C5:2026: BSI verschärft Cloud-Anforderungen auf 168 Kriterien

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die finale Version des Cloud Computing Compliance Criteria Catalogue veröffentlicht. C5:2026 ersetzt den bisherigen Standard und stellt mit 168 Kriterien neue Anforderungen an Cloud-Dienste.

Die im März finalisierte und Anfang April veröffentlichte Version ist die zweite große inhaltliche Überarbeitung seit Einführung des Standards 2016. Sie adressiert vor allem die rasanten technologischen Entwicklungen der vergangenen Jahre – von Künstlicher Intelligenz über Container-Technologien bis hin zur Post-Quanten-Kryptografie.

Angesichts der rasanten technologischen Entwicklungen und der neuen BSI-Anforderungen stehen viele Betriebe vor der Herausforderung, den Überblick über ihre IT-Sicherheit zu behalten. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken jetzt verstehen

Neuer Rahmen für die „Cybernation"

Als zentraler Baustein der deutschen „Cybernation"-Strategie soll C5:2026 einen prüfbaren Rahmen schaffen, der komplexe Sicherheitsanforderungen in transparente Kriterien übersetzt. Für Cloud-Anbieter und ihre Kunden dient der Katalog als Benchmark für Risikomanagement und Auswahlprozesse.

Besonders wichtig: Das BSI hat den neuen Standard eng mit dem europäischen Cloud-Sicherheitszertifizierungsschema EUCS verzahnt. Die Anforderungen der EUCS-Vertrauensstufe „Substantial" wurden integriert, um eine hohe Kompatibilität im europäischen Markt zu gewährleisten.

Von 121 auf 168 Kriterien

Der Katalog ist deutlich umfangreicher geworden. Während die Version von 2020 noch 121 Kriterien umfasste, sind es nun 168. Diese sind in ein feineres System von Unterkriterien gegliedert, das Prüfern eine präzisere Bewertung ermöglicht.

Erstmals unterscheidet das BSI zwischen „Basis"-Anforderungen und „Zusätzlichen" Anforderungen. Letztere teilen sich auf in „additional sharpen" – verschärfte Versionen bestehender Regeln – und „additional complement", die völlig neue Anforderungsbereiche abdecken.

Ein Novum: Die Maschinenlesbarkeit. Neben PDF und Excel gibt es C5:2026 erstmals als YAML-Dateien. Das soll die Automatisierung von Compliance-Überwachungen und die Integration in DevOps-Pipelines ermöglichen – ein Schritt in Richtung „Compliance as Code".

Künstliche Intelligenz und Quanten-Sicherheit

Die inhaltlichen Neuerungen spiegeln die technologische Dynamik der Zeit wider:

• Künstliche Intelligenz: Neue Kriterien für Sicherheit und Governance von KI-Lösungen, darunter Anforderungen an Modelldokumentation, Datenherkunft und Risikoprotokolle – abgestimmt auf den EU AI Act.
• Post-Quanten-Kryptografie: Angesichts der theoretischen Risiken für aktuelle Verschlüsselungsverfahren durch zukünftige Quantencomputer werden Kriterien für die Umstellung auf quantenresistente Algorithmen eingeführt.
• Container-Management: Dedizierte Anforderungen für die Sicherheit von Containern und Orchestrierungsplattformen.
• Confidential Computing: Schutz von Daten während der Verarbeitung durch hardwarebasierte Umgebungen.
• Lieferketten-Risikomanagement: Verschärfte Regeln für Subunternehmer und Drittanbieter, basierend auf den Erfahrungen mit spektakulären Software-Lieferkettenangriffen.

Übergangsfrist bis Juni 2027

Das BSI hat eine klare Übergangsphase festgelegt. Die C5:2026-Kriterien werden für alle Prüfungen verbindlich, deren angegebener Zeitraum oder Stichtag am oder nach dem 1. Juni 2027 beginnt.

Wichtig: Ein „Mischen" von Kriterien beider Versionen in einem Prüfbericht ist nicht erlaubt. Anbieter, die frühzeitig konform sein wollen, können die neuen Kriterien sofort anwenden. Für Typ-2-Berichte, die die Wirksamkeit von Kontrollen über einen Zeitraum bewerten, müssen Prüfungszeiträume, die am oder nach dem 28. Februar 2027 enden, eine Systembeschreibung mit dem Umsetzungsstand der neuen Anforderungen enthalten.

Die Qualifikation der Prüfer wurde ebenfalls streng definiert. Sie benötigen entweder drei Jahre Berufserfahrung in der IT-Prüfung oder anerkannte Zertifikate wie CISA, CISM oder spezielle Nachweise der Cloud Security Alliance.

Marktauswirkungen und regulatorischer Kontext

Die Veröffentlichung von C5:2026 ist eng mit der europäischen Regulierungslandschaft verbunden, insbesondere der NIS2-Richtlinie und dem deutschen Digitalgesetz (DigiG). Im Gesundheitswesen ist die Einhaltung der BSI-C5-Anforderungen seit Juli 2025 verpflichtend für jede cloudbasierte Verarbeitung von Patientendaten.

Branchenbeobachter gehen davon aus, dass C5:2026 für mehrere Jahre der De-facto-Marktstandard für Cloud-Sicherheit in Europa bleiben wird – zumal die vollständige Umsetzung des EUCS noch nicht abgeschlossen ist. Durch die Integration der aktuellen ISO/IEC 27001:2022 und der Cloud Controls Matrix v4 der Cloud Security Alliance bildet ein C5-Audit eine solide Grundlage für den Nachweis der Konformität mit mehreren internationalen Rahmenwerken gleichzeitig.

Ausblick: Datensouveränität als nächstes Thema

Während C5:2026 sich auf technische und verfahrenstechnische Sicherheit konzentriert, hat das BSI angekündigt, das Thema Datensouveränität in einem separaten, ergänzenden Katalog zu behandeln. Dieser „Souveränitätskriterien"-Katalog soll die bereits vorhandenen Anforderungen zur „Technischen Dienstsouveränität" erweitern und die Unabhängigkeit von Cloud-Diensten von nicht-europäischen Rechtsordnungen adressieren.

Für die zweite Jahreshälfte 2026 wird die Branche sich auf Gap-Analysen und die Umstrukturierung der Dokumentation konzentrieren. Anbieter, die frühzeitig eine Zertifizierung nach C5:2026 erreichen, dürften sich einen erheblichen Wettbewerbsvorteil in sicherheitskritischen Märkten wie der öffentlichen Verwaltung, der Finanzbranche und der Kritischen Infrastruktur (KRITIS) verschaffen.

de | wirtschaft | 69415873 |