{"id":909,"date":"2025-09-02T00:04:18","date_gmt":"2025-09-01T22:04:18","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=909"},"modified":"2025-09-02T00:05:54","modified_gmt":"2025-09-01T22:05:54","slug":"bsi-c52025-die-zukunft-der-cloud-sicherheit","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/09\/02\/bsi-c52025-die-zukunft-der-cloud-sicherheit\/","title":{"rendered":"BSI C5:2025 \u2013 Die Zukunft der Cloud-Sicherheit"},"content":{"rendered":"\n
\n\n\n\n

Der neue BSI C5:2025 Standard: Was sich \u00e4ndert und warum es jetzt wichtig ist<\/strong><\/p>\n\n\n\n

Cloud Computing ist das Fundament der modernen IT und damit essenziell f\u00fcr die Digitalisierung von Wirtschaft, Verwaltung und Gesellschaft. Um die Potenziale dieser Entwicklung sicher nutzen zu k\u00f6nnen, stellt das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) mit dem Cloud Computing Compliance Criteria Catalogue (C5)<\/strong> seit 2016 einen etablierten Pfeiler f\u00fcr die Cloud-Sicherheit bereit. Dieser Standard definiert umfassende Kriterien f\u00fcr die Informationssicherheit von Cloud-Diensten und schafft damit Transparenz in diesem komplexen Umfeld.<\/p>\n\n\n\n

Der BSI C5 hat in der Praxis einen quasi-verbindlichen Charakter erlangt. Besonders im \u00f6ffentlichen Sektor und in regulierten Branchen wird er zunehmend als Ausschreibungskriterium gefordert. F\u00fcr Unternehmen der Gesundheitswirtschaft ist der C5-Standard sogar von zentraler Bedeutung: Seit dem Inkrafttreten von \u00a7 393 SGB V am 1. Juli 2024<\/strong> d\u00fcrfen Gesundheits- und Sozialdaten nur noch dann in der Cloud verarbeitet werden, wenn unter anderem ein aktuelles C5-Testat<\/strong> vorliegt und die im Pr\u00fcfbericht genannten kundenseitigen Anforderungen umgesetzt wurden. Diese Verankerung im Sozialgesetzbuch macht den C5-Standard f\u00fcr Leistungserbringer (z.B. Krankenh\u00e4user, Arztpraxen, Pflegeeinrichtungen), Krankenkassen und deren Auftragsdatenverarbeiter verbindlich.<\/p>\n\n\n\n

C5:2025 \u2013 Der Community Draft und die wesentlichen Neuerungen<\/strong><\/p>\n\n\n\n

Das BSI hat am 14. Juli den Entwurf der n\u00e4chsten Weiterentwicklung des C5, den C5:2025<\/strong>, als Community Draft<\/strong> ver\u00f6ffentlicht. Dieser Entwurf kann bis zum 15. September 2025 kommentiert<\/strong> werden, die finale Version ist f\u00fcr Dezember 2025 vorgesehen. Der C5:2025 baut auf dem Fundament des C5:2020 auf und beh\u00e4lt viele bew\u00e4hrte Kriterien bei, erg\u00e4nzt diese aber um zahlreiche Neuerungen, um den vielf\u00e4ltigen Entwicklungen der letzten sechs Jahre gerecht zu werden.<\/p>\n\n\n\n

