Cloudsicherheit: BSI veröffentlicht neue C5-Version

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Version des C5-Sicherheitsstandards für Cloudcomputing veröffentlicht. C5:2026 berücksichtigt erstmals aktuelle Themen wie Post-Quanten-Kryptographie und Confidential Computing.

Seit 2016 stellt das BSI mit dem Cloud Computing Compliance Criteria Catalogue (C5) den deutschlandweit wichtigsten Sicherheitsstandard für Cloud-Anbieter und -Nutzer bereit. Nun hat die Behörde die neueste Version C5:2026 vorgestellt. Diese übersetzt komplexe Sicherheitsanforderungen an zukunftsfähige Cloud-Dienste in prüfbare Kriterien und bietet Unternehmen und Behörden belastbare Informationen für das eigene Risikomanagement.

Zudem sorgt C5 marktübergreifend für Transparenz und Orientierung bei der Auswahl von Cloud-Anbietern. Prüfungen nach C5 werden von Wirtschaftsprüferinnen und -prüfern durchgeführt, die nach erfolgreicher Prüfung testieren, dass ein Cloud-Anbieter die im C5 enthaltenen Sicherheitskriterien erfüllt.

Als Cybersicherheitsbehörde Deutschlands schaffen wir damit einen zeitgemäßen, praxistauglichen Maßstab für alle, die Cloud-Dienste nutzen, prüfen, anbieten oder beschaffen.

C5:2026 adressiert nicht nur bestehende Themen wie Mandantentrennung und Supply Chain Management noch gezielter als zuvor. Gleichzeitig wurde der neue C5-Kriterienkatalog mit Blick auf technologische Fortschritte und die aktuelle Bedrohungslage weiterentwickelt. So werden Themen wie Container-Management, Post-Quanten-Kryptographie und Confidential Computing in der neuen Version erstmals dezidiert aufgegriffen.

BSI-Präsidentin Claudia Plattner: „Mit dem C5:2026 haben wir die nächste Generation unseres etablierten Kriterienkatalogs für sicheres Cloud Computing veröffentlicht. Als Cybersicherheitsbehörde Deutschlands schaffen wir damit einen zeitgemäßen, praxistauglichen Maßstab für alle, die Cloud-Dienste nutzen, prüfen, anbieten oder beschaffen.“

Erfahrungen von Praktikern eingeflossen

Die neue Version ist inhaltlich und strukturell eng an den Ergebnissen aus den Arbeiten am europäischen Zertifizierungsschema EUCS angelehnt. Darüber hinaus wurden bei der Erstellung des C5:2026 die aktuellen Versionen weiterer relevanter Anforderungsdokumente wie die CSA Cloud Controls Matrix Version 4, ISO/IEC 27001:2022 und die NIS2-Direktive berücksichtigt.

In die Neuauflage hat das BSI zudem über einen Community Draft die praktischen Erfahrungen von Cloud-Anbietern, -Prüfern sowie -Beraterinnen und -Beratern einfließen lassen. Ergänzend zu den im C5 beschriebenen Sicherheitskriterien für Cloud-Dienste wird das BSI in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen.

BSI/dsg