BSI überarbeitet Cloud-Sicherheitsstandard: : C5:2026 nimmt Post-Quanten-Kryptographie und Confidential Computing in den Fokus
Das Bundesamt für Sicherheit in der Informationstechnik hat seinen zentralen Kriterienkatalog für sicheres Cloud-Computing grundlegend überarbeitet. Erstmals werden Themen wie Post-Quanten-Kryptographie und Confidential Computing adressiert.
Das BSI hat am 7. April 2025 die neue Version seines Cloud Computing Compliance Criteria Catalogue (C5) veröffentlicht. Der Katalog gilt laut der Behörde als wichtigster deutscher Sicherheitsstandard für Cloud-Anbieter und deren Kunden. Er existiert seit 2016 und übersetzt Sicherheitsanforderungen an Cloud-Dienste in prüfbare Kriterien. Wirtschaftsprüferinnen und Wirtschaftsprüfer testieren nach erfolgreicher Prüfung, ob ein Anbieter die enthaltenen Kriterien erfüllt. Unternehmen und Behörden sollen so eine belastbare Grundlage für ihr Risikomanagement und die Auswahl von Cloud-Anbietern erhalten.
Neue Themenfelder: Von Post-Quanten-Kryptographie bis Container-Management
Der aktualisierte Katalog greift mehrere Technologiebereiche erstmals gezielt auf. Dazu gehören Container-Management, Post-Quanten-Kryptographie und Confidential Computing. Gleichzeitig wurden bereits bestehende Anforderungen an Mandantentrennung und Supply Chain Management verschärft. Die Behörde begründet die Überarbeitung mit technologischen Fortschritten und der veränderten Bedrohungslage der vergangenen Jahre.
BSI-Präsidentin Claudia Plattner erklärte, der aktualisierte C5 mache Sicherheitsversprechen von Cloud-Anbietern künftig besser vergleichbar und helfe Organisationen, fundierte Entscheidungen zu treffen. Sie bezeichnete den Standard als einen Baustein für die „Cybernation Deutschland“, der auch international auf Resonanz stoße.
Neue Struktur und maschinenlesbares Format
Neben den inhaltlichen Erweiterungen hat das BSI auch die Struktur des Katalogs überarbeitet. Laut BSI-Vizepräsident Thomas Caspers sorgen neu eingeführte Unterkriterien sowie verschärfende und ergänzende Zusatzkriterien für mehr Klarheit bei Prüfung, Zuordnung und Auswertung. Erstmals wird der Katalog zudem in einem maschinenlesbaren Format bereitgestellt – neben der englischsprachigen Version soll in Kürze auch eine deutsche Fassung folgen.
Caspers betonte, das maschinenlesbare Format erleichtere die Nutzung innerhalb von Governance-, Risiko- und Compliance-Prozessen. Der Katalog schaffe eine „gemeinsame, verlässliche Sprache“ dafür, wie Cloud-Sicherheit beschrieben, geprüft und bewertet werden könne.
Europäische und internationale Einbettung
Der C5:2026 orientiert sich inhaltlich und strukturell eng am europäischen Zertifizierungsschema EUCS. Darüber hinaus flossen die aktuellen Versionen weiterer Anforderungsdokumente ein: die CSA Cloud Controls Matrix in Version 4, der Standard ISO/IEC 27001:2022 sowie die europäische NIS-2-Richtlinie. Zusätzlich hatte das BSI über einen sogenannten Community Draft praktische Erfahrungen von Cloud-Anbietern, Prüfern sowie Beraterinnen und Beratern in die Neuauflage einbezogen.
Ergänzend zum C5:2026 will das BSI nach eigenen Angaben in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen. Diese sollen die im Katalog beschriebenen Sicherheitskriterien um eine weitere Dimension erweitern.