BSI aktualisiert Cloud-Security-Standard C5:2026: Strengere Anforderungen und Post-Quanten-Kryptografie

Kurzfassung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die aktualisierte Version des Kriterienkatalogs C5:2026 veröffentlicht. Der Standard definiert Mindestanforderungen für sicheres Cloud-Computing und ersetzt die Version von 2020. C5 gilt als massgeblicher Standard für deutsche Behörden, Finanzdienstleister, Banken und das Gesundheitswesen. Die neue Version enthält präzisere Vorgaben zu Container-Management und umfassende Regelungen zur Post-Quanten-Kryptografie. Der Katalog wird erstmals in maschinenlesbarem Format verfügbar sein.

Personen

• Claudia Plattner (BSI-Präsidentin)
• Thomas Caspers (BSI-Vizepräsident)

Themen

• Cloud-Security
• Kryptografie
• Compliance-Standards
• Digitale Souveränität

Clarus Lead

Die Aktualisierung adressiert zentrale Herausforderungen der Branche: Post-Quanten-Kryptografie wird zur Norm, während Container-Management deutlich strenger reguliert wird. Für Organisationen in regulierten Sektoren (Gesundheit, Finanzen, öffentliche Verwaltung) entstehen neue Compliance-Anforderungen. Das BSI plant zusätzlich ein eigenständiges Souveränitätskriterien-Framework, das eine doppelte Prüflast signalisiert – eine Reaktion auf wachsende Datenschutz- und Geopolitik-Debatten.

Detaillierte Zusammenfassung

Strukturelle Verbesserungen und Maschinenlesbarkeit

Die überarbeitete Struktur mit Unter- und Zusatzkriterien schafft Klarheit bei Prüfung und Auswertung. Zum ersten Mal wird der Katalog in maschinenlesbarem Format bereitgestellt, was Automatisierungsprozesse für Cloud-Anbieter und Prüfstellen erleichtern soll. Allerdings bleibt das Grundproblem bestehen: Die offizielle Zertifizierung ist kostenintensiv und damit vor allem für grössere, etablierte Unternehmen realistisch umzusetzen.

Post-Quanten-Kryptografie und technische Vorgaben

Kapitel 5.8 des neuen Standards regelt umfassend die Post-Quanten-Kryptografie. Cloud-Anbieter müssen Hybridverfahren einsetzen, um absehbar schwache Verfahren zu härten. Das BSI hat dabei Community-Feedback der letzten fünf Jahre berücksichtigt, insbesondere Anforderungen, die in bilateralen Cloud-Kooperationen mit europäischen und US-amerikanischen Anbietern bereits definiert wurden. Neben Verschlüsselung regelt C5:2026 auch Container-Management deutlich präziser als die Vorgängerversion – ein kritischer Bereich für moderne Cloud-Infrastrukturen.

Rechtliche und organisatorische Anforderungen

Der Katalog verpflichtet Cloud-Anbieter, transparent darzulegen, welchem Recht sie und ihre Konzernmütter unterliegen. Die Datenanfragen durch Behörden müssen vollständig dokumentierbar sein. Zentrale Definitionen (Zonen, Partitionen, Locations) werden verbindlich festgelegt, um Interpretationsunsicherheiten zu eliminieren. Das BSI plant die baldige Veröffentlichung zusätzlicher Souveränitätskriterien, die Cloud-Lösungen an politische Unabhängigkeit binden werden.

Kernaussagen

• C5:2026 erhöht die Sicherheitsstandards für Cloud-Computing in Deutschland mit spezifischen Anforderungen zu Post-Quanten-Kryptografie und Container-Management
• Maschinenlesbare Formate ermöglichen Automatisierung, reduzieren aber nicht die Gesamtkomplexität der Zertifizierung
• Souveränitätskriterien in Vorbereitung deuten auf politische Priorisierung von Datenschutz und europäischer Unabhängigkeit in Cloud-Infrastrukturen

Kritische Fragen

1. Evidenzqualität: Auf welchen Studien oder Vorfällen basiert die Priorisierung von Post-Quanten-Kryptografie in C5:2026? Wurde ein konkreter Timeline-Horizon für Quantencomputer-Bedrohungen zu Grunde gelegt?

2. Umsetzungskosten: Wie wird das BSI mit dem anerkannten Problem umgehen, dass Zertifizierungskosten kleinere Anbieter ausschliessen und damit Marktkonzentration verstärken?

3. Kausalität: Inwiefern sind die neuen Souveränitätskriterien eine technische Sicherheitsmassnahme und inwiefern eine politische Reaktion auf geopolitische Spannungen – wo verläuft die Grenze?

4. Interoperabilität: Wie wird C5:2026 mit internationalen Standards (ISO 27001, AWS/Azure-Compliance) harmonisiert, besonders bei Hybrid-Cloud und Multi-Provider-Setups?

5. Monitoring: Welche Mechanismen sieht C5:2026 vor, um zu verhindern, dass Anbieter Compliance-Anforderungen nur auf dem Papier erfüllen?

6. Grenzen der Maschinenlesbarkeit: Reduziert das maschinenlesbare Format wirklich die Prüflast, oder verschiebt es die Komplexität auf die Interpretation der Maschinen-Output?

Quellenverzeichnis

Primärquelle: BSI aktualisiert Cloud-Security-Standard C5:2026 – https://www.heise.de/news/BSI-Kriterienkatalog-fuer-Cloud-Computing-C5-verlangt-mehr-11247015.html

Verifizierungsstatus: ✓ 2025

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 2025