von Jörg Apel

BSI C5:2026
Cloud-Sicherheit verständlich gemacht
Was KMU und Entscheider jetzt wissen sollten

1. Executive Summary (Zusammenfassung)

Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.

Für kleine und mittlere Unternehmen (KMU) bietet der C5:2026 eine essenzielle Orientierungshilfe bei der Providerwahl und eine solide Informationsbasis für das Risikomanagement im Kontext der NIS2-Richtlinie. Eine wesentliche Neuerung ist die Bereitstellung des Katalogs in einem maschinenlesbaren Format, was die Integration in GRC-Systeme (Governance, Risk and Compliance) revolutioniert. Während der C5:2020 noch bis Juni 2027 seine Gültigkeit behält, ist für Cloud-Anbieter und sicherheitsbewusste Nutzer jetzt der Zeitpunkt gekommen, die Weichen für die Transition zu stellen. Als Senior-Auditor betrachte ich diesen Standard als unverzichtbares Instrument, um Cybersicherheit und digitale Souveränität in der „Cybernation Deutschland“ auf ein neues, prüfbares Niveau zu heben.

2. Grundlagen: Was ist der BSI C5-Kriterienkatalog?

Der Cloud Computing Compliance Criteria Catalogue (C5) wurde vom BSI erstmals im Jahr 2016 eingeführt und hat sich seitdem zum wichtigsten deutschen Sicherheitsstandard für Cloud-Dienste entwickelt. Er fungiert als Bindeglied zwischen hochabstrakten regulatorischen Anforderungen und der praktischen Umsetzung technischer und organisatorischer Maßnahmen (TOM).

Definition: Der BSI C5 ist ein Anforderungskatalog, der Mindeststandards für die Informationssicherheit von Cloud-Diensten festlegt. Er schafft eine „gemeinsame Sprache“ zwischen Cloud-Anbietern, Nutzern und unabhängigen Prüfern, um Sicherheitsversprechen objektiv vergleichbar und durch Wirtschaftsprüfer testierbar zu machen.

Aus Sicht der Compliance-Prüfung deckt der C5 drei fundamentale Säulen ab, die in einer umfassenden IKS-Beschreibung (Internes Kontrollsystem) abgebildet sein müssen:

  • Organisation und Verwaltung: Dies umfasst das Framework für das Informationssicherheits-Managementsystem (ISMS), die Rollenverteilung, interne Audit-Prozesse sowie die Sensibilisierung des Personals.
  • IT-Infrastruktur: Hier liegen die Schwerpunkte auf der technischen Absicherung der Hardware, Netzwerksicherheit, Virtualisierungsebenen und dem Schutz physischer Rechenzentren.
  • Rechtliche Anforderungen: Fokus auf die Konformität mit der DSGVO, vertragliche Zusicherungen (SLAs) sowie die Berücksichtigung von Meldepflichten gegenüber Behörden.

Der C5 ist dabei kein isolierter Standard, sondern baut auf internationalen Normen wie ISO/IEC 27001 auf, konkretisiert diese jedoch spezifisch für die Cloud-Architektur und fügt detaillierte Transparenzanforderungen hinzu.

3. Analyse der Neuerungen: Was hat sich im April 2026 geändert?

Die Veröffentlichung der Version C5:2026 im April 2026 stellt die bisher umfangreichste Revision des Katalogs dar. Die Überarbeitung basiert auf einem sogenannten Community Draft, in den praktische Erfahrungen von Anbietern, Prüfern und Beratern eingeflossen sind, um die Praxistauglichkeit sicherzustellen.

Technologischer Sprung und strukturelle Präzisierung

Die Erweiterung auf 168 Kriterien ist keine bloße quantitative Steigerung, sondern eine qualitative Anpassung an moderne Cloud-Native-Architekturen.

