Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 7. April 2026 den Vorhang gelüftet und die neueste Version seines renommierten Kriterienkatalogs für Cloud-Computing vorgestellt: den C5:2026. In einer digitalen Welt, in der Cloud-Dienste das Rückgrat fast jeder Branche bilden, setzt dieser Katalog die entscheidenden Mindeststandards für Sicherheit und Vertrauen.
Doch was hat sich im Vergleich zur 2020er-Version konkret getan? Wir haben die wichtigsten Änderungen und erste Einschätzungen aus Fachpublikationen für Sie zusammengefasst.
1. Brückenschlag nach Europa: Das EU-Cloud-Zertifizierungsschema
Eine der bedeutendsten strukturellen Neuerungen ist die Integration einer deutschen Interpretation des EU-Cloud-Certification-Schemas. Damit rückt der C5 enger an europäische Standards heran, was die Interoperabilität und Vergleichbarkeit von Cloud-Diensten innerhalb der EU deutlich erleichtern soll.
2. Zukunftssicherheit durch Post-Quanten-Kryptografie (PQC)
Das BSI blickt technologisch weit nach vorne. Angesichts der Bedrohung durch zukünftige Quantencomputer wurde Kapitel 5.8 komplett überarbeitet. Cloud-Anbieter müssen nun Kriterien zur wirksamen Verschlüsselung mittels Hybridverfahren erfüllen. Dabei werden klassische Verfahren mit neuen, quantenresistenten Algorithmen kombiniert, um Daten langfristig abzusichern.
3. Präzision im Container-Management
Während die Grundpfeiler der Sicherheit stabil bleiben, wurde an den Details gefeilt. Insbesondere beim Thema Container-Management wurde „kräftig geschraubt“. Der C5:2026 enthält hier wesentlich präzisere und strengere Vorgaben als sein Vorgänger, um der wachsenden Bedeutung von Microservices und Container-Infrastrukturen Rechnung zu tragen.
4. Transparenz über Rechtsraum und Konzernstrukturen
In Zeiten geopolitischer Spannungen rückt die Frage „Wer hat Zugriff auf meine Daten?“ in den Fokus. Anbieter müssen nun detailliert offenlegen:
- Welchem Recht sie und ihre Mutterkonzerne unterliegen.
- Wo genau die Daten lokalisiert sind.
- Wie sie mit Anfragen offizieller Stellen zu Kundendaten umgehen.
5. Automatisierung durch Maschinenlesbarkeit
Ein Highlight für IT-Auditoren: Der Katalog wird erstmals in einem maschinenlesbaren Format bereitgestellt. In Kombination mit einer klareren Struktur aus Unterkriterien sowie ergänzenden Zusatzkriterien soll dies die Prüfung und Auswertung massiv vereinfachen und automatisieren.
Einschätzung aus dem Web: Ein zweischneidiges Schwert?
Fachmedien wie das iX Magazin ordnen die Veröffentlichung bereits ein. Während BSI-Präsidentin Claudia Plattner den Katalog als „zeitgemäßen und praxistauglichen Maßstab“ lobt, gibt es auch kritische Stimmen zum praktischen Aufwand:
- Kostendruck für KMU: Die offizielle Testierung bleibt ein „umfangreiches und kostenträchtiges“ Unterfangen, das vor allem für etablierte Unternehmen leichter zu stemmen ist.
- Souveränität bleibt Thema: Der C5:2026 ist nicht das Ende der Fahnenstange. Das BSI hat bereits angekündigt, in Kürze zusätzliche allgemeine Souveränitätskriterien zu veröffentlichen, die Cloud-Nutzer ebenfalls im Auge behalten müssen.
- Standard in regulierten Branchen: Trotz des Aufwands bleibt der C5 alternativlos. In Sektoren wie dem Gesundheitswesen (Typ-2-Zertifizierung) oder im Bankenwesen gilt er weiterhin als gesetzlich faktisch vorgegebene Voraussetzung.
Fazit
Der C5:2026 ist mehr als nur ein kleines Update. Er transformiert den Katalog in ein modernes, europäisch anschlussfähiges und technologisch zukunftssicheres Instrument. Für Cloud-Nutzer bedeutet das mehr Transparenz, für Anbieter jedoch auch einen erhöhten Dokumentations- und Härtungsaufwand – insbesondere bei Verschlüsselung und Container-Technologien.
