22. Apr. 2026
Mehr als „nur“ Security – C5:2026 als Praxis-Katalog für Cloud-Souveränität
Cloud ist längst nicht mehr nur Infrastruktur. Sie ist der Ort, an dem Geschäftsprozesse laufen, Daten entstehen und sich die Digitalisierung von Wirtschaft, Verwaltung sowie Gesellschaft abspielt. Entsprechend verschieben sich die Anforderungen: Es geht nicht mehr nur darum, ob ein Cloud-Anbieter „sicher“ ist, sondern wie gut Kunden ihre Risiken, Abhängigkeiten und Kontrollmöglichkeiten beurteilen und steuern können. Cyber Security und Digitale Souveränität gehören zusammen, weil ohne überprüfbare Sicherheits- und Transparenzeigenschaften keine souveränen Cloud-Entscheidungen möglich sind.
Die Basis hierfür liