C5 und Cloud-Sicherheit im Gesundheitswesen: Sicherheit & Vertrauen mit BCS

Seit dem 1. Juli 2025 ist das C5-Typ2-Testat für Cloud-Dienste im Gesundheitswesen verpflichtend. Mit dieser Vorgabe hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen wichtigen Schritt unternommen, um Transparenz, Sicherheit und Vertrauen in digitale Cloud-Infrastrukturen zu stärken, die in sensiblen medizinischen Bereichen eingesetzt werden.

Die digitale Transformation im Gesundheitswesen schreitet schnell voran, und immer mehr Krankenhäuser, Forschungseinrichtungen und Krankenkassen setzen auf cloudbasierte Lösungen. Gleichzeitig wächst der Bedarf an sicheren und regulierungskonformen Cloud-Diensten, um Patientendaten, Forschungsinformationen und interne Prozesse effektiv zu schützen.

Für Anbieter wie Projektron ist diese Entwicklung eine Chance und gleichzeitig eine Herausforderung: Mit BCS, einer wahlweise On-Premises oder Cloud-basierten ERP- und Projektmanagementlösung „Made in Germany“, wird Informationssicherheit auf höchstem Niveau gelebt: 

Bereits heute erfüllt die Cloud-Umgebung die C5-Vorgaben, ist nach ISO/IEC 27001:2022 zertifiziert und plant die vollständige C5-Testierung (Typ 1 und Typ 2) bis 2026.

Darüber hinaus werden Sicherheits- und Datenschutzstandards durch die angestrebten ISO/IEC 27017- und ISO/IEC 27018-Zertifizierungen weiter ausgebaut. 

Für Kunden bedeutet dies nicht nur technische Sicherheit, sondern auch Rechts-, Audit- und Zukunftssicherheit bei der Nutzung von BCS.

Die Einführung der C5-Pflicht zeigt, dass die Regulierung im Cloud-Bereich zunehmend an Bedeutung gewinnt. Cloud-Dienste sind längst nicht mehr nur ein IT-Instrument, sondern ein strategisches Element für Organisationen, die Patientendaten und medizinische Forschungsergebnisse verwalten oder interne Verwaltungsprozesse unterstützen wollen. Mit der C5-Testierung erhalten Anwender eine klar definierte Sicherheitsgrundlage, die sowohl interne Prozesse als auch externe Audits und Prüfungen abdeckt.

Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI definiert verbindliche Anforderungen für Sicherheit, Compliance und Transparenz in der Cloud. Er bietet einen einheitlichen Rahmen, der Cloud-Anbieter verpflichtet, die Sicherheit ihrer Systeme nachvollziehbar und überprüfbar zu gestalten. Besonders im Gesundheitswesen ist dies von hoher Relevanz, da täglich mit sensiblen Patientendaten, medizinischen Informationen und Forschungsdaten gearbeitet wird. Fehler oder Sicherheitslücken können nicht nur rechtliche Konsequenzen haben, sondern auch das Vertrauen von Patienten, Forschungspartnern und Aufsichtsbehörden beeinträchtigen.

Die C5-Anforderungen decken fünf zentrale Bereiche ab:

Die Implementierung von C5 bedeutet für das Gesundheitswesen, dass Cloud-Dienste objektiv bewertet werden können. Krankenhäuser, Forschungsinstitute und Krankenkassen erhalten dadurch eine verbindliche Basis für die Auswahl von Cloud-Anbietern. Sicherheitslücken, unzureichende Kontrollen oder fehlende Dokumentation können so frühzeitig erkannt und adressiert werden. Der C5-Katalog bietet nicht nur eine Orientierung für Anbieter, sondern auch für die Organisationen, die Cloud-Lösungen nutzen wollen. Damit wird das Vertrauen in digitale Lösungen im Gesundheitswesen nachhaltig gestärkt.

Für Anbieter wie Projektron bedeutet dies, dass die Cloud-Umgebung ständig überwacht, dokumentiert und weiterentwickelt werden muss. Alle Prozesse werden transparent gestaltet, und Sicherheitsmaßnahmen werden kontinuierlich überprüft. Die Kombination aus ISO/IEC 27001-Zertifizierung und der C5-Konformität schafft eine doppelte Sicherheitsebene: rechtlich, organisatorisch und technisch abgesichert.

Von der Einführung der C5-Testierung profitiert das Gesundheitswesen. Sie sorgt für Nachvollziehbarkeit, Sicherheit und Vertrauen in Cloud-basierte Anwendungen, die in Krankenhäusern, Forschungseinrichtungen oder Verwaltungsprozessen eingesetzt werden. Zu den wichtigsten Vorteilen gehören:

Gerade für das Gesundheitswesen, das täglich mit sensiblen Patientendaten arbeitet, ist dies von entscheidender Bedeutung. Auch wenn ERP- und Projektmanagement-Software wie BCS keine direkten Patientendaten verarbeitet, profitieren Organisationen von der hohen Sicherheit für ihre Projektdaten. Fehlende Sicherheitsstandards können hier zu Datenverlust, Verzögerungen oder Compliance-Problemen führen – Probleme, die sich mit einer C5 konformen Softwarelösung vermeiden lassen.

