1. Kontext und Hintergrund der Aktualisierung
Mit der Veröffentlichung des Cloud Computing Compliance Criteria Catalogue (C5) in der Version 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Prüfstandard grundlegend modernisiert. Der C5:2026 löst die bisherige Fassung C5:2020 vollständig ab und etabliert einen aktualisierten Anforderungsrahmen, der als deutsche Interpretation des EU-Cloud-Certification-Schemas (EUCS) fungiert. Damit wird die nationale Zertifizierungspraxis in den europäischen Kontext überführt, was die Interoperabilität und Konformität im EU-Binnenmarkt stärkt.
Für Cloud-Service-Anbieter (CSP) ist der Übergang zwingend, da der C5 in zahlreichen regulierten Branchen als Voraussetzung für die Marktfähigkeit gilt. Basierend auf der aktuellen Rechtslage ist der Standard für folgende Sektoren von kritischer Bedeutung:
- Gesundheitswesen: Für das digitale deutsche Gesundheitswesen ist eine Typ-2-Zertifizierung (Angemessenheits- und Wirksamkeitsprüfung über einen Zeitraum) zwingend vorgeschrieben.
- Finanzdienstleistungen und Bankensektor: Maßgeblicher Standard zur Erfüllung aufsichtsrechtlicher Anforderungen an das Outsourcing.
- Öffentliche Verwaltung: Verbindliche Grundlage für staatliche Stellen und hoheitliche Aufgaben, beispielsweise bei der Verarbeitung von biometrischen Daten (Passbildern).
- Regulierte IT-Dienstleister: Verpflichtender Nachweis der Informationssicherheit gegenüber Kunden aus kritischen Infrastrukturen (KRITIS).
2. Strukturelle Neuerungen: Maschinenlesbarkeit und Hierarchie
Die Überarbeitung des Katalogs zielt primär auf eine signifikante Erhöhung der Kontrolltiefe und Prüfungsrelevanz ab. Durch die Optimierung der strukturellen Hierarchie wird die Prüfungseffizienz gesteigert und die Vergleichbarkeit von Attestierungen verbessert.
Die wesentlichen strukturellen Vorteile umfassen:
- Standardisierung des Begriffsapparats: Durch präzise Definitionen von Zonen, Partitionen und Standorten (Locations) wird eine Reduktion von Prüfungsdissens erreicht, da Interpretationsspielräume zwischen Prüfer und Anbieter minimiert werden.
- Differenzierte Kriterienhierarchie: Die Einführung von Unterkriterien sowie verschärfenden und ergänzenden Zusatzkriterien ermöglicht eine präzise Steuerung der Kontrollziele je nach Schutzbedarfsniveau.
- Vorbereitung automatisierter Prüfprozesse: Das BSI hat angekündigt, den Katalog in Kürze in einem maschinenlesbaren Format bereitzustellen. Dies ist die notwendige Voraussetzung für die zukünftige Automatisierung von Audit-Workflows und Continuous Compliance Monitoring.
3. Transparenz und rechtliche Rahmenbedingungen
Ein Kernaspekt der Version 2026 ist die verschärfte Transparenzpflicht hinsichtlich der rechtlichen Rahmenbedingungen. Dies betrifft insbesondere die Expositionsrisiken gegenüber extraterritorialen Gesetzen.
|
Gefordertes Merkmal
|
Anforderung an den Cloud-Service-Anbieter
|
|---|---|
|
Rechtslage des Anbieters
|
Detaillierte Offenlegung des Primärrechtsraums, dem der Anbieter unterliegt.
|
|
Konzernmutter-Recht
|
Transparenz über Rechtsunterlagen und Zugriffspflichten, die sich aus dem Sitzland der Konzernmutter ergeben.
|
|
Datenstandorte
|
Spezifische Angabe der physischen Standorte (Locations) für Speicherung und Verarbeitung.
|
|
Infrastruktur-Logik
|
Technische Definition der Zonen-Einteilung und logischen Partitionierung der Umgebung.
|
|
Behördenabfragen
|
Verbindliche Dokumentation über den Umgang mit und die Beantwortung von behördlichen Datenabfragen.
|
|
Prüfungsmodus
|
Nachweis einer Typ-2-Attestierung (insbesondere für den Gesundheitssektor obligatorisch).
|
4. Technischer Fokus I: Post-Quanten-Kryptografie (PQK)
Angesichts der rasanten Entwicklung im Bereich des Quantum Computings adressiert der C5:2026 in Kapitel 5.8 präventive Maßnahmen gegen zukünftige Entschlüsselungsszenarien („Store Now, Decrypt Later“).
Die zentrale Anforderung ist die Etablierung von Krypto-Agilität durch den Einsatz von Hybridverfahren. Hierbei werden klassische kryptografische Algorithmen (z. B. ECC oder RSA) mit quantenresistenten Algorithmen kombiniert. Ziel dieser Härtung ist es, die Vertraulichkeit der Daten auch dann zu wahren, wenn herkömmliche Verfahren absehbar durch Quantencomputer gebrochen werden, während gleichzeitig die Abwärtskompatibilität und aktuelle Sicherheitsstandards gewahrt bleiben.
5. Technischer Fokus II: Container-Management und Betriebssicherheit
Im Bereich der Betriebssicherheit markiert der C5:2026 einen Paradigmenwechsel in der Detailtiefe technischer Kontrollen, während bewährte Konzepte wie das Incident Management fortgeführt werden.
In der Version C5:2020 wurden moderne Virtualisierungstechniken lediglich über generische Kontrollziele abgedeckt. Die Anforderungen blieben auf einer abstrakten Ebene, was in der Prüfungspraxis oft zu uneinheitlichen Sicherheitsniveaus bei Container-Infrastrukturen führte.
Der C5:2026 führt hingegen spezifische technische Anforderungen an die Container-Isolierung, die Image-Integrität und die Absicherung der Orchestrierungsschicht (z. B. Kubernetes) ein. Diese signifikante Erhöhung der Kontrolltiefe verlangt von CSPs dedizierte Nachweise über die Härtung von Container-Runtimes und die Absicherung der CI/CD-Pipelines für die Image-Bereitstellung.
6. Zusammenfassender technischer Vergleich
Der C5:2026 transformiert den Standard von einem nationalen Anforderungskatalog zu einem europäisch kompatiblen, technisch hochspezialisierten Framework.
|
Merkmal
|
C5:2020 (Status Quo)
|
C5:2026 (Neuerung/Präzisierung)
|
|---|---|---|
|
Struktur
|
Statische, flache Kriterienliste
|
Hierarchisch (Unterkriterien & Zusatzkriterien)
|
|
Automatisierung
|
Dokumentenbasiert / Manuell
|
Maschinenlesbarkeit angekündigt (Automatisierungspotenzial)
|
|
Kryptografie
|
Fokus auf Stand der Technik (klassisch)
|
Fokus auf Krypto-Agilität und Hybrid-PQK
|
|
Container-Sicherheit
|
Generische Kontrollziele
|
Spezifische Anforderungen an Orchestrierung & Isolation
|
|
EU-Harmonisierung
|
Nationaler Alleingang des BSI
|
Deutsche Interpretation des EUCS (Interoperabilität)
|
|
Transparenz
|
Fokus auf Datenstandort
|
Fokus auf Konzernrecht und Behördenanfragen
|
Ausblick: Das BSI hat angekündigt, das Framework in Kürze um dedizierte Souveränitätskriterien zu erweitern. Diese werden über die rein technischen Sicherheitsanforderungen hinausgehen und die digitale Souveränität von Cloud-Nutzern in Deutschland weiter stärken.