  1. Post-Quanten-Kryptografie (PQK): Angesichts der potenziellen Bedrohung durch Quantencomputer integriert der C5:2026 Anforderungen an die Krypto-Agilität. Dies ist besonders für KMU relevant, die Daten mit langfristiger Schutzbedarfe archivieren.
  2. Confidential Computing: Der Schutz von Daten während der Verarbeitung (Data-in-Use) durch hardwarebasierte Trusted Execution Environments (TEEs) findet erstmals Einzug in den Katalog.
  3. Container-Management: Da Microservices und Container (z. B. Kubernetes) zum Standard geworden sind, wurden spezifische Kriterien für deren Absicherung und Orchestrierung implementiert.
  4. Mandantentrennung (Tenant Isolation): Dieser Bereich wurde erheblich geschärft, um sicherzustellen, dass die logische Trennung zwischen verschiedenen Kunden in Multi-Tenant-Umgebungen auch bei komplexen Cloud-Stacks gewahrt bleibt.
  5. Supply Chain Management: Die Anforderungen an die Steuerung von Unterauftragnehmern wurden präzisiert, um den Vorgängen der NIS2-Richtlinie und dem EUCS (European Cloud Certification Scheme) gerecht zu werden.

Quantitative Analyse der Kontrollbereiche (C5:2020 vs. C5:2026)

Kontrollbereich

C5:2020

C5:2026

Differenz / Fokus der Neuerung

Organisation der Informationssicherheit (OIS)

7

10

Rollen und Verantwortlichkeiten wurden detaillierter.

Personal (HR)

6

8

Fokus auf tiefergehende Sicherheitsüberprüfungen.

Asset Management (AM)

6

12

Verdopplung: Management dynamischer Cloud-Ressourcen.

Physische Sicherheit (PS)

7

8

Schutz kritischer Infrastrukturkomponenten.

Regelbetrieb (OPS)

24

35

Operative Härtung und Automatisierung.

Identitäts- und Berechtigungsmanagement (IDM)

9

9

Stabil geblieben, Fokus auf MFA und IAM-Governance.

Kryptographie und Schlüsselmanagement (CRY)

13

19

Massiver Ausbau: Fokus auf PQK und Key-Life-Cycle.

Kommunikationssicherheit (COS)

8

8

Präzisierung der Verschlüsselung von Transportwegen.

Beschaffung, Entwicklung und Änderung (DEV)

10

15

DevSecOps und sichere Software-Lieferketten.

Steuerung von Dienstleistern (SSO)

5

8

Höhere Transparenzpflichten bei Sub-Providern.

Umgang mit Sicherheitsvorfällen (SIM)

5

6

Integration in behördliche Meldewege (NIS2).

Produktsicherheit (PSS)

12

12

Prüfung der Sicherheitseigenschaften des Cloud-Produkts.

Gesamtanzahl (über alle 17 Bereiche)

121

168

+47 Kriterien

 

Besonders der Bereich Asset Management spiegelt den Wandel wider. In modernen Cloud-Umgebungen sind Assets oft kurzlebig (ephemer). Die Verdopplung der Kriterien trägt der Notwendigkeit Rechnung, diese Ressourcen lückenlos zu erfassen und abzusichern.

4. Die neue Struktur der Zusatzkriterien: Sharpen vs. Complement

Eine der wichtigsten methodischen Änderungen im C5:2026 betrifft die Strukturierung der Zusatzkriterien. Diese sind für Unternehmen mit hohem Schutzbedarf (z. B. KRITIS, Finanzsektor, Gesundheitswesen) essenziell. BSI-Vizepräsident Thomas Caspers betonte, dass die neue Unterteilung für deutlich mehr Klarheit bei der Prüfung und Auswertung sorgt.

Für den Auditor und den Compliance-Verantwortlichen im KMU ist folgende Unterscheidung nun zwingend:

Verschärfende Zusatzkriterien (additional sharpen): Ein Basiskriterium wird durch ein strengeres Kriterium ersetzt. Dies bedeutet für die Prüfung, dass das Basiskriterium nicht mehr separat betrachtet wird, sondern direkt die höhere Anforderung als Maßstab gilt.

Ergänzende Zusatzkriterien (additional complement): Hier bleibt das Basiskriterium in seiner ursprünglichen Form bestehen, wird jedoch um eine zusätzliche, spezifische Anforderung erweitert. In der IKS-Dokumentation müssen beide Aspekte nachgewiesen werden.

