BSI veröffentlicht C5:2026 – Deutschlands neuer Cloud-Sicherheitsstandard

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die finale Fassung des Cloud Computing Compliance Criteria Catalogue (C5:2026) veröffentlicht. Diese erste große Überarbeitung seit 2020 reagiert auf die rasanten technologischen und regulatorischen Veränderungen in der EU. Der neue Katalog soll deutsche und europäische Vorgaben harmonisieren und strenge Kontrollen für Zukunftstechnologien etablieren. In einer Zeit, in der die Cloud das Rückgrat der digitalen Transformation ist, setzt das BSI damit einen transparenten und prüfbaren Maßstab für mehr Vertrauen zwischen Anbietern, Kunden und Aufsichtsbehörden.

Während neue Standards wie C5:2026 die Cloud-Sicherheit definieren, rücken auch neue gesetzliche Anforderungen wie der EU AI Act in den Fokus von Unternehmen. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

Quantencomputer und Container: Antworten auf neue Bedrohungen

Der Schritt von C5:2020 zur 2026er-Ausgabe ist eine strategische Reaktion auf die sich wandelnde Bedrohungslage. Eine der prominentesten Neuerungen sind Kriterien für Post-Quanten-Kryptographie. Angesichts der Befürchtung, dass Quantencomputer künftig klassische Verschlüsselung knacken könnten, müssen Cloud-Anbieter nun ihre Bereitschaft für quantenresistente Algorithmen nachweisen. Diese Maßnahme steht im Einklang mit nationalen und internationalen Bestrebungen, sensible Daten langfristig zu schützen.

Darüber hinaus führt das Framework spezifische Kontrollen für Container-Management und Confidential Computing ein. Da Unternehmen zunehmend von klassischen Virtual Machines zu Microservices und containerisierten Umgebungen wechseln, wurde der Bedarf an standardisierter Sicherheit für Orchestrierung und Laufzeitumgebungen priorisiert. Die Kriterien für Confidential Computing sind besonders bemerkenswert: Sie adressieren die wachsende Nachfrage, sensible Daten in isolierten Hardware-Umgebungen zu verarbeiten, auf die nicht einmal der Cloud-Anbieter zugreifen kann.

Auch bestehende Bereiche wurden verschärft, etwa die Anforderungen an das Supply-Chain-Management und die Trennung von Mandantendaten. Diese Updates sollen eine detailliertere Überwachung des komplexen Geflechts aus Subunternehmern und Drittanbieter-Software ermöglichen, auf das moderne Cloud-Dienste angewiesen sind. Branchenanalysten halten C5:2026 damit für eines der technologisch fortschrittlichsten Cloud-Sicherheits-Frameworks weltweit.

Brückenschlag zu EU-Standards und NIS2-Compliance

Ein zentrales Ziel des Updates ist die nahtlose Anbindung an den europäischen Cybersicherheitsraum. Das BSI hat den Katalog so strukturiert, dass er mit dem Europäischen Cloud-Zertifizierungsschema (EUCS) kompatibel ist, insbesondere auf der „substantial“-Stufe. Diese nationale Umsetzung europäischer Ambitionen soll den Compliance-Aufwand für Cloud-Anbieter, die in mehreren EU-Mitgliedstaaten aktiv sind, erheblich reduzieren.

Der überarbeitete Katalog wird zudem zu einem zentralen Werkzeug für Organisationen, die sich mit der komplexen NIS2-Richtlinie auseinandersetzen müssen. Da die Richtlinie strengere Cybersicherheitspflichten für eine breitere Palette von Unternehmen vorschreibt, dient C5:2026 als überprüfbarer Benchmark zur Erfüllung dieser Erwartungen. Das Framework ist zudem auf internationale Standards wie ISO/IEC 27001:2022 abgestimmt. Diese Synchronisierung macht eine C5-Bescheinigung zu einem wertvollen Gut für globale Anbieter. Compliance-Experten sehen darin einen klaren Wettbewerbsvorteil: Ein einziger, rigoroser Audit kann die Einhaltung einer Vielzahl rechtlicher und branchenspezifischer Anforderungen nachweisen.