Die C5-Testierung fördert außerdem die professionelle Organisation von Cloud-Diensten. Anbieter müssen klare Prozesse für Notfallmanagement, Monitoring und Zugriffskontrollen nachweisen. Gleichzeitig profitieren Nutzer von einer standardisierten Übersicht über die Sicherheitsmaßnahmen und können dadurch fundierte Entscheidungen treffen.

Mit Inkrafttreten der „Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen“ (C5GleichwV) am 1. Juli 2025 ist das C5-Typ2-Testat für Cloud-Dienste im Gesundheitswesen verpflichtend. Diese Regelung stellt sicher, dass alle Anbieter von Cloud-Diensten, die in sensiblen medizinischen Bereichen eingesetzt werden, nachweislich über angemessene Sicherheitsmaßnahmen verfügen. Dabei geht es nicht nur um die Konzeption und Implementierung von Sicherheitsmaßnahmen, sondern auch um die nachweisliche Wirksamkeit über einen längeren Zeitraum. 

Das C5-Typ2-Testat ergänzt damit die Typ-1-Testierung, die lediglich die Planung und Einführung der Sicherheitsmaßnahmen bestätigt. Die Verordnung basiert auf § 393 Absatz 4 SGB V, der vorschreibt, dass Cloud-Dienste im Gesundheitswesen ein C5-Testat haben müssen.

Die Bedeutung dieser Pflicht ist für Krankenhäuser, Forschungseinrichtungen und Krankenkassen enorm. Organisationen, die Cloud-Dienste einsetzen, müssen sicher sein, dass ihre Daten – seien es Projektdaten, Verwaltungsinformationen oder interne Forschungsergebnisse – verlässlich geschützt sind. Das C5-Typ2-Testat bietet dafür eine klare, standardisierte Bewertungsgrundlage. Es ermöglicht eine objektive Prüfung von Cloud-Anbietern und schafft Vertrauen bei internen Entscheidern, Aufsichtsbehörden und Partnerorganisationen.

Da derzeit nur wenige Anbieter ein C5-Typ2-Testat vorweisen können, sieht die Verordnung Übergangsregelungen vor. Anbieter dürfen zunächst andere, anerkannte Sicherheitszertifizierungen nutzen, etwa:

ISO/IEC 27001

ISO 27001 nach IT-Grundschutz

Cloud Controls Matrix (CCM) Version 4.0

Wichtig ist dabei die transparente Dokumentation: Welche Anforderungen des C5-Standards werden bereits abgedeckt, welche Lücken existieren, welche Maßnahmen kompensieren diese Lücken, und welcher Zeitplan zur vollständigen C5-Testierung verfolgt wird. Typischerweise müssen innerhalb von 12 Monaten die Lücken geschlossen werden, nach 18 Monaten ein Typ-1-Testat und nach 24 Monaten ein Typ-2-Testat erreicht sein. Diese klaren Vorgaben schaffen für die Anwenderorganisationen Planbarkeit und Sicherheit bei der Auswahl und Nutzung von Cloud-Diensten.

Für das Gesundheitswesen bedeutet dies, dass Cloud-Anbieter wie Projektron einen nachweisbaren Standard erfüllen müssen, der über die reine Implementierung von Sicherheitsmaßnahmen hinausgeht. Die Kombination aus gesetzlicher Verpflichtung, klar definierten Audit-Kriterien und kontinuierlicher Überprüfung sorgt für eine höchstmögliche Sicherheit, die auch bei internen und externen Prüfungen standhält.

Projektron geht mit BCS, der Cloud-basierten Projektmanagementsoftware aus Deutschland, bereits heute weit über die Mindestanforderungen hinaus und erfüllt die C5GleichwV-Vorgaben. Die ISO/IEC 27001:2022-Zertifizierung durch den TÜV Rheinland bestätigt, dass Informationssicherheit und Datenschutz auf höchstem Niveau umgesetzt werden. Darüber hinaus ist die geplante C5-Testierung (Typ 1 und Typ 2) für 2026 fest eingeplant, um die langfristige Compliance mit den gesetzlichen Anforderungen sicherzustellen.

Darüber hinaus werden die Sicherheits- und Datenschutzstandards von Projektron durch die geplanten ISO/IEC 27017- und ISO/IEC 27018-Zertifizierungen weiter ausgebaut. ISO 27017 behandelt Cloud-spezifische Sicherheitskontrollen für Anbieter und Kunden, während ISO 27018 den Schutz personenbezogener Daten in Cloud-Umgebungen regelt. Damit erfüllt Projektron höchste Anforderungen an Informationssicherheit, Datenschutz und Cloud-Compliance – sowohl für interne Prozesse als auch für Kundendaten.

Neben den Zertifizierungen setzen wir bei BCS auf umfassende technische und organisatorische Schutzmaßnahmen. Dazu gehören:

Auch organisatorisch wird die Sicherheit durch Mitarbeiterschulungen, internes Auditwesen und klare Prozessdokumentationen gewährleistet. Die Rechenzentren befinden sich ausschließlich in Deutschland, sodass DSGVO-Konformität und BSI-Zertifizierung jederzeit gewährleistet sind.

