweisen können. Auch alle anderen Gesundheitseinrichtungen sind gemäß dem DigiG verpflichtet, ausschließlich C5-testierte Cloud-Lösungen einzusetzen.
Ein C5-Testat ist in der Regel für ein Jahr gültig. Danach muss ein erneutes Audit durchgeführt werden.
Cloud-Anbieter müssen sich einem unabhängigen Audit unterziehen, bei dem sie die Anforderungen des C5-Kriterienkatalogs nachweisen. Für die Gesundheitsbranche wurde im Rahmen des DigiG festgelegt, dass ausschließlich Wirtschaftsprüfungsunternehmen die C5-Zertifizierung für Cloud-Lösungen für das Gesundheitswesen testieren dürfen. Kunden können das Testat jederzeit bei ihrem Cloud-Anbieter anfordern.
Der C5-Audit ist der Prüfprozess, bei dem unabhängige Auditoren die Einhaltung des C5-Kriterienkatalogs prüfen.
Weitere Beiträge, die sie interessieren könnten.
Cybersicherheit in KRITIS-Häusern
Cyberattacken sind eine große Gefahr für Krankenhäuser – egal ob KRITIS-Haus oder nicht. Was ein Ransomware-Angriff kostet, wie sie sich schützen können und was viele Einrichtungen vergessen fasst dieser Beitrag zusammen.
Ausfallsicherheit im Krankenhaus: Was NIS-2 bringt
Wie können Kliniken die Datensicherheit stärken und sich vor Cyberattacken schützen? Durch die NIS-2-Regelung müssen sich damit jetzt auch kleine und mittlere Krankenhäuser befassen.
Entdecken Sie zehn Gründe, warum die Cloud-Technologie für Krankenhäuser nicht nur effizienzsteigernd, sondern auch unabdingbar für eine moderne Healthcare-IT ist – spätestens mit dem DigiG. Lesen Sie unseren Argumentationsleitfaden.