Mit dem C5:2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen maßgeblichen Kriterienkatalog für sicheres Cloud Computing grundlegend überarbeitet. Für Unternehmen, Behörden und andere Organisationen, die Cloud-Dienste auswählen, bewerten oder selbst anbieten, ist diese Neufassung mehr als ein reguläres Update. Sie markiert eine deutliche Weiterentwicklung des deutschen Cloud-Sicherheitsmaßstabs und reagiert auf neue Technologien, veränderte Bedrohungslagen und gestiegene regulatorische Erwartungen. Gerade weil Cloud-Dienste heute oft kritische Geschäftsprozesse, sensible Daten und komplexe Lieferketten betreffen, lohnt sich ein genauer Blick auf die neue Fassung.
Zur Einordnung ist zunächst wichtig: C5 steht für „Cloud Computing Compliance Criteria Catalogue“. Es handelt sich nicht um ein klassisches BSI-Zertifizierungsverfahren, sondern um einen Kriterienkatalog, dessen Erfüllung im Rahmen von Prüfungen durch unabhängige Auditoren nachgewiesen wird. Das BSI selbst ist an Auswahl der Prüfer, Prüfung und Berichterstellung nicht beteiligt. Für Nachfrager von Cloud-Diensten ist C5 deshalb vor allem ein Instrument, um Sicherheitsniveau, Transparenz und Vergleichbarkeit von Cloud-Angeboten besser einschätzen zu können.
Warum der C5:2026 überhaupt notwendig wurde
Die Überarbeitung war aus Sicht des BSI überfällig. Seit der Version C5:2020 haben sich Cloud-Architekturen, Bedrohungsszenarien und regulatorische Anforderungen erheblich weiterentwickelt. Das BSI hat den Katalog deshalb 2025/26 umfassend neu gefasst und dabei unter anderem aktuelle Fassungen der ISO/IEC 27001:2022, der CSA Cloud Controls Matrix Version 4 sowie die europäische NIS-2-Richtlinie berücksichtigt. Zudem wurde der neue C5 eng an das geplante europäische Cloud-Zertifizierungsschema EUCS, insbesondere an das Level „Substantial“, angelehnt. Das zeigt: C5:2026 ist nicht nur ein deutsches Update, sondern auch ein Schritt in Richtung stärkerer europäischer Anschlussfähigkeit.
Mehr Umfang, mehr Präzision, mehr Prüfbarkeit
Ein erster wesentlicher Unterschied zur Vorversion liegt im Umfang. Während der C5:2020 aus 121 Kriterien bestand, umfasst der C5:2026 nun 168 Kriterien in 17 Themengebieten. Schon diese Zahlen zeigen, dass das BSI den Prüfungsrahmen spürbar erweitert hat. Inhaltlich reicht der Katalog weiterhin von organisatorischen und personellen Anforderungen über physische Sicherheit, Zugriffssteuerung, Verschlüsselung und Kommunikationssicherheit bis hin zu cloud-spezifischen technischen und prozessualen Maßnahmen. Für Unternehmen bedeutet das: Die Beurteilung von Cloud-Sicherheit wird breiter, tiefer und granularer.
Hinzu kommt eine strukturelle Neuerung, die in der Praxis sehr relevant ist: Die Anforderungen wurden klarer in Unterkriterien gegliedert. Dadurch steigt die Prüfbarkeit, aber auch die Erwartung an eine saubere Zuordnung von Maßnahmen, Kontrollen und Nachweisen. Wo früher eher auf übergeordneter Kriterienebene gearbeitet wurde, verlangt der neue Aufbau eine präzisere Dokumentation und belastbarere Evidenz. Das macht den Katalog nicht nur verständlicher, sondern in vielen Bereichen auch strenger, weil Interpretationsspielräume kleiner werden.
Besonders bemerkenswert ist außerdem die neue Unterscheidung bei Zusatzkriterien. Der C5:2026 trennt nun explizit zwischen „additional sharpen“ und „additional complement“. „Additional sharpen“ verschärft bestehende Basiskriterien, indem strengere Anforderungen an die Stelle des Basiskriteriums treten. „Additional complement“ ergänzt Basiskriterien um zusätzliche Anforderungen. Diese Systematik macht deutlicher als bisher, wo ein höheres Schutzniveau nicht nur empfohlen, sondern inhaltlich konkretisiert wird. Für Organisationen mit erhöhtem Schutzbedarf ist das ein wichtiger Fortschritt, weil anspruchsvollere Sicherheitsniveaus transparenter dargestellt werden. Für Anbieter steigt zugleich der Druck, nicht nur Mindestanforderungen, sondern auch verschärfte Varianten systematisch nachweisbar umzusetzen.