Diese feinere Granularität erlaubt es Cloud-Nutzern, ein präzises Anforderungsprofil zu definieren und im Rahmen der Angemessenheitsprüfung der Kontrollgestaltung (Typ 1) gezielt abzufragen.

5. Die Rolle von C5 für KMU bei der Auswahl von Cloud-Anbietern

KMU stehen oft vor der Herausforderung, dass sie keine eigenen Vor-Ort-Audits bei globalen Hyperscalern oder spezialisierten SaaS-Anbietern durchführen können. Der C5:2026 fungiert hier als „virtuelles Audit-Team“.

  1. Markttransparenz und Vergleichbarkeit: Da der Katalog eine einheitliche Struktur vorgibt, können KMU die Sicherheitsleistungen verschiedener Anbieter (z. B. AWS, Azure, Google oder deutsche Cloud-Provider) direkt gegenüberstellen.
  2. Qualitätssiegel-Effekt: Ein Anbieter, der ein C5-Testat nachweist, dokumentiert, dass er sich einer aufwendigen Prüfung durch unabhängige Wirtschaftsprüfer unterzogen hat. Dies ist ein starker Vertrauensbeweis.
  3. Wettbewerbsvorteil: KMU, die selbst als SaaS-Dienstleister agieren, können durch ein eigenes C5-Testat ihre Attraktivität für Behörden und Großunternehmen massiv steigern. Insbesondere im Gesundheitswesen ist C5 bei der Verarbeitung von Patientendaten in der Cloud oft bereits verpflichtend.
  4. Reduktion des Haftungsrisikos: Durch die Auswahl C5-testierter Dienste kommen Geschäftsführer ihren Sorgfaltspflichten bei der Dienstleistersteuerung nach.

6. Zusammenhang zwischen Risikoanalyse und dem C5-Katalog

Der C5:2026 ist weit mehr als eine Checkliste; er ist das Rückgrat für das IT-Risikomanagement nach NIS2. Die maschinenlesbare Bereitstellung (erstmals im April 2026 eingeführt) ist hierbei der entscheidende Game-Changer.

  • Automatisierte GRC-Integration: Anstatt hunderte Seiten PDF-Berichte manuell auszuwerten, können die C5-Daten direkt in Compliance-Software eingelesen werden. Dies ermöglicht ein kontinuierliches Monitoring der Kontrollumgebung.
  • Fundierte Risikoassessments: Ein C5-Prüfbericht (insbesondere Typ 2) liefert detaillierte Informationen darüber, wie ein Anbieter mit spezifischen Bedrohungen umgeht. Diese Faktenbasis ist für eine fundierte Risikoanalyse unerlässlich.

BSI-Präsidentin Claudia Plattner bezeichnet den C5:2026 als einen „wichtigen Baustein für die Cybernation Deutschland“, da er Cybersicherheit und Digitalisierung als Einheit denkt. Für Entscheider bedeutet dies: Cybersicherheit wird zum Enabler für digitale Geschäftsprozesse.

7. Schrittweise Anwendung des C5 für KMU: Eine Roadmap

Als Senior Consultant empfehle ich KMU ein systematisches Vorgehen in vier Phasen, um den C5-Standard gewinnbringend zu nutzen.

Schritt 1 – Bedarfsanalyse und Schutzbedarfsfeststellung

Bevor Sie einen Cloud-Dienst beauftragen, müssen Sie definieren, welche Daten verarbeitet werden.

  • Aufgabe: Bestimmen Sie den Schutzbedarf (Normal vs. Hoch).
  • Fokus: Entscheiden Sie, ob Basiskriterien genügen oder ob Sie verschärfende oder ergänzende Zusatzkriterien fordern müssen. Dokumentieren Sie dies als Grundlage für Ihre Providerauswahl.

Schritt 2 – Provider-Check und Analyse des Prüfberichts

Sichten Sie nicht nur das Zertifikat, sondern fordern Sie den vollständigen Prüfbericht an.