Die wichtigsten \u00c4nderungen im \u00dcberblick:<\/p>\n\n\n\n

    \n
  1. St\u00e4rkere Integration mit europ\u00e4ischen Standards<\/strong>: Der C5:2025 ist umfassend an europ\u00e4ische Compliance-Anforderungen angeglichen. Dies beinhaltet die Harmonisierung mit den Vorgaben des European Cybersecurity Certification Scheme for Cloud Services (EUCS)<\/strong> der ENISA, die Einbindung der Anforderungen der NIS2-Richtlinie<\/strong> sowie die Ber\u00fccksichtigung der aktualisierten ISO\/IEC 27001:2022<\/strong>. Diese Anpassung soll den Compliance-Aufwand f\u00fcr Anbieter in mehreren europ\u00e4ischen L\u00e4ndern reduzieren.<\/li>\n\n\n\n
  2. Neue technische Entwicklungen und Herausforderungen<\/strong>: Der Entwurf ber\u00fccksichtigt aktuelle technische Fortschritte und Herausforderungen, darunter:\n
      \n
    • Container-Management<\/strong> und Container-Orchestrierung<\/li>\n\n\n\n
    • Supply-Chain-Management<\/strong>, mit versch\u00e4rften Anforderungen an die Lieferkettensicherheit und tiefgehende Bewertung von Drittanbietern.<\/li>\n\n\n\n
    • Post-Quanten-Kryptographie (PQC)<\/strong> zur Abwehr von Bedrohungen durch Quantencomputer.<\/li>\n\n\n\n
    • Confidential Computing<\/strong>, zur Gew\u00e4hrleistung der Vertraulichkeit und Integrit\u00e4t von Daten w\u00e4hrend der Verarbeitung.<\/li>\n\n\n\n
    • Eine ausf\u00fchrlichere Betrachtung von Mandantentrennung<\/strong> und der technischen Umsetzung von Souver\u00e4nit\u00e4t<\/strong>.<\/li>\n\n\n\n
    • Neue Kontrollen f\u00fcr verteilte Arbeitsumgebungen<\/strong>, wie die Zero-Trust-Architektur<\/strong>, Endpoint-Sicherheit und Collaboration-Security.<\/li>\n\n\n\n
    • Fokus auf Portabilit\u00e4t und Exit-Strategien<\/strong> zur Vermeidung von Vendor Lock-in und zur Sicherstellung nahtloser Migrationen, inklusive standardisierter Datenportabilit\u00e4t und detaillierter Prozessanforderungen f\u00fcr Anbieterwechsel.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
    • Strukturelle \u00dcberarbeitung<\/strong>: Der C5 wurde strukturell in Anlehnung an EUCS \u00fcberarbeitet. C5-Kriterien bestehen nun aus inhaltlich voneinander abgegrenzten Unterkriterien. Zudem wird explizit zwischen Zusatzkriterien unterschieden, die Basiskriterien versch\u00e4rfen („additional sharpen“)<\/strong> oder erg\u00e4nzen („additional complement“)<\/strong>. Diese neue Gliederung soll das Verst\u00e4ndnis, die Zuordnung von Kontrollen und die Pr\u00fcfung erleichtern sowie die Transparenz bei der Auswertung von C5-Berichten erh\u00f6hen.<\/li>\n\n\n\n
    • Verbesserte Transparenz und Nachvollziehbarkeit<\/strong>:\n
        \n
      • Die explizite Kennzeichnung und Einordnung der einzelnen Kriterien in den Kontext interner Kontrollsysteme erh\u00f6ht die Transparenz gegen\u00fcber Pr\u00fcfern und Nutzern.<\/li>\n\n\n\n
      • Ein weiterer wichtiger Aspekt sind die neu eingef\u00fchrten „Boundary Conditions“ (BC-01 bis BC-07)<\/strong>. Diese legen fest, welche Informationen Cloud-Dienstanbieter \u00fcber die Rahmenbedingungen des Cloud-Dienstes transparent machen m\u00fcssen. Dazu geh\u00f6ren Informationen zu anwendbarem Recht, Gerichtsbarkeit, den physischen Standorten der Datenverarbeitung und -speicherung, den Verf\u00fcgbarkeiten, dem Umgang mit beh\u00f6rdlichen Anfragen, vorhandenen Zertifizierungen und der Nutzung von KI im internen Kontrollsystem. Dies unterst\u00fctzt Kunden bei der Risikobewertung und erm\u00f6glicht eine bessere Vergleichbarkeit verschiedener Cloud-Dienste.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
      • Neue Formate<\/strong>: Die finale Version des C5:2025 wird voraussichtlich in Deutsch und Englisch, sowie erstmals in maschinenlesbaren Formaten wie YAML (zus\u00e4tzlich zu XLSX und PDF) ver\u00f6ffentlicht. Dies erleichtert die Integration in digitale Compliance- und Managementsysteme.<\/li>\n\n\n\n
      • Anwendungstermin<\/strong>: Die Kriterien des C5:2025 sollen f\u00fcr alle zu beurteilenden Zeitr\u00e4ume gelten, die am oder nach dem 1. Januar 2027<\/strong> beginnen. Eine fr\u00fchere Anwendung ist jedoch zul\u00e4ssig.<\/li>\n<\/ol>\n\n\n\n

