Das Bundesamt für Sicherheit in der Informationstechnik hat eine neue Version seines Kriterienkatalogs für Cloud-Sicherheit vorgelegt. Der „Cloud Computing Compliance Criteria Catalogue“ (C5) in der Fassung C5:2026 dient weiterhin als zentraler Referenzrahmen für Sicherheitsanforderungen an Cloud-Anbieter und deren Dienste in Deutschland.
Der C5:2026-Katalog definiert prüfbare Kriterien, die Unternehmen und Behörden bei der Bewertung von Cloud-Angeboten unterstützen sollen. Prüfungen werden durch Wirtschaftsprüfer durchgeführt, die nach erfolgreicher Kontrolle bestätigen, dass ein Anbieter die festgelegten Anforderungen erfüllt. Ziel ist es, Transparenz zu schaffen und die Grundlage für Risikobewertungen bei der Nutzung von Cloud-Diensten zu verbessern.
Mit der neuen Version reagiert das BSI auf technologische Entwicklungen und veränderte Bedrohungslagen. Erstmals werden Themen wie Container-Management, Post-Quanten-Kryptographie und Confidential Computing umfassend berücksichtigt. Gleichzeitig wurden bestehende Anforderungen, etwa zur Trennung von Kundensystemen und zum Management von Lieferketten, weiter präzisiert.
Der aktualisierte Kriterienkatalog orientiert sich zudem an europäischen und internationalen Standards. Dazu zählen unter anderem das geplante europäische Zertifizierungsschema für Cloud-Dienste sowie bestehende Normen und Regelwerke zur Informationssicherheit. In die Überarbeitung sind auch Rückmeldungen aus der Praxis eingeflossen, die im Rahmen eines offenen Konsultationsprozesses eingebracht wurden.






