BSI aktualisiert Cloud-Security-Standard C5:2026: Neue Anforderungen für Verschlüsselung und Container-Management

Kurzfassung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Kriterienkatalog C5 für sicheres Cloud-Computing in der aktualisierten Version C5:2026 veröffentlicht. Der Standard ersetzt die 2020er-Version und definiert Mindestanforderungen für Cloud-Dienste in Deutschland. C5 ist gesetzlich verpflichtend im Gesundheitswesen, Finanzsektor und bei staatlichen Stellen. Die neue Version verschärft Vorgaben zu Container-Management und Post-Quanten-Kryptografie. Das BSI wird den Katalog erstmals auch in maschinenlesbarem Format bereitstellen.

Personen

• Claudia Plattner (BSI-Präsidentin)
• Thomas Caspers (BSI-Vizepräsident)

Themen

• Cloud-Security und Datenschutz
• Post-Quanten-Kryptografie
• IT-Regulierung und Compliance
• Automatisierung von Sicherheitsprüfungen

Clarus Lead

C5:2026 reagiert auf veränderte Bedrohungsszenarien im Cloud-Computing, insbesondere durch die wachsende Relevanz von Post-Quanten-Kryptografie. Für Unternehmen und öffentliche Einrichtungen wird die Compliance-Last grösser: Die detaillierten neuen Vorgaben zu Container-Management und Verschlüsselung erfordern erhebliche technische Anpassungen. Die Einführung maschinenlesbarer Formate signalisiert einen Shift hin zu automatisierten Compliance-Prozessen – bleibt aber teuer für kleinere Anbieter.

Detaillierte Zusammenfassung

Der aktualisierte Katalog konkretisiert zentrale Begriffe wie „Zone", „Partition" und „Location" im Cloud-Betrieb und schafft damit eine verlässliche Definitonsgrundlage für alle Beteiligten. BSI-Präsidentin Claudia Plattner bezeichnet C5:2026 als „zeitgemässen und praxistauglichen Massstab" – eine Einschätzung, die durch die Tatsache gestützt wird, dass viele der neuen Vorgaben bereits in bilateralen Cloud-Kooperationen des BSI mit europäischen und US-amerikanischen Anbietern erprobt wurden.

Kapitel 5.8 widmet sich explizit der Post-Quanten-Kryptografie und definiert Hybridverfahren, um absehbar schwache Verschlüsselungsstandards zu härten. Parallel zu den organisatorischen und rechtlichen Anforderungen (Angaben zu anwendbarem Recht, Datenlokalität, Auskunftsverpflichtungen) enthält die neue Version umfassende Sicherheitskriterien vom Schutz von Kundendaten bis zum Vorfallmanagement. Besonders verschärft wurden die Vorgaben zum Container-Management.

BSI-Vizepräsident Thomas Caspers betont, dass die überarbeitete Struktur mit Unterkriterien und Zusatzkriterien „mehr Klarheit bei Prüfung, Zuordnung und Auswertung" schafft. Die Bereitstellung in maschinenlesbarem Format ist ein Novum und soll Automatisierungsprozesse vereinfachen. Das BSI kündigt zudem an, ergänzend allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen zu veröffentlichen.

Ein strukturelles Problem bleibt bestehen: Offizielle Zertifizierung nach C5 ist aufwendig und kostspielig – ein Hindernis besonders für kleinere Anbieter.

Kernaussagen

• C5:2026 ersetzt die 2020er-Version und wird zum Standard für deutsche Cloud-Security-Regulierung
• Post-Quanten-Kryptografie und Hybrid-Verschlüsselung sind nun explizit in den Katalog integriert
• Container-Management erfährt signifikante Verschärfung; maschinenlesbare Formate ermöglichen Automatisierung
• Zertifizierungskosten bleiben ein Markteintrittshindernis für kleinere Anbieter

Kritische Fragen

1. Evidenz/Datenqualität: Auf welcher Grundlage hat das BSI die konkreten technischen Schwellwerte für Post-Quanten-Hybrid-Verfahren definiert? Welche Gutachten oder Standards wurden berücksichtigt?

2. Interessenkonflikte: Inwiefern beeinflussen die bereits durchgeführten bilateralen Kooperationen mit einzelnen Cloud-Anbietern die Neutralität der C5-Kriterien?

3. Kausalität/Alternativen: Warum wurde die maschinenlesbare Version nicht bereits bei C5:2020 eingeführt? Welche technischen oder organisatorischen Hindernisse bestanden damals?

4. Umsetzbarkeit/Risiken: Welche Übergangsfrist erhalten bestehende Zertifizierungsinhaber, um von C5:2020 auf C5:2026 zu migrieren? Drohen Betriebsunterbrechungen?

5. Interessenkonflikte: Profitieren Zertifizierungsauditor:innen und Beratungsunternehmen überproportional von der erhöhten Komplexität des neuen Standards?

6. Evidenz: Liegen Metriken vor, die zeigen, wie viele Cloud-Anbieter die 2020er-Version nicht erfüllt haben? Wie wird der Erfolg von C5:2026 gemessen?

Quellenverzeichnis

Primärquelle: BSI-Kriterienkatalog für Cloud-Computing: C5 verlangt mehr – heise online

Verifizierungsstatus: ✓ 2024

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 2024