the word security spelled out in scrabble letters
Photo by Markus Winkler on Pexels.com
Posted inIT Audit / Compliance / Security

BSI C5:2025 – Die Zukunft der Cloud-Sicherheit

Der neue BSI C5:2025 Standard: Was sich ändert und warum es jetzt wichtig ist

Cloud Computing ist das Fundament der modernen IT und damit essenziell für die Digitalisierung von Wirtschaft, Verwaltung und Gesellschaft. Um die Potenziale dieser Entwicklung sicher nutzen zu können, stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem Cloud Computing Compliance Criteria Catalogue (C5) seit 2016 einen etablierten Pfeiler für die Cloud-Sicherheit bereit. Dieser Standard definiert umfassende Kriterien für die Informationssicherheit von Cloud-Diensten und schafft damit Transparenz in diesem komplexen Umfeld.

Der BSI C5 hat in der Praxis einen quasi-verbindlichen Charakter erlangt. Besonders im öffentlichen Sektor und in regulierten Branchen wird er zunehmend als Ausschreibungskriterium gefordert. Für Unternehmen der Gesundheitswirtschaft ist der C5-Standard sogar von zentraler Bedeutung: Seit dem Inkrafttreten von § 393 SGB V am 1. Juli 2024 dürfen Gesundheits- und Sozialdaten nur noch dann in der Cloud verarbeitet werden, wenn unter anderem ein aktuelles C5-Testat vorliegt und die im Prüfbericht genannten kundenseitigen Anforderungen umgesetzt wurden. Diese Verankerung im Sozialgesetzbuch macht den C5-Standard für Leistungserbringer (z.B. Krankenhäuser, Arztpraxen, Pflegeeinrichtungen), Krankenkassen und deren Auftragsdatenverarbeiter verbindlich.

C5:2025 – Der Community Draft und die wesentlichen Neuerungen

Das BSI hat am 14. Juli den Entwurf der nächsten Weiterentwicklung des C5, den C5:2025, als Community Draft veröffentlicht. Dieser Entwurf kann bis zum 15. September 2025 kommentiert werden, die finale Version ist für Dezember 2025 vorgesehen. Der C5:2025 baut auf dem Fundament des C5:2020 auf und behält viele bewährte Kriterien bei, ergänzt diese aber um zahlreiche Neuerungen, um den vielfältigen Entwicklungen der letzten sechs Jahre gerecht zu werden.

Die wichtigsten Änderungen im Überblick:

