BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit

Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen und erstmals expliziten Anforderungen an Container Management, Confidential Computing und Post-Quantum-Kryptografie setzt das Dokument den neuen Standard für die Sicherheitsbewertung von Cloud-Diensten in Europa.

Für Unternehmen, die Cloud-Dienste nutzen oder anbieten, ist der C5 kein optionales Gütesiegel — er ist der zentrale Referenzrahmen, an dem sich Auftraggeber, Aufsichtsbehörden und Versicherer orientieren.

Was ist der C5 — und warum jetzt ein Update?

Der Cloud Computing Compliance Criteria Catalogue (C5) definiert seit 2016 Mindestanforderungen an die Informationssicherheit von Cloud-Diensten. Er richtet sich an Cloud-Anbieter, die ihre Sicherheitsmaßnahmen durch eine unabhängige Prüfung (C5-Testat) nachweisen wollen — und an Organisationen, die Cloud-Dienste informiert auswählen möchten, statt auf Marketingversprechen zu vertrauen.

Der Vorgänger C5:2020 war sechs Jahre im Einsatz. In dieser Zeit haben sich Bedrohungslage, regulatorische Rahmenbedingungen und Cloud-Technologien grundlegend verändert. Der C5:2026 schließt diese Lücke — und tut das mit explizitem Blick auf die europäische Harmonisierung: Der C5:2020 diente als Basis für das geplante EUCS (European Cybersecurity Certification Scheme for Cloud Services) auf Substantial-Level. Die dort entwickelten Anforderungen fließen nun zurück in den C5:2026.

Die zentralen Neuerungen im C5:2026

Das BSI benennt die Key Changes explizit in der Einleitung des Katalogs:

Container Management (OPS-34, OPS-35): Komplett neue Kriterien für Container-Sicherheit. Angesichts der Tatsache, dass Container-basierte Deployments heute Standard in Cloud-Umgebungen sind, war das längst überfällig. Die Kriterien adressieren sowohl Policies als auch deren Implementierung.

Confidential Computing (OPS-32, OPS-33): Ebenfalls neu — Anforderungen an die Verarbeitung von Daten in geschützten Enclaves und Remote Attestation. Das ist technologisch bedeutsam: Confidential Computing ermöglicht es, Daten auch während der Verarbeitung kryptografisch zu schützen, nicht nur at rest und in transit.

Post-Quantum-Kryptografie (CRY-Bereich): Der C5:2026 adressiert die Vorbereitung auf quantenresistente Verschlüsselung. Das betrifft insbesondere das Cryptographic Change Management (CRY-02) und die Review of Cryptography Practices (CRY-03). Cloud-Anbieter müssen nachweisen, dass sie sich auf den Übergang zu Post-Quantum-Algorithmen vorbereiten.

Supply Chain Management (SSO-01 bis SSO-08): Der Bereich wurde auf acht Kriterien erweitert — deutlich umfangreicher als zuvor. Neue Anforderungen umfassen unter anderem das Führen eines Verzeichnisses aller Service-Organisationen (SSO-04), das Monitoring der Compliance (SSO-05), Vertragskündigungsstrategien (SSO-06) und die Steuerung von Lieferanten funktionaler Komponenten (SSO-08).

Multi-Tenancy und Souveränität: Detailliertere Behandlung von Datentrennung (OPS-30, OPS-31) und eine neue Systematik für Partitions, Regions und Zones, die Transparenz darüber schafft, wo Daten tatsächlich verarbeitet werden. Das BSI definiert diese Begriffe präzise — eine Partition umfasst Regions mit einheitlichem IAM, eine Region ist auf eine Metropolregion begrenzt, eine Zone besteht aus mindestens zwei physisch getrennten Standorten.

Strukturelle Überarbeitung: C5-Kriterien bestehen jetzt aus Sub-Kriterien, die inhaltlich klar voneinander abgegrenzt sind. Das ermöglicht präziseres Mapping auf Controls in den Kontrollsystemen der Cloud-Anbieter und schafft mehr Klarheit beim Audit. Zusätzlich werden Additional-Kriterien explizit als “additional sharpen” (verschärfen bestehende Basiskriterien) oder “additional complement” (ergänzen neue Anforderungen) klassifiziert.