Die zunehmende Vernetzung und neue Regularien wie NIS2 fordern Unternehmen heraus, ihre IT-Infrastruktur ohne explodierende Kosten abzusichern. Erfahren Sie in diesem Gratis-E-Book, wie Sie Sicherheitslücken proaktiv schließen und gleichzeitig neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. IT-Sicherheit ohne teure Investitionen stärken

Strukturreform für bessere Prüfbarkeit

Neben technischen Neuerungen hat das BSI den Katalog strukturell grundlegend überarbeitet. Die Kriterien sind nun in klare Unterkriterien gegliedert. Dieser granulare Ansatz soll den Audit-Prozess beschleunigen, indem er Prüfern eine klarere Bewertung spezifischer Maßnahmen ermöglicht und Kunden detailliertere Berichte für ihr Risikomanagement liefert.

Ein Schlüsselelement der neuen Struktur ist die Klassifizierung von Zusatzkriterien in zwei Kategorien: „Additional Sharpen“ und „Additional Complement“. Erstere ersetzen Grundanforderungen durch strengere Versionen für Hochsicherheitsumgebungen. Letztere führen komplett neue Anforderungen für spezielle Use-Cases oder Technologien ein. Diese Modularität macht C5:2026 flexibel – anwendbar sowohl für Standard-Cloud-Anwendungen als auch für hochsensible Workloads von Regierung oder kritischer Infrastruktur.

Das BSI betont, dass trotz der umfassenden Evolution die Grundlagen der Version 2020 erhalten bleiben. Das Amt hat Feedback aus einer öffentlichen Konsultationsphase eingearbeitet, um sicherzustellen, dass die Kriterien nicht nur technisch robust, sondern auch für Anbieter jeder Größe praktisch umsetzbar sind.

Marktimpact: Vom Sicherheitsstandard zum geschäftlichen Muss

Die Veröffentlichung von C5:2026 ist ein Eckpfeiler der Initiative „Cybernation Germany“. Indem es eine hohe, aber erreichbare Latte für Cloud-Sicherheit setzt, will das BSI ein Umfeld schaffen, in dem digitale Souveränität und Innovation koexistieren können. Für den Unternehmenssektor dürfte der neue Standard de facto zur Voraussetzung für Geschäfte in Deutschland werden, besonders in regulierten Branchen wie Finanzen, Gesundheitswesen und Energie. Viele Unternehmen betrachten eine C5-Bescheinigung bereits heute als nicht verhandelbaren Faktor bei der Anbieterauswahl.

Analysten erwarten, dass globale Cloud-Giganten wie AWS, Microsoft Azure und Google Cloud zügig ihre Bescheinigungen auf den Standard 2026 aktualisieren werden. Diese proaktive Compliance ist essenziell, um den Markzugang in Deutschland zu behalten und Kunden zu unterstützen, die ihre Cloud-Wahl vor nationalen Aufsichtsbehörden rechtfertigen müssen. Die Stärke des Frameworks bleibt seine Transparenz – es bietet eine „gemeinsame Sprache“ für Cloud-Sicherheit, die Mehrdeutigkeit in Service-Level-Agreements und Risikobewertungen reduziert.

Ausblick: Der nächste Schritt heißt „Souveränität“

Nach der Veröffentlichung von C5:2026 kündigt das BSI bereits die nächsten Schritte an: In den kommenden Monaten sollen allgemeine Souveränitätskriterien für Cloud-Lösungen folgen. Diese werden voraussichtlich rechtliche und politische Aspekte der Datenkontrolle adressieren und damit den technisch-operativen Fokus des C5-Katalogs ergänzen.

Für Cloud-Anbieter und ihre Prüfer beginnt nun eine Übergangsphase. Bestehende C5:2020-Bescheinigungen bleiben voraussichtlich noch eine gewisse Zeit gültig, um die Implementierung der neuen Kontrollen zu ermöglichen. Dennoch raten Experten Unternehmen, umgehend mit Gap-Analysen zu beginnen – insbesondere im Hinblick auf die neuen Anforderungen an Container-Sicherheit und Post-Quanten-Vorsorge.

Mit diesem Schritt festigt Deutschland seine Rolle als Vorreiter in der Cybersicherheits-Regulierung. C5:2026 schlägt die Brücke zwischen nationalen Bedürfnissen und europäischen Standards und bietet so einen stabilen Rahmen für die nächste Phase des Cloud-native-Wachstums. Sicherheit bleibt damit das fundamentale Versprechen der digitalen Dekade.

de | boerse | 69118084 |