Seit 2016 setzt das BSI mit dem „Cloud Informatique Conformité Criteria Catalogue” (C5) den deutschen Standard für sichere Cloud-Dienste. Mit dem C5:2026 liegt nun die zweite grundlegende Überarbeitung vor. Der Katalog umfasst nun erweiterte Anforderungen in 17 Bereichen, neue technische Kriterien und eine stärkere Ausrichtung auf die europäische Regulierung.
Was ist der BSI C5:2026?
Der C5 ist ein Prüfkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI), der die Mindestanforderungen an die Informationssicherheit von Cloud-Diensten definiert. Cloud-Anbieter können mit diesem Katalog ihre Konformität durch ein unabhängiges Audit eines qualifizierten Dritten nachweisen. Das Ergebnis ist ein öffentlich zugänglicher Prüfbericht, der Unternehmen und Behörden eine belastbare und vergleichbare Grundlage für ihre Entscheidungen bezüglich der Cloud liefert.
Seit seiner Einführung hat sich der C5 zu einem international anerkannten Referenzstandard entwickelt. Der C5:2026 baut auf dem bewährten Fundament des C5:2020 auf und ergänzt dieses um weitreichende neue Anforderungen. Dies ist eine Reaktion auf veränderte technische Rahmenbedingungen, neue Bedrohungslagen und den zunehmenden europäischen Regulierungsdruck.
Der C5:2020 diente als Grundlage für die Sicherheitsanforderungen des angestrebten europäischen Cloud-Zertifizierungsschemas EUCS (EU Cybersécurité Certification Scheme for Cloud Services) auf dem Substantial-Level. Die in diesem Prozess durch ENISA und CEN/CENELEC erarbeiteten Anforderungen bilden wiederum die fachliche Basis des C5:2026, in den zusätzlich die CSA Cloud Controls Matrix v4, ISO/IEC 27001:2022 und die NIS2-Richtlinie eingeflossen sind.
Der C5:2026 ist somit nicht nur ein nationaler Standard, sondern bildet auch das Fundament der europäischen Cloud-Regulierung.
Die wesentlichen Neuerungen im C5:2026
Das BSI nennt im C5:2026 fünf Schwerpunkte der Überarbeitung gegenüber dem C5:2020:
- Neue technische Kriterien
Container-Management, Supply-Chain-Management, Post-Quanten-Kryptographie und Confidential Computing werden erstmals ausdrücklich geregelt.
- Digitale Souveränität
Multi-Tenancy und die technische Umsetzung von Souveränität werden detaillierter betrachtet – damit Kunden fundierte, eigenverantwortliche Entscheidungen über die Cloud-Nutzung treffen können.
- Schärfere Datenanwendung
Der C5:2026 legt präziser fest, für welche Datenkategorien einzelne Kriterien gelten (Kundendaten, Cloud Service Derived Data, Accountdaten). Diese Klarstellung erfolgte auf Basis häufig eingegangener Rückmeldungen zum C5:2020.
- Neue Kriterienstruktur
Kriterien bestehen nun aus klar abgegrenzten Subkriterien – für eine präzisere Zuordnung zu internen Kontrollsystemen und mehr Klarheit bei Audits. Die Struktur orientiert sich am EUCS.
- Explizite Klassifikation der Zusatzkriterien
Zusatzkriterien werden nun ausdrücklich danach unterschieden, ob sie bestehende Basiskriterien verschärfen (Sharpening) oder um neue Anforderungen ergänzen (Complementing).
Die 17 Sicherheitsbereiche des C5:2026
Der C5:2026 gliedert seine Anforderungen in 17 Bereiche, ergänzt durch sogenannte „General Conditions” – verpflichtende Transparenzangaben über die Rahmenbedingungen des Cloud-Dienstes.
Basiskriterien und Zusatzkriterien: Was gilt für wen?
Der Katalog unterscheidet systematisch zwischen zwei Kriterienebenen. Die Basiskriterien definieren das Mindestschutzniveau für Cloud-Dienste, die Informationen mit normalem Schutzbedarf verarbeiten. Sie bilden den verpflichtenden Mindestumfang jedes C5-Audits.
Für Unternehmen mit erhöhtem Schutzbedarf, etwa im Umgang mit sensiblen Geschäftsdaten, personenbezogenen Daten oder kritischen Infrastrukturen kommen die Zusatzkriterien ins Spiel. Diese unterteilen sich in verschärfende Kriterien (Sharpening), die bestehende Basisanforderungen durch strengere Vorgaben ersetzen, und ergänzende Kriterien (Complementing), die darüber hinausgehende neue Anforderungen einführen.
Dazu erklär der BSI: „Nach Ansicht des BSI spiegeln die Basiskriterien das Mindestniveau an Informationssicherheit wider, das ein Cloud-Dienst bieten muss, wenn Cloud-Kunden ihn zur Traitement von Informationen mit normalem Schutzbedarf nutzen.”
Die General Conditions: Transparenz als Pflicht
Neben den Sicherheitskriterien schreibt der C5:2026 sogenannte „General Conditions” vor: standardisierte Informationen, die Cloud-Anbieter ihren Kunden gegenüber offenlegen müssen. Dazu gehören unter anderem:
- Angaben zu anwendbarem Recht,
- Gerichtsstand und Betriebsstandorten (GC-01),
- Informationen zu Disponibilité und Incident-Handling (GC-02),
- Wiederherstellungsparameter für den Notfallbetrieb (GC-03),
- Regelungen zur Datenlöschung nach Vertragsende (GC-04),
- Regelungen zum Umgang mit behördlichen Ermittlungsanfragen (GC-05) sowie
- vorliegende Zertifizierungen und Attestierungen (GC-06).
