Cloud Computing ist essenziell für die Digitalisierung von Wirtschaft, Verwaltung und Gesellschaft. Um die Potenziale dieser Technik sicher nutzen zu können, bedarf es industrietauglicher Sicherheitsstandards. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem Cloud Computing Compliance Criteria Catalogue (C5) seit 2016 den deutschlandweit wichtigsten Sicherheitsstandard für Cloud-Anbieter und -Nutzer bereit – dieser liegt nun in einer neuen Version (C5:2026) vor.

C5:2026 übersetzt komplexe Sicherheitsanforderungen an zukunftsfähige Cloud-Dienste in prüfbare Kriterien und bietet nicht nur Unternehmen und Behörden belastbare Informationen für das eigene Risikomanagement, sondern marktübergreifend Transparenz und Orientierung bei der Auswahl von Cloud-Anbietern. Prüfungen nach C5 werden von Wirtschaftsprüferinnen und -prüfern durchgeführt, die nach erfolgreicher Prüfung testieren, dass ein Cloud-Anbieter die im C5 enthaltenen Sicherheitskriterien erfüllt.

Gleichzeitig trägt der neue C5 den Entwicklungen der vergangenen Jahre Rechnung: Der Kriterienkatalog wurde mit Blick auf technische Fortschritte und die aktuelle Bedrohungslage weiterentwickelt: Themen wie Container-Management, Post-Quanten-Kryptographie und Confidential Computing werden im C5 der neuen Generation erstmals dezidiert aufgegriffen, während bestehende Themen wie Mandantentrennung und Supply Chain Management noch gezielter als zuvor adressiert werden.

BSI-Präsidentin Claudia Plattner: „Mit dem C5:2026 haben wir die nächste Generation unseres etablierten Kriterienkatalogs für sicheres Cloud Computing veröffentlicht. Als Cybersicherheitsbehörde Deutschlands schaffen wir damit einen zeitgemäßen, praxistauglichen Maßstab für alle, die Cloud-Dienste nutzen, prüfen, anbieten oder beschaffen. Der aktualisierte C5 setzt die Wirkmacht seiner Vorgänger fort, indem er Sicherheitsversprechen von Cloud-Anbietern künftig noch besser vergleichbar macht und Unternehmen, Behörden und Organisationen hilft, fundierte Entscheidungen zu treffen. Mit dem C5:2026 unterstreichen wir unseren Anspruch, Cybersicherheit und Digitalisierung als Einheit zu denken: Er ist ein wichtiger Baustein für die Cybernation Deutschland, der auch international auf eine breite Resonanz stößt.“

BSI-Vizepräsident Thomas Caspers: „Der C5:2026 bringt nicht nur mehr Sicherheit, sondern hebt auch die Nutzerfreundlichkeit auf ein neues Level: Die überarbeitete Struktur mit Unterkriterien und verschärfenden bzw. ergänzenden Zusatzkriterien sorgt für mehr Klarheit bei Prüfung, Zuordnung und Auswertung. Zudem wird der Katalog nicht nur in englischer und in Kürze auch in deutscher Sprache, sondern erstmals auch in einem maschinenlesbaren Format bereitgestellt. Dies erleichtert seine Nutzung innerhalb Governance-, Risiko- und Compliance-Prozessen, indem er eine gemeinsame, verlässliche Sprache dafür schafft, wie Cloud-Sicherheit beschrieben, geprüft und bewertet werden kann.“

Der C5:2026 ist inhaltlich und strukturell eng an den Ergebnissen aus den Arbeiten am europäischen Zertifizierungsschema EUCS angelehnt. Darüber hinaus wurden bei der Erstellung des C5:2026 die aktuellen Versionen weiterer relevanter Anforderungsdokumente wie die CSA Cloud Controls Matrix Version 4, ISO/IEC 27001:2022 und die NIS2-Direktive berücksichtigt. In die Neuauflage des C5 hatte das BSI zudem über einen Community Draft die praktischen Erfahrungen von Cloud-Anbietern, -Prüfern sowie -Beraterinnen und -Beratern einfließen lassen.

Ergänzend zu den im C5 beschriebenen Sicherheitskriterien für Cloud-Dienste wird das BSI in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen.