Sicheres Cloud-Computing: BSI veröffentlicht C5:2026
16.04.2026Cloud Computing ist essenziell für die Digitalisierung von Wirtschaft, Verwaltung und Gesellschaft. Um die Potenziale dieser Technologie sicher nutzen zu können, bedarf es industrietauglicher Sicherheitsstandards. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem Cloud Computing Compliance Criteria Catalogue (C5) seit 2016 den deutschlandweit wichtigsten Sicherheitsstandard für Cloud-Anbieter und -Nutzer bereit – dieser liegt nun in einer neuen Version (C5:2026) vor.
Mit dem neuen C5:2026 sollen Unternehmen Cloud-Dienste informiert auswählen können.
Bild: Clipdealer
C5:2026 übersetzt komplexe Sicherheitsanforderungen an zukunftsfähige Cloud-Dienste in prüfbare Kriterien und bietet nicht nur Unternehmen und Behörden belastbare Informationen für das eigene Risikomanagement, sondern marktübergreifend Transparenz und Orientierung bei der Auswahl von Cloud-Anbietern. Prüfungen nach C5 werden von Wirtschaftsprüferinnen und -prüfern durchgeführt, die nach erfolgreicher Prüfung testieren, dass ein Cloud-Anbieter die im C5 enthaltenen Sicherheitskriterien erfüllt.
Fundierte Entscheidungen treffen
Gleichzeitig trägt der neue C5 den Entwicklungen der vergangenen Jahre Rechnung: Der Kriterienkatalog wurde mit Blick auf technologische Fortschritte und die aktuelle Bedrohungslage weiterentwickelt: Themen wie Container-Management, Post-Quanten-Kryptographie und Confidential Computing werden im C5 der neuen Generation erstmals dezidiert aufgegriffen, während bestehende Themen wie Mandantentrennung und Supply Chain Management noch gezielter als zuvor adressiert werden.
BSI-Präsidentin Claudia Plattner: „Der aktualisierte C5 setzt die Wirkmacht seiner Vorgänger fort, indem er Sicherheitsversprechen von Cloud-Anbietern künftig noch besser vergleichbar macht und Unternehmen, Behörden und Organisationen hilft, fundierte Entscheidungen zu treffen. Mit dem C5:2026 unterstreichen wir unseren Anspruch, Cybersicherheit und Digitalisierung als Einheit zu denken: Er ist ein wichtiger Baustein für die Cybernation Deutschland, der auch international auf eine breite Resonanz stößt.“
Anlehnung an Zertifizierungsschema EUCS
BSI-Vizepräsident Thomas Caspers: „Der C5:2026 bringt nicht nur mehr Sicherheit, sondern hebt auch die Nutzerfreundlichkeit auf ein neues Level: Die überarbeitete Struktur mit Unterkriterien und verschärfenden bzw. ergänzenden Zusatzkriterien sorgt für mehr Klarheit bei Prüfung, Zuordnung und Auswertung. Zudem wird der Katalog nicht nur in englischer und in Kürze auch in deutscher Sprache, sondern erstmals auch in einem maschinenlesbaren Format bereitgestellt. Dies erleichtert seine Nutzung innerhalb Governance-, Risiko- und Compliance-Prozessen, indem er eine gemeinsame, verlässliche Sprache dafür schafft, wie Cloud-Sicherheit beschrieben, geprüft und bewertet werden kann.“
Der C5:2026 ist inhaltlich und strukturell eng an den Ergebnissen aus den Arbeiten am europäischen Zertifizierungsschema EUCS angelehnt. Darüber hinaus wurden bei der Erstellung des C5:2026 die aktuellen Versionen weiterer relevanter Anforderungsdokumente wie die CSA Cloud Controls Matrix Version 4, ISO/IEC 27001:2022 und die NIS-2-Direktive berücksichtigt. In die Neuauflage des C5 hatte das BSI zudem über einen Community Draft die praktischen Erfahrungen von Cloud-Anbietern, -Prüfern sowie -Beraterinnen und -Beratern einfließen lassen.
Der C5:2026 finden Sie auf der Webseite des BSI. Neben den bekannten Veröffentlichungsformaten als PDF- und Excel-Datei, erscheint der C5:2026 erstmalig in maschinenlesbarer Form als YAML-Dateien. Aufgrund der internationalen Verbreitung des Kriterienkatalogs erfolgt die Publikation zunächst in englischer Sprache. Eine deutsche Übersetzung folgt zeitnah.