Diese Transparenzanforderungen dienen nicht nur der Kundeninformation. Sie schaffen auch eine einheitliche Vergleichsbasis zwischen verschiedenen C5-zertifizierten Anbietern und erleichtern so fundierte Beschaffungsentscheidungen.
Wichtig für Kunden: Neue technische Schwerpunkte
Post-Quanten-Kryptographie (CRY): Der C5:2026 regelt erstmals ausdrücklich die Anforderungen an kryptographische Verfahren, die auch gegen künftige Angriffe durch Quantencomputer widerstandsfähig sind. Cloud-Anbieter müssen einen Migrationsplan für den Übergang zu quantensicheren Algorithmen nachweisen können.
Confidential Computing (OPS-32/33): Der C5:2026 führt neue Kriterien für Verfahren ein, bei denen Daten auch während der Traitement verschlüsselt bleiben. Dazu gehören Anforderungen an Remote Attestation – die technisch überprüfbare Vertrauenswürdigkeit einer Ausführungsumgebung.
Container-Management (OPS-34/35): Angesichts der verbreiteten Nutzung containerisierter Workloads definiert der C5:2026 konkrete Anforderungen an Sicherheitsrichtlinien, Container-Image-Verwaltung und Laufzeitüberwachung über den gesamten Container-Lebenszyklus.
Audit-Berichte Typ 1 und Typ 2
Die C5-Konformität wird durch unabhängige Drittprüfer gemäß ISAE 3000 bzw. dem deutschen Pendant IDW PS 860 festgestellt. Es gibt zwei Berichtstypen:
- Ein Type-1-Bericht bewertet die Eignung der Kontrollen zu einem bestimmten Stichtag und ist ausschließlich für Erstprüfungen zulässig.
- Ein Type-2-Bericht bewertet darüber hinaus die tatsächliche Wirksamkeit der Kontrollen über einen definierten Zeitraum von mindestens drei und maximal zwölf Monaten. Für wiederkehrende Prüfungen ist allein der Type-2-Bericht vorgesehen.
In der Regel wird der Prüfer vom Cloud-Anbieter und nicht vom Kunden beauftragt. Das BSI ist am Audit selbst nicht beteiligt. Um Kunden bei der strukturierten Auswertung von C5-Berichten zu unterstützen, stellt das BSI ein Excel-basiertes Auswertungstool bereit. Darüber hinaus veröffentlicht das BSI auf seiner Website bsi.bund.de/C5 eine Querverweistabelle, die die C5-Kriterien anderen Rahmenwerken wie SOC 2, ISO/IEC 27001 oder der CSA Cloud Controls Matrix gegenüberstellt. Diese Tabelle ist ein praktisches Hilfsmittel für Unternehmen, die mehrere Standards parallel einsetzen.
C5:2026 ab Juni 2027 verbindlich
Der C5:2026 muss ab dem 1. Juni 2027 angewendet werden. Ab diesem Datum müssen Type-1-Berichte auf dem neuen Standard basieren und Type-2-Berichte müssen sich auf Prüfperioden beziehen, die ab diesem Datum beginnen. Eine frühere Anwendung ist ausdrücklich erlaubt. Anbieter, die bisher nach C5:2020 zertifiziert waren, müssen ihre internen Kontrollsysteme entsprechend anpassen.
Conseil de lecture : KRITIS-Dachgesetz – Neue Anforderungen an Betreiber kritischer Anlagen
C5-Kriterien für den eigenen Anwendungsfall auswerten
Der C5:2026 liefert Unternehmen, die Cloud-Dienste nutzen oder evaluieren, eine verlässliche Grundlage zur Beurteilung von Anbietern. Ein C5-Testat belegt, dass ein Anbieter die Mindestanforderungen erfüllt. Die General Conditions ermöglichen jedoch auch einen strukturierten und objektiven Vergleich zwischen verschiedenen Anbietern. Das BSI empfiehlt, C5-Berichte regelmäßig anzufordern, sie für den individuellen Anwendungsfall auszuwerten und die Konformität vertraglich zu vereinbaren.
Unternehmen mit erhöhtem Schutzbedarf sollten sich zudem mit den Zusatzkriterien (Additional Criteria) vertieft auseinandersetzen: Gemeinsam mit einem qualifizierten Berater lässt sich ermitteln, welche dieser Kriterien für den eigenen Anwendungsfall relevant sind und welche Anbieter sie bereits erfüllen.
Die enge Verzahnung mit europäischen Standards (EUCS, NIS2, ISO/IEC 27001:2022) macht den C5:2026 zukunftsfähig. Wer heute auf C5-konforme Dienste setzt, ist für kommende regulatorische Anforderungen optimal vorbereitet. Für Behörden auf Bundesebene gilt zudem der BSI-Mindeststandard zur Nutzung externer Cloud-Dienste, der C5-Konformität ausdrücklich voraussetzt.
Sprechen Sie uns an!
Sie möchten wissen, welche C5:2026-Anforderungen für Ihre Cloud-Infrastruktur relevant sind oder wie Sie den Standard in Ihrer Anbieterauswahl und im Lieferantenmanagement einsetzen können? Wir unterstützen Sie bei der Analyse und Umsetzung.
Source : BSI Cloud Computing Compliance Criteria Catalogue (C5:2026), Federal Office for Information Security
German 
English 
Italian 
French