Mit diesem Ansatz bietet Projektron mit BCS nicht nur ein sicheres Cloud-Produkt, sondern auch eine verlässliche Basis für die Projektarbeit im Gesundheitswesen. Krankenhäuser, Forschungseinrichtungen und Krankenkassen können sich auf eine transparente, nachvollziehbare und zukunftssichere Umgebung verlassen, die den Anforderungen von C5-Typ2, ISO 27001 und weiteren Compliance-Standards entspricht.

Die Informationssicherheit ist bei Projektron kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Mit der bestehenden ISO/IEC 27001-Zertifizierung, der vollständigen C5-Konformität und den geplanten Erweiterungen nach ISO/IEC 27017 und 27018 setzen wir auf ein ganzheitliches Sicherheits- und Compliance-Management. Mit der C5-Testierung werden wir das höchste Maß an Sicherheit für Cloud-Dienste im Gesundheitswesen erreichen.

Für die Kunden im Gesundheitswesen bietet dies klare Vorteile:

Zukunftssichere Compliance: Alle relevanten gesetzlichen und regulatorischen Anforderungen werden erfüllt.

BSI-konforme Cloud Security: Sicherheitsmaßnahmen sind nachweislich implementiert und wirksam.

Transparenz durch dokumentierte Prüfprozesse: Organisationen können Audits und interne Überprüfungen problemlos durchführen.

Vertrauen in einen deutschen Anbieter: Projektron verbindet Informationssicherheit und Datenschutz fest mit seiner Unternehmensphilosophie.

Die C5-Typ2-Pflicht hebt die Sicherheitsanforderungen für Cloud-Dienste im Gesundheitswesen auf ein neues Niveau. Wir möchten damit zeigen, dass sich Compliance, Datenschutz und Cloud-Sicherheit nicht nur erfüllen lassen, sondern aktiv in den täglichen Betrieb und die Softwareentwicklung integriert werden können. BCS wird so zu einer verlässlichen, sicheren und rechtskonformen Projektmanagement- und ERP-Lösung, die Krankenhäusern, Forschungsinstituten und Krankenkassen Vertrauen und Planbarkeit bietet.

Mit dieser Strategie setzt Projektron ein deutliches Zeichen: Informationssicherheit ist ein Qualitätsversprechen, das kontinuierlich gepflegt, geprüft und weiterentwickelt wird – und genau das brauchen Organisationen im Gesundheitswesen, um ihre digitale Transformation erfolgreich und sicher zu gestalten.

Die Einführung des C5-Typ2-Testats für Cloud-Dienste im Gesundheitswesen markiert einen entscheidenden Schritt hin zu mehr Sicherheit, Transparenz und Vertrauen in digitale Infrastrukturen. Mit Inkrafttreten der C5GleichwV sind Krankenhäuser, Forschungseinrichtungen und Krankenkassen gefordert, bei der Auswahl von Cloud-Diensten genau auf Compliance, Datenschutz und Informationssicherheit zu achten. Das Testat gewährleistet, dass Anbieter ihre Sicherheitsmaßnahmen nicht nur konzipieren, sondern diese auch nachweislich über einen längeren Zeitraum wirksam implementieren – eine essenzielle Grundlage für sensible medizinische Daten und interne Verwaltungsprozesse.

BCS von Projektron erfüllt bereits heute alle relevanten Anforderungen. Die ISO/IEC 27001:2022-Zertifizierung, die vollständige C5-Konformität und die geplanten Erweiterungen durch ISO/IEC 27017 und ISO/IEC 27018 schaffen ein umfassendes Sicherheits- und Compliance-Framework. Mit der geplanten C5-Testierung Typ 1 und Typ 2 bis 2026 wird BCS die höchste Sicherheitsebene erreichen und seinen Kundinnen und Kunden im Gesundheitswesen langfristige Rechts-, Audit- und Zukunftssicherheit bieten.

Besonders hervorzuheben sind die technischen und organisatorischen Maßnahmen, die Projektron implementiert: Verschlüsselung, Firewalls, rollenbasierte Zugriffskontrollen, Zwei-Faktor-Authentifizierung sowie Mitarbeiterschulungen, interne Audits und Notfallmanagement sorgen für maximale Sicherheit und Transparenz. Zusätzlich garantieren die Rechenzentren in Deutschland DSGVO-Konformität und BSI-Zertifizierung, sodass sensible Projektdaten jederzeit geschützt sind.

Für die Anwender im Gesundheitswesen bedeutet dies, dass sie sich auf eine verlässliche, transparente und standardisierte Cloud-Lösung verlassen können. BCS bietet nicht nur Sicherheit, sondern auch Vertrauen und legt damit den Grundstein für eine erfolgreiche digitale Transformation. Die C5-Typ2-Testierung, kombiniert mit den hohen ISO-Standards, macht BCS von Projektron zu einer strategischen Lösung für Projektmanagement, Forschung und Verwaltung im Gesundheitswesen, die alle gesetzlichen Anforderungen erfüllt und gleichzeitig zukunftssicher ist.