Referenzstandards

Der C5:2026 basiert auf einer Reihe aktueller Standards und Regelwerke. Neben dem EUCS Substantial-Level wurden insbesondere die CSA Cloud Controls Matrix v4, die ISO/IEC 27001:2022 und die NIS-2-Richtlinie berücksichtigt. Zusätzlich floss praktische Erfahrung von Cloud-Anbietern, Prüfern und Beratern in die Revision ein.

Warum der C5 für Cloud-Kunden relevant ist

Ein verbreitetes Missverständnis: Der C5 richtet sich nur an Cloud-Anbieter. In der Praxis ist er mindestens ebenso relevant für Organisationen, die Cloud-Dienste nutzen — also für praktisch jedes Unternehmen.

Der C5 bietet Cloud-Kunden einen strukturierten Rahmen, um die Sicherheit ihrer Anbieter zu bewerten. Statt sich auf Hochglanzbroschüren und ISO-27001-Zertifikate zu verlassen, können Unternehmen anhand des C5-Testats nachvollziehen, welche konkreten Sicherheitsmaßnahmen ein Anbieter implementiert hat — und wo es Abweichungen oder Einschränkungen gibt.

Für NIS2-pflichtige Unternehmen wird das besonders relevant: Die Richtlinie verlangt Risikomanagementmaßnahmen für die gesamte Lieferkette. Wer Cloud-Dienste ohne belastbare Sicherheitsbewertung einsetzt, wird Schwierigkeiten haben, seine Sorgfaltspflichten nachzuweisen. Ein aktuelles C5-Testat des Anbieters ist hier ein konkreter, dokumentierbarer Nachweis.

C5 im regulatorischen Kontext

Der C5:2026 steht nicht isoliert. Er ist Teil eines zunehmend dichten Netzes europäischer Cybersicherheitsregulierung:

NIS-2: Verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zu Risikomanagement — einschließlich Lieferkettensicherheit (Art. 21 Abs. 2 lit. d). Der C5 liefert den Bewertungsrahmen für Cloud-Anbieter in dieser Kette.

DORA: Der Digital Operational Resilience Act adressiert den Finanzsektor und stellt spezifische Anforderungen an IKT-Drittdienstleister. Der C5 ist ein anerkannter Rahmen für deren Bewertung.

Cyber Resilience Act (CRA): Reguliert die Sicherheit von Produkten mit digitalen Elementen. Für Cloud-basierte Software sind C5 und CRA komplementär: Der CRA adressiert das Produkt, der C5 den Betrieb.

EUCS: Das geplante European Cybersecurity Certification Scheme for Cloud Services baut direkt auf dem C5 auf. Der C5:2026 wurde explizit so gestaltet, dass er mit dem EUCS Substantial-Level kompatibel ist. Wer heute ein C5-Testat hat, ist für EUCS vorbereitet.

Handlungsempfehlungen

Für Cloud-Kunden: Fordern Sie von Ihren Cloud-Anbietern ein aktuelles C5-Testat (Typ 2) an. Integrieren Sie die C5-Anforderungen in Ihre Beschaffungskriterien und Ihre NIS-2-Dokumentation. Achten Sie insbesondere auf die neuen Supply-Chain-Kriterien: Fragen Sie Ihren Anbieter, wie er seine eigenen Zulieferer überwacht (SSO-05) und ob er ein Verzeichnis seiner Service-Organisationen führt (SSO-04).

Für Cloud-Anbieter: Beginnen Sie jetzt mit der Gap-Analyse gegen den C5:2026. Die komplett neuen Bereiche Container Management und Confidential Computing erfordern möglicherweise sowohl technische als auch prozessuale Anpassungen. Prüfen Sie außerdem Ihre Krypto-Strategie: Post-Quantum-Readiness ist keine Zukunftsmusik mehr, sondern Prüfgegenstand.

Für KRITIS-Betreiber: Der C5 ist für Sie nicht optional. § 8a BSIG verlangt angemessene technische und organisatorische Maßnahmen. Ein C5-Testat Ihrer Cloud-Anbieter ist ein zentraler Baustein in Ihrem Nachweiskonzept — und mit dem C5:2026 jetzt deutlich aussagekräftiger als zuvor.