        Warum eine fr\u00fchzeitige Auseinandersetzung wichtig ist<\/strong><\/p>\n\n\n\n

        Gerade f\u00fcr Cloud-Anbieter und Unternehmen in regulierten Branchen ist eine proaktive Vorbereitung unerl\u00e4sslich. Die Anwendung des C5:2025 ab dem 1. Januar 2027 mag noch weit entfernt erscheinen, aber die Zeit bis dahin sollte genutzt werden:<\/p>\n\n\n\n

          \n
        • Mitgestaltung nutzen<\/strong>: Bis zum 15. September 2025 k\u00f6nnen Sie den Community Draft kommentieren und aktiv Einfluss auf die finale Fassung nehmen.<\/li>\n\n\n\n
        • GAP-Analyse durchf\u00fchren<\/strong>: Bewerten Sie Ihr aktuelles Cloud-Setup im Vergleich zu den neuen Anforderungen des C5:2025, um fr\u00fchzeitig Handlungsbedarf zu identifizieren.<\/li>\n\n\n\n
        • Strukturierte Vorbereitung<\/strong>: Bringen Sie interne Prozesse, Verantwortlichkeiten und notwendige Ma\u00dfnahmen fr\u00fchzeitig in Einklang mit dem neuen Standard. Die Automatisierung von Compliance-Prozessen kann dabei helfen, den manuellen Aufwand zu reduzieren und die kontinuierliche \u00dcberwachung zu verbessern.<\/li>\n<\/ul>\n\n\n\n

          F\u00fcr Einrichtungen im Gesundheitswesen ist die Aktualisierung besonders relevant, da \u00a7 393 SGB V ab dem 1. Juli 2025 ein C5 Typ 2 Testat vorschreibt. Wer jetzt vorbereitet ist, kann nicht nur Risiken minimieren, sondern auch das Vertrauen von Kunden, Partnern und Pr\u00fcfern st\u00e4rken und sich als vertrauensw\u00fcrdiger Anbieter positionieren.<\/p>\n\n\n\n

          Fazit:<\/strong><\/p>\n\n\n\n

          Mit dem neuen Community-Draft C5:2025 geht das BSI einen wichtigen Schritt in Richtung Zukunftssicherheit und EU-weite Anschlussf\u00e4higkeit von Cloud-Diensten. F\u00fcr Cloud-Anbieter und Cloud-Nutzer bringt dies nicht nur neue technische und regulatorische Anforderungen, sondern vor allem die Chance, sich fr\u00fchzeitig auf kommende Pr\u00fcfma\u00dfst\u00e4be einzustellen. Die Sicherheit und Konformit\u00e4t von Cloud-L\u00f6sungen ist kein „Nice-to-have“, sondern eine gesetzliche und gesch\u00e4ftliche Notwendigkeit. Nutzen Sie die kommenden Monate, um rechtzeitig geeignete Ma\u00dfnahmen zu identifizieren und die Umsetzung effizient zu planen.<\/p>\n\n\n\n

          \n","protected":false},"excerpt":{"rendered":"

          Der neue BSI C5:2025 Standard: Was sich \u00e4ndert und warum es jetzt wichtig ist Cloud…<\/p>\n","protected":false},"author":1,"featured_media":775,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-909","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=909"}],"version-history":[{"count":3,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/909\/revisions"}],"predecessor-version":[{"id":912,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/909\/revisions\/912"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/775"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}