BSI C5-Basiskriterien Mapping

Cloud Computing Compliance Criteria Catalogue – EVB-IT Cloud Anlage

Die EVB-IT Cloud-AGB verpflichten zur Einhaltung der C5-Basiskriterien des BSI. Dieses Dokument zeigt die Umsetzung bei VoxDrop.

Domänen abgedeckt

Kriterien umgesetzt

100%

Basiskriterien

Jan 2026

Letzte Aktualisierung

Organisation der Informationssicherheit (OIS)

ID	Kriterium	Umsetzung bei VoxDrop	Evidenz	Status
OIS-01	Informationssicherheitsmanagementsystem	ISMS-Richtlinie, dokumentierte Prozesse, regelmäßige Reviews	ISMS-Policy, Risk Register	Umgesetzt
OIS-02	Sicherheitsorganisation	Definierte Rollen und Verantwortlichkeiten, Security Owner	Organigramm, Rollenbeschreibungen	Umgesetzt

Identitäts- und Berechtigungsmanagement (IDM)

ID	Kriterium	Umsetzung bei VoxDrop	Evidenz	Status
IDM-01	Benutzerregistrierung	E-Mail-Verifizierung, sichere Passwortrichtlinien	Auth-Logs, Registrierungsprozess	Umgesetzt
IDM-02	Zugriffsberechtigungen	RBAC (Role-Based Access Control), Least Privilege	Berechtigungsmatrix, Audit-Logs	Umgesetzt
IDM-03	Privilegierte Zugänge	MFA für Admin-Zugänge, separate Admin-Accounts	MFA-Konfiguration, Access-Logs	Umgesetzt

Kryptographie und Schlüsselmanagement (KRY)

ID	Kriterium	Umsetzung bei VoxDrop	Evidenz	Status
KRY-01	Verschlüsselung in Transit	TLS 1.3 für alle Verbindungen, HSTS	SSL-Zertifikate, TLS-Konfiguration	Umgesetzt
KRY-02	Verschlüsselung at Rest	AES-256 für gespeicherte Daten	Storage-Konfiguration	Umgesetzt

Protokollierung und Überwachung (LOG)

ID	Kriterium	Umsetzung bei VoxDrop	Evidenz	Status
LOG-01	Sicherheitsrelevante Protokollierung	Zentrale Logs für Auth, Access, Errors	Log-Policy, Log-Samples	Umgesetzt
LOG-02	Audit-Trails	Unveränderliche Audit-Logs, User-Aktionen	Audit-Log-Export	Umgesetzt
LOG-03	Monitoring und Alerting	Uptime-Monitoring, Error-Alerting	Monitoring-Dashboard	Umgesetzt

Datensicherung und Wiederherstellung (BCM)

ID	Kriterium	Umsetzung bei VoxDrop	Evidenz	Status
BCM-01	Backup-Strategie	Tägliche automatisierte Backups, geografisch getrennt	Backup-Reports, Retention-Policy	Umgesetzt
BCM-02	Wiederherstellungstests	Regelmäßige Restore-Tests	Restore-Protokolle	Umgesetzt

Schwachstellenmanagement (VUL)

ID	Kriterium	Umsetzung bei VoxDrop	Evidenz	Status
VUL-01	Schwachstellen-Scanning	Container-Scans, Dependency-Checks (npm audit)	Scan-Reports	Umgesetzt
VUL-02	Patch-Management	Regelmäßige Updates, kritische Patches < 48h	Update-Logs, Patch-Plan	Umgesetzt

Incident Management (INC)

ID	Kriterium	Umsetzung bei VoxDrop	Evidenz	Status
INC-01	Incident-Response-Plan	Dokumentierter IR-Plan, Eskalationspfade	IR-Runbook	Umgesetzt
INC-02	Meldewege	Definierte Kontakte, Meldefristen (72h DSGVO)	Kontaktliste, Prozessdoku	Umgesetzt

Lieferantenmanagement (SUP)

ID	Kriterium	Umsetzung bei VoxDrop	Evidenz	Status
SUP-01	Lieferantenbewertung	Sorgfältige Auswahl, Prüfung der Sicherheitsmaßnahmen	Vendor-Register, Due-Diligence-Checklisten	Umgesetzt
SUP-02	Vertragliche Regelungen	AVV mit allen Unterauftragnehmern	AVV-Dokumentation, Subunternehmer-Liste	Umgesetzt

Korrespondierende Kriterien für Kunden

Die C5-Systematik enthält auch Kriterien, die vom Kunden umzusetzen sind. Folgende Maßnahmen empfehlen wir unseren Auftraggebern:

Passwort-Richtlinie

Sichere Passwörter verwenden (min. 12 Zeichen, Komplexität)

MFA aktivieren

Zwei-Faktor-Authentifizierung für Admin-Accounts empfohlen

Berechtigungen prüfen

Regelmäßige Überprüfung der Nutzerberechtigungen

Offboarding

Accounts ehemaliger Mitarbeiter zeitnah deaktivieren

Retention-Einstellungen

Angemessene Löschfristen in der Admin-Konsole konfigurieren

Export-Kontrolle

Exportierte Daten sicher verwahren und bei Bedarf löschen

Prüfrechte und Nachweise

Gemäß EVB-IT Cloud-AGB haben Auftraggeber das Recht, die Einhaltung der Sicherheitsmaßnahmen zu prüfen. Wir stellen auf Anfrage folgende Nachweise bereit:

• Detaillierte Evidenz-Dokumentation zu einzelnen Kriterien
• Aktuelle Scan-/Audit-Reports
• Begehung / Remote-Audit nach Vereinbarung

Dokument-ID: C5-2026-001 | Stand: Januar 2026 | Nächste Aktualisierung: Q2/2026