Mit dem neuen Cloud Computing Compliance Criteria Catalogue (C5:2026) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen zentralen Standard für Cloud-Sicherheit grundlegend weiterentwickelt. Der Kriterienkatalog gilt seit Jahren als maßgeblicher Referenzrahmen für Unternehmen und Behörden bei der Bewertung von Cloud-Diensten und gewinnt im Zuge wachsender regulatorischer Anforderungen weiter an Bedeutung.
BSI-Präsidentin Claudia Plattner unterstreicht die Tragweite der Veröffentlichung und erklärt:
„Mit dem C5:2026 haben wir die nächste Generation unseres etablierten Kriterienkatalogs für sicheres Cloud Computing veröffentlicht. Als Cybersicherheitsbehörde Deutschlands schaffen wir damit einen zeitgemäßen, praxistauglichen Maßstab für alle, die Cloud-Dienste nutzen, prüfen, anbieten oder beschaffen.“
Damit wird deutlich, dass der C5:2026 nicht nur eine Aktualisierung darstellt, sondern einen strategischen Schritt hin zu mehr Sicherheit und Vergleichbarkeit in der Cloud-Nutzung.
Hintergrund: Weiterentwicklung eines etablierten Standards
Der C5 wurde bereits 2016 eingeführt und kontinuierlich weiterentwickelt. Mit der Version 2026 reagiert das BSI nun auf neue technologische Entwicklungen und veränderte Bedrohungslagen im Bereich Cloud Computing.
Ziel bleibt es, abstrakte Sicherheitsanforderungen in konkrete und prüfbare Kriterien zu übersetzen. Dadurch wird es Unternehmen ermöglicht, Cloud-Anbieter strukturiert zu bewerten und Sicherheitsniveaus besser miteinander zu vergleichen.
Wie Plattner hervorhebt, setzt der neue Standard genau hier an:
„Der aktualisierte C5 setzt die Wirkmacht seiner Vorgänger fort, indem er Sicherheitsversprechen von Cloud-Anbietern künftig noch besser vergleichbar macht und Unternehmen, Behörden und Organisationen hilft, fundierte Entscheidungen zu treffen.“
C5:2026 im Detail: Erweiterte Anforderungen und neue Schwerpunkte
Mit dem C5:2026 wurden die Anforderungen deutlich ausgeweitet und stärker an moderne Cloud-Architekturen angepasst. Der Kriterienkatalog adressiert nun verstärkt aktuelle Entwicklungen wie Container-Technologien, neue kryptographische Anforderungen sowie komplexe Lieferkettenstrukturen.
Damit trägt der Standard der zunehmenden technischen und organisatorischen Komplexität von Cloud-Diensten Rechnung und stärkt gleichzeitig die Auditierbarkeit und Nachvollziehbarkeit von Sicherheitsmaßnahmen.
Die Weiterentwicklung zeigt, dass Cloud-Sicherheit nicht statisch ist, sondern kontinuierlich an neue Risiken angepasst werden muss.
Einordnung: Cloud-Compliance als zentraler Bestandteil der IT-Governance
Der neue C5 verdeutlicht eine grundlegende Entwicklung: Cloud-Compliance wird zunehmend zu einem festen Bestandteil von Unternehmenssteuerung und Risikomanagement.
Unternehmen können sich nicht mehr allein auf vertragliche Zusicherungen von Cloud-Anbietern verlassen, sondern müssen deren Sicherheitsniveau aktiv bewerten und dokumentieren. Der C5 dient dabei als strukturierter Maßstab, der sowohl technische als auch organisatorische Anforderungen integriert.
Gleichzeitig stärkt der Standard die internationale Anschlussfähigkeit deutscher Sicherheitsanforderungen und trägt dazu bei, Cloud-Sicherheit über nationale Grenzen hinaus vergleichbar zu machen.
Bedeutung für Unternehmen: Frühzeitige Anpassung erforderlich
Für Unternehmen bedeutet der C5:2026 vor allem steigende Anforderungen an die eigene Cloud-Compliance. Insbesondere die Dokumentation von Sicherheitsmaßnahmen, die Auswahl geeigneter Anbieter sowie die Vorbereitung auf Audits rücken stärker in den Fokus.
Die strategische Bedeutung unterstreicht auch das BSI selbst:
„Mit dem C5:2026 unterstreichen wir unseren Anspruch, Cybersicherheit und Digitalisierung als Einheit zu denken: Er ist ein wichtiger Baustein für die Cybernation Deutschland, der auch international auf eine breite Resonanz stößt.“
Unternehmen sollten daher frühzeitig prüfen, inwieweit bestehende Cloud-Strukturen den neuen Anforderungen entsprechen und wo Anpassungsbedarf besteht.
Fazit
Mit dem C5:2026 setzt das BSI einen neuen Maßstab für Cloud-Compliance und Sicherheit. Der weiterentwickelte Kriterienkatalog zeigt, dass Cloud-Nutzung zunehmend reguliert und überprüfbar gestaltet wird.
Für Unternehmen wird deutlich, dass Cloud-Sicherheit nicht mehr nur ein technisches Detail ist, sondern ein zentraler Bestandteil moderner Compliance-Strukturen. Wer sich frühzeitig mit den neuen Anforderungen auseinandersetzt, kann Risiken minimieren und gleichzeitig Vertrauen bei Kunden und Partnern stärken.