  • Aufgabe: Unterscheiden Sie zwischen einem Typ-1-Bericht (Design-Prüfung) und einem Typ-2-Bericht (Wirksamkeitsprüfung).
  • Auditor-Tipp: Seien Sie skeptisch, wenn ein etablierter Provider über Jahre hinweg nur Typ-1-Berichte vorlegt. Dies deutet darauf hin, dass die operative Wirksamkeit (Operating Effectiveness) der Kontrollen möglicherweise nicht über einen längeren Zeitraum stabil ist.

Schritt 3 – Prüfung des Geltungsbereichs (Scope Gap Analysis)

Ein C5-Testat ist kein Freifahrtschein für alle Produkte eines Anbieters.

  • Aufgabe: Abgleich des Scopes. Ist der spezifische Dienst (z. B. eine bestimmte Datenbank-Instanz) im Testat enthalten?
  • Regionen-Check: Gilt das Testat für die Region, in der Ihre Instanzen laufen (z. B. Region „Germany West Central“)?

Schritt 4 – Integration in das eigene ISMS

Der C5 endet nicht an der Schnittstelle zum Provider.

  • Aufgabe: Definieren Sie die „Shared Responsibility“. Welche Kriterien des C5 muss Ihr Unternehmen selbst erfüllen (z. B. Identitätsmanagement auf Applikationsebene)?
  • Tooling: Nutzen Sie das maschinenlesbare Format des C5:2026, um die Kontrollergebnisse in Ihr internes Risikomanagement-Dashboard zu überführen.

8. Exkurs: Der Weg zum C5-Testat (Typ 1 vs. Typ 2)

Für das Verständnis der Berichte ist die Unterscheidung der Prüfungsarten durch Wirtschaftsprüfer fundamental. Die Prüfung basiert auf einer detaillierten IKS-Beschreibung, in der der Anbieter darlegt, wie er die C5-Kriterien erfüllt.

Merkmal

Typ 1: Angemessenheitsprüfung

Typ 2: Wirksamkeitsprüfung

Prüfungsfokus

Design und Implementierung der Kontrollen.

Operative Wirksamkeit über die Zeit.

Betrachtungszeitraum

Stichtagsbetrachtung (Momentaufnahme).

Zeitraum (meist 6 bis 12 Monate).

Prüfungsurteil

Sind die Maßnahmen theoretisch geeignet?

Funktionieren die Maßnahmen in der Praxis zuverlässig?

Wert für das KMU

Gut für einen ersten Überblick bei neuen Diensten.

Goldstandard: Nachweis für nachhaltige Sicherheit.

Ein Typ-2-Bericht enthält zudem eine Liste der durchgeführten Stichproben und deren Ergebnisse. Für KMU ist dies die wertvollste Informationsquelle, um die tatsächliche Resilienz eines Partners zu bewerten.

9. Fazit und Ausblick

Der C5:2026 ist weit mehr als eine regulatorische Bürde; er ist ein strategisches Instrument für die digitale Transformation. Mit der Einführung von Kriterien zu Post-Quanten-Kryptografie und der konsequenten Ausrichtung an internationalen Standards (EUCS, NIS2) hat das BSI ein zukunftssicheres Framework geschaffen.

Wichtige Termine für KMU und Anbieter:

  • Verfügbarkeit: Der Katalog liegt derzeit in englischer Sprache vor (ca. 258 Seiten). Die deutsche Fassung ist laut BSI in Q2/2026 verfügbar.
  • Übergangsfrist: Die Version C5:2020 bleibt bis Juni 2027 gültig. Danach ist der C5:2026 die alleinige Referenz.
  • Nächste Schritte des BSI: In naher Zukunft werden ergänzende Souveränitätskriterien veröffentlicht, die Anforderungen an die digitale Unabhängigkeit von Cloud-Lösungen definieren.

Unternehmen sollten die verbleibende Zeit nutzen, um ihre Cloud-Strategie mit dem C5:2026 zu harmonisieren. Wer heute auf diesen Standard setzt, investiert nicht nur in Compliance, sondern in die langfristige Widerstandsfähigkeit seines Geschäftsmodells in einer zunehmend vernetzten Welt. 

Kommentare

Kommentar veröffentlichen