  1. Stärkere Integration mit europäischen Standards: Der C5:2025 ist umfassend an europäische Compliance-Anforderungen angeglichen. Dies beinhaltet die Harmonisierung mit den Vorgaben des European Cybersecurity Certification Scheme for Cloud Services (EUCS) der ENISA, die Einbindung der Anforderungen der NIS2-Richtlinie sowie die Berücksichtigung der aktualisierten ISO/IEC 27001:2022. Diese Anpassung soll den Compliance-Aufwand für Anbieter in mehreren europäischen Ländern reduzieren.
  2. Neue technische Entwicklungen und Herausforderungen: Der Entwurf berücksichtigt aktuelle technische Fortschritte und Herausforderungen, darunter:
    • Container-Management und Container-Orchestrierung
    • Supply-Chain-Management, mit verschärften Anforderungen an die Lieferkettensicherheit und tiefgehende Bewertung von Drittanbietern.
    • Post-Quanten-Kryptographie (PQC) zur Abwehr von Bedrohungen durch Quantencomputer.
    • Confidential Computing, zur Gewährleistung der Vertraulichkeit und Integrität von Daten während der Verarbeitung.
    • Eine ausführlichere Betrachtung von Mandantentrennung und der technischen Umsetzung von Souveränität.
    • Neue Kontrollen für verteilte Arbeitsumgebungen, wie die Zero-Trust-Architektur, Endpoint-Sicherheit und Collaboration-Security.
    • Fokus auf Portabilität und Exit-Strategien zur Vermeidung von Vendor Lock-in und zur Sicherstellung nahtloser Migrationen, inklusive standardisierter Datenportabilität und detaillierter Prozessanforderungen für Anbieterwechsel.
  3. Strukturelle Überarbeitung: Der C5 wurde strukturell in Anlehnung an EUCS überarbeitet. C5-Kriterien bestehen nun aus inhaltlich voneinander abgegrenzten Unterkriterien. Zudem wird explizit zwischen Zusatzkriterien unterschieden, die Basiskriterien verschärfen („additional sharpen“) oder ergänzen („additional complement“). Diese neue Gliederung soll das Verständnis, die Zuordnung von Kontrollen und die Prüfung erleichtern sowie die Transparenz bei der Auswertung von C5-Berichten erhöhen.
  4. Verbesserte Transparenz und Nachvollziehbarkeit:
    • Die explizite Kennzeichnung und Einordnung der einzelnen Kriterien in den Kontext interner Kontrollsysteme erhöht die Transparenz gegenüber Prüfern und Nutzern.
    • Ein weiterer wichtiger Aspekt sind die neu eingeführten „Boundary Conditions“ (BC-01 bis BC-07). Diese legen fest, welche Informationen Cloud-Dienstanbieter über die Rahmenbedingungen des Cloud-Dienstes transparent machen müssen. Dazu gehören Informationen zu anwendbarem Recht, Gerichtsbarkeit, den physischen Standorten der Datenverarbeitung und -speicherung, den Verfügbarkeiten, dem Umgang mit behördlichen Anfragen, vorhandenen Zertifizierungen und der Nutzung von KI im internen Kontrollsystem. Dies unterstützt Kunden bei der Risikobewertung und ermöglicht eine bessere Vergleichbarkeit verschiedener Cloud-Dienste.
  5. Neue Formate: Die finale Version des C5:2025 wird voraussichtlich in Deutsch und Englisch, sowie erstmals in maschinenlesbaren Formaten wie YAML (zusätzlich zu XLSX und PDF) veröffentlicht. Dies erleichtert die Integration in digitale Compliance- und Managementsysteme.
  6. Anwendungstermin: Die Kriterien des C5:2025 sollen für alle zu beurteilenden Zeiträume gelten, die am oder nach dem 1. Januar 2027 beginnen. Eine frühere Anwendung ist jedoch zulässig.

Warum eine frühzeitige Auseinandersetzung wichtig ist

Gerade für Cloud-Anbieter und Unternehmen in regulierten Branchen ist eine proaktive Vorbereitung unerlässlich. Die Anwendung des C5:2025 ab dem 1. Januar 2027 mag noch weit entfernt erscheinen, aber die Zeit bis dahin sollte genutzt werden:

  • Mitgestaltung nutzen: Bis zum 15. September 2025 können Sie den Community Draft kommentieren und aktiv Einfluss auf die finale Fassung nehmen.
  • GAP-Analyse durchführen: Bewerten Sie Ihr aktuelles Cloud-Setup im Vergleich zu den neuen Anforderungen des C5:2025, um frühzeitig Handlungsbedarf zu identifizieren.
  • Strukturierte Vorbereitung: Bringen Sie interne Prozesse, Verantwortlichkeiten und notwendige Maßnahmen frühzeitig in Einklang mit dem neuen Standard. Die Automatisierung von Compliance-Prozessen kann dabei helfen, den manuellen Aufwand zu reduzieren und die kontinuierliche Überwachung zu verbessern.

Für Einrichtungen im Gesundheitswesen ist die Aktualisierung besonders relevant, da § 393 SGB V ab dem 1. Juli 2025 ein C5 Typ 2 Testat vorschreibt. Wer jetzt vorbereitet ist, kann nicht nur Risiken minimieren, sondern auch das Vertrauen von Kunden, Partnern und Prüfern stärken und sich als vertrauenswürdiger Anbieter positionieren.

Fazit:

Mit dem neuen Community-Draft C5:2025 geht das BSI einen wichtigen Schritt in Richtung Zukunftssicherheit und EU-weite Anschlussfähigkeit von Cloud-Diensten. Für Cloud-Anbieter und Cloud-Nutzer bringt dies nicht nur neue technische und regulatorische Anforderungen, sondern vor allem die Chance, sich frühzeitig auf kommende Prüfmaßstäbe einzustellen. Die Sicherheit und Konformität von Cloud-Lösungen ist kein „Nice-to-have“, sondern eine gesetzliche und geschäftliche Notwendigkeit. Nutzen Sie die kommenden Monate, um rechtzeitig geeignete Maßnahmen zu identifizieren und die Umsetzung effizient zu planen.