BSI C5:2026: Warum die Personalsicherheit (HR-01) zum kritischen Erfolgsfaktor für Cloud-Auditierungen wird
Im April 2026 wurde der neue C5-Standard veröffentlicht. Er verschärft die Anforderungen an die Integritätsprüfung von internen und externen Mitarbeitenden massiv.

04. Mai 2026, 11:45 Uhr · Quelle: Pressebox

Foto: Pressebox

Das zentrale Kriterium für Background Checks ist HR-01 (Verification of Qualification and Trustworthiness). Es verlangt vom Cloud-Anbieter eine Verifikation der Kompetenz und Integrität vor der Einstellung.Konkrete Maßnahmen wie Identitätsprüfung, CV-Veri

Die BSI C5:2026 verpflichtet Cloud-Anbieter zu intensiven HR-Überprüfungen für Audits.

Frankfurt, 04.05.2026 (PresseBox) - Cloud-Anbieter investieren traditionell erhebliche Ressourcen in technische Kontrollbereiche wie Verschlüsselung, Netzwerksicherheit und Logging. Doch mit der Veröffentlichung des BSI C5:2026 am 7. April 2026 rückt ein oft unterschätzter Bereich in das Visier der Auditoren: Die Personalsicherheit (HR). Während technische Hürden meist sauber dokumentiert sind, offenbart der Kontrollbereich 5.3 (Personnel) in der Praxis häufig einen „blinden Fleck“. Oft fehlen strukturierte Pre-Employment-Checks oder eine lückenlose Dokumentation, was im Audit für ein Typ-2-Testat zu kritischen Abweichungen führt.

Der C5:2026 strukturiert den Bereich HR in acht spezifische Kriterien. Das Herzstück bildet dabei HR-01: „Verification of Qualification and Trustworthiness“. Cloud-Anbieter sind nun verpflichtet, für alle Rollen in der Produktionsumgebung – sowohl für internes Personal als auch für externe Dienstleister und Subunternehmer – die Integrität und Kompetenz vor Aufnahme der Tätigkeit nachzuweisen. Die geforderten Maßnahmen sind konkret: Identitätsprüfung, CV-Verifikation, Prüfung akademischer Grade sowie polizeiliche Führungszeugnisse. In sicherheitssensiblen Positionen kommt zudem die Bewertung der Erpressbarkeit, etwa durch Bonitätsprüfungen, hinzu.

Besonders anspruchsvoll ist das Zusatzkriterium HR-01.01AC, welches für erhöhten Schutzbedarf eine mindestens jährliche Wiederholung der Überprüfungen verlangt. Dies umfasst Sanktionslistenprüfungen und die Neubewertung von Integritätsmerkmalen. Das BSI hält hierbei explizit fest, dass die Durchführung dieser komplexen Prüfprozesse durch spezialisierte Dienstleister unterstützt werden kann.

Die Relevanz ist hoch: Gesetzliche Anforderungen wie das DigiG im Gesundheitswesen, DORA im Finanzsektor oder die NIS2-Richtlinie machen das C5-Testat oft zur unverzichtbaren Voraussetzung für die Marktteilnahme. Unternehmen wie die Validato AG bieten hierfür spezialisierte digitale Lösungen an, um diese Anforderungen DSGVO-konform, skalierbar und vor allem auditfähig umzusetzen.

Sicherheit / BSI C5:2026 / Personalsicherheit / Cloud-Audits / Compliance / Datenschutz / HR-Überprüfungen
[pressebox.de] · 04.05.2026 · 11:45 Uhr
[0 Kommentare]