Wo der neue Standard spürbar strenger geworden ist
Strenger als die Vorversion ist der C5:2026 vor allem dort, wo das BSI auf neuere Risikoentwicklungen direkt reagiert. Dazu gehören neue Basiskriterien zum Management von Vorfällen und Abstürzen sowie zum Schwachstellenmanagement. Damit wird der operative Sicherheitsbetrieb stärker in den Mittelpunkt gerückt. Es genügt also noch weniger als zuvor, Sicherheitsmaßnahmen nur grundsätzlich zu definieren; entscheidend ist, wie Störungen, sicherheitsrelevante Ereignisse und Schwachstellen im laufenden Betrieb erkannt, bearbeitet, dokumentiert und verbessert werden. Gerade in dynamischen Cloud-Umgebungen ist dies ein plausibler Schritt, weil sich dort Risiken oft nicht aus statischen Konfigurationen, sondern auslaufenden Änderungen, Abhängigkeiten und Betriebsereignissen ergeben.
Deutlich verschärft wurden nach den veröffentlichten Beschreibungen auch bestehende Anforderungen an Mandantentrennung und Supply Chain Management. Beides sind klassische Schwachstellen moderner Cloud-Modelle. Mandantentrennung ist essenziell, weil Cloud-Dienste typischerweise gemeinsam genutzte Infrastrukturen bereitstellen und Fehler in Isolationsmechanismen gravierende Auswirkungen auf Vertraulichkeit und Integrität haben können. Das Supply Chain Management gewinnt an Bedeutung, weil Cloud-Anbieter häufig wiederum auf Unterauftragnehmer, Plattformdienste, Rechenzentrumsbetreiber und externe Komponenten angewiesen sind. Der neue C5 greift diese Abhängigkeiten detaillierter auf und fordert mehr Transparenz über Verantwortlichkeiten, Datenflüsse und die Wirksamkeit ausgelagerter Kontrollen. Gerade deshalb ist der Standard in diesen Bereichen strenger: Er adressiert jene Risiken, die in realen Cloud-Landschaften heute besonders häufig sicherheitskritisch sind.
Auch im Bereich Identity and Access Management ist der neue Standard anspruchsvoller und zeitgemäßer geworden. Der C5:2026 nimmt moderne Sicherheitsmodelle wie Zero Trust ausdrücklich auf. Das ist keine bloße begriffliche Modernisierung, sondern ein Hinweis darauf, dass Zugriffe, Berechtigungen und Vertrauensannahmen in Cloud-Architekturen künftig noch kritischer betrachtet werden. Wo frühere Modelle stärker auf Netzgrenzen und pauschales Systemvertrauen setzten, rückt nun stärker in den Fokus, dass Identitäten, Sitzungen, Berechtigungen und technische Zugriffspfade fortlaufend geprüft und abgesichert werden müssen. In der Praxis wirkt der neue Standard daher strenger, weil er stärker an gegenwärtigen Angriffsmustern und modernen Cloud-Betriebsmodellen ausgerichtet ist.
Neu ist außerdem, dass technologische Themen erstmals gezielt und systematisch aufgenommen wurden, die in C5:2020 noch nicht in dieser Form adressiert waren. Dazu zählen Container-Management, Post-Quanten-Kryptographie und Confidential Computing. Gerade diese drei Themen zeigen, wie sehr der C5:2026 auf Zukunftsfähigkeit ausgerichtet ist. Container sind in modernen Cloud-Plattformen zentral und bringen eigene Risiken über Images, Orchestrierung, Laufzeitumgebungen und Mandantentrennung mit sich. Post-Quanten-Kryptographie adressiert die Frage, wie kryptographische Schutzmechanismen langfristig gegen neue Rechenparadigmen abgesichert werden. Confidential Computing wiederum zielt auf den Schutz von Daten während der Verarbeitung, also auf ein Schutzniveau, das über klassische Sicherung von Daten „at rest“ und „in transit“ hinausgeht. Dass der neue C5 diese Felder explizit aufnimmt, macht ihn fachlich moderner und im Ergebnis strenger, weil er zusätzliche Nachweise in Bereichen erwartet, die bislang häufig außerhalb klassischer Auditlogiken lagen.
Warum die Neuerungen auch praktisch relevant sind
Zur höheren Strenge trägt nicht nur der Inhalt, sondern auch die neue Form der Anwendbarkeit bei. Der C5:2026 wird erstmals zusätzlich in einem maschinenlesbaren Format bereitgestellt. Das mag auf den ersten Blick wie ein rein technisches Detail wirken, hat aber erhebliche praktische Folgen. Denn maschinenlesbare Anforderungen lassen sich leichter in Governance-, Risiko- und Compliance-Prozesse, Kontrollbibliotheken und automatisierte Prüf- und Nachweisverfahren integrieren. Je stärker Anforderungen operationalisiert und systematisch abgeglichen werden können, desto geringer wird der Raum für unscharfe Interpretationen oder informelle Einzelfalllösungen. Auch das ist ein Grund, warum die neue Version in der Praxis disziplinierender wirkt als ihr Vorgänger.
Für Cloud-Anbieter bedeutet der C5:2026 deshalb vor allem eines: mehr Umsetzungsaufwand, mehr Dokumentationsdisziplin und mehr Evidenzfähigkeit. Künftig wird es noch weniger reichen, Sicherheitsmaßnahmen nur konzeptionell zu beschreiben. Erwartet werden nachvollziehbare Zuständigkeiten, belastbare Richtlinien, dokumentierte Verfahren, technische Umsetzung und im Prüfkontext überzeugende Nachweise. Für Cloud-Kunden und beschaffende Stellen ist genau das jedoch ein Vorteil. Sie erhalten eine bessere Grundlage, um Anbieter zu vergleichen, Restrisiken zu bewerten und Anforderungen an kritische oder besonders sensible Workloads klarer zu formulieren. Der neue Standard stärkt damit beide Seiten des Marktes: die Verlässlichkeit auf Anbieterseite und die Prüfbarkeit auf Kundenseite.
Was Unternehmen beim Übergang beachten sollten
Wichtig ist auch der Blick auf den Übergang. Die Kriterien des C5:2026 sind für Prüfungen mit Stichtag bei Typ-1-Berichten ab dem 1. Juni 2027 und für Prüfzeiträume bei Typ-2-Berichten, die am oder nach dem 1. Juni 2027 beginnen, anzuwenden; eine frühere Anwendung ist möglich. Außerdem ist nach den veröffentlichten Hinweisen keine Mischanwendung von C5:2020 und C5:2026 innerhalb desselben relevanten Prüfzeitraums vorgesehen. Für Anbieter und deren Kunden heißt das: Wer heute auf C5:2020 setzt, sollte die Umstellung nicht aufschieben. Die Zeit bis Mitte 2027 wirkt lang, ist für Gap-Analysen, Maßnahmenplanung, Nachweisaufbau und Auditvorbereitung aber schnell aufgebraucht.
Fazit: C5:2026 als neuer Maßstab für Cloud-Sicherheit
In der Gesamtschau ist der C5:2026 deshalb nicht einfach „mehr vom Alten“. Die neue Version erweitert den Kriterienumfang, schärft bestehende Anforderungen, nimmt neue Technologierisiken auf, reduziert Interpretationsspielräume und erhöht die Anschlussfähigkeit an europäische und internationale Referenzrahmen. Genau dadurch wird der Standard strenger als die Vorversion: nicht nur, weil mehr Punkte geprüft werden, sondern weil cloud-spezifische Risiken präziser, operativer und zukunftsorientierter erfasst werden. Wer Cloud-Sicherheit im Jahr 2026 ernst nimmt, wird an dieser Neufassung nicht vorbeikommen.
Für die praktische Umsetzung in Unternehmen wird die GRC Suite HITGuard einen Fragenkatalog für den BSI C5:2026 anbieten. Damit lässt sich der Stand der Umsetzung strukturiert, effizient und nachvollziehbar ermitteln und darstellen. Für Unternehmen schafft das eine belastbare Arbeitsgrundlage, um Reifegrad, Handlungsbedarf und Fortschritte zur Erfüllung des neuen Standards transparent zu bewerten und intern wie extern sauber zu kommunizieren.
Quellen:
- BSI: Sicheres Cloud-Computing: BSI veröffentlicht C5:2026
- BSI: C5 Einführung
- BSI: C5:2026
- BSI: Cloud Computing Compliance
Criteria Catalogue (C5:2026) - Titelbild KI-generiert
Sie haben noch Fragen zu dem Thema?
Unsere Experten beraten Sie gerne. Nehmen Sie Kontakt für ein kostenloses Beratungsgespräch mit uns auf.