BSI C5:2026 ist das! Mit dem BSI C5:2026 hat das Bundesamt für Sicherheit in der Informationstechnik die nächste Generation seines Kriterienkatalogs für sicheres Cloud-Computing veröffentlicht. Die Neuauflage löst die Version C5:2020 ab, integriert aktuelle Bedrohungen wie Post-Quanten-Risiken und schafft eine engere Anbindung an das europäische Zertifizierungsschema EUCS. Für regulierte Branchen verschiebt sich damit die Messlatte für sichere Cloud-Dienste spürbar.
Was der BSI C5:2026 leistet
Der Cloud Computing Compliance Criteria Catalogue ist seit 2016 der deutschlandweit wichtigste Sicherheitsstandard für Cloud-Anbieter und Cloud-Nutzer. Er übersetzt komplexe Sicherheitsanforderungen in prüfbare Kriterien und schafft damit Vergleichbarkeit zwischen Anbietern. Prüfungen nach C5 werden von Wirtschaftsprüferinnen und Wirtschaftsprüfern durchgeführt, die nach erfolgreicher Prüfung testieren, dass ein Cloud-Anbieter die definierten Sicherheitskriterien erfüllt.
Mit der Veröffentlichung des BSI C5:2026 trägt die Behörde den technologischen Entwicklungen der vergangenen Jahre Rechnung. Inhaltlich und strukturell orientiert sich der Katalog eng an den Arbeiten zum europäischen Zertifizierungsschema EUCS und kann in Teilen als dessen deutsche Interpretation gelesen werden. Berücksichtigt wurden zudem die aktuellen Versionen der CSA Cloud Controls Matrix v4, der ISO/IEC 27001:2022 und der NIS2-Direktive.
Neue Themen im Kriterienkatalog
Drei Themenbereiche werden im BSI C5:2026 erstmals dezidiert aufgegriffen. Container-Management erhält wesentlich genauere Vorgaben als in der Vorgängerversion und reagiert damit auf eine Technologie, die in modernen Cloud-Architekturen längst Standard ist. Confidential Computing wird als eigenständiger Themenbereich verankert und schließt eine Lücke, die in bisherigen Prüfkatalogen kaum greifbar gemacht wurde.
Besondere Aufmerksamkeit verdient die Aufnahme der Post-Quanten-Kryptographie. Kapitel 5.8 enthält umfangreiche Vorgaben zur wirksamen Verschlüsselung, darunter den Einsatz von Hybridverfahren, mit denen absehbar zu schwache Algorithmen gehärtet werden sollen. Damit reagiert das BSI auf eine Entwicklung, die für viele Cloud-Anbieter erst in den kommenden Jahren operativ relevant wird, deren Vorbereitung jedoch bereits heute beginnen muss.
Bestehende Themen wurden geschärft. Mandantentrennung und Supply Chain Management werden gezielter adressiert als zuvor. Auch klassische Bereiche wie die Absicherung der Kundendaten und das Vorfallmanagement bleiben fester Bestandteil des Katalogs.
Strukturelle Neuerungen und Maschinenlesbarkeit
Strukturell wurde der Katalog deutlich überarbeitet. C5-Kriterien bestehen nun aus voneinander abgegrenzten Unterkriterien. Zusatzkriterien werden klassifiziert danach, ob sie bestehende Basiskriterien durch strengere Anforderungen verschärfen oder durch neue Anforderungen ergänzen. Diese Differenzierung soll Prüfung, Zuordnung und Auswertung erleichtern.
Eine wichtige Neuerung folgt in Kürze: Der Katalog wird erstmals auch in einem maschinenlesbaren Format bereitgestellt, geplant sind YAML, XLSX und PDF in deutscher und englischer Sprache. Diese Bereitstellung erleichtert die Nutzung in Governance-, Risiko- und Compliance-Prozessen und schafft eine gemeinsame Sprache dafür, wie Cloud-Sicherheit beschrieben, geprüft und bewertet werden kann. Für die Automatisierung von Prüfprozessen und die Integration in bestehende Compliance-Plattformen ist das ein zentraler Schritt.
Bedeutung für regulierte Branchen
Für viele Sektoren ist ein C5-Testat kaum eine freiwillige Auszeichnung, sondern faktische Marktzugangsvoraussetzung. Im digitalen Gesundheitswesen wird seit Juli 2025 ein Typ-2-Testat verlangt, sobald Patientendaten in einer Cloud verarbeitet werden. Auch im Bankensektor, bei digitalen Finanzdienstleistungen und bei staatlichen Stellen gilt der C5 vielfach als maßgeblicher Standard.
Der Aufwand einer offiziellen Testierung bleibt hoch. Die Prüfung ist umfangreich, kostenintensiv und damit insbesondere für etablierte Anbieter stemmbar. Für kleinere und mittlere Cloud-Anbieter bleibt die Hürde bestehen, auch wenn die maschinenlesbare Bereitstellung des Katalogs perspektivisch dazu beitragen könnte, manuelle Aufwände zu reduzieren.
Ergänzend will das BSI in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen. Damit entsteht ein zweites Regelwerk, das nicht nur Sicherheitsfragen, sondern auch Aspekte digitaler Souveränität adressiert.
Handlungsempfehlungen für Cloud-Anbieter und Anwender
Cloud-Anbieter sollten frühzeitig eine Gap-Analyse zwischen ihrem aktuellen Setup und den Anforderungen des BSI C5:2026 durchführen. Besonderes Augenmerk verdienen die neuen Themenbereiche Container-Management, Post-Quanten-Kryptographie und Confidential Computing, da hier in vielen Bestandsumgebungen die größten Lücken zu erwarten sind. Auch Supply-Chain-Prozesse sollten überprüft werden, da die geschärften Kriterien strengere Nachweise zur Sicherheit von Unterauftragnehmern verlangen.
Cloud-Nutzer sollten in laufenden Vergabeverfahren prüfen, ob bestehende C5:2020-Testate ihrer Anbieter eine belastbare Roadmap für den Übergang auf den neuen Katalog enthalten. Informationssicherheitsbeauftragte sollten den Katalog frühzeitig in interne Risikobewertungen einbeziehen, insbesondere dort, wo regulatorische Anforderungen wie NIS2, DORA oder Vorgaben aus dem Gesundheitswesen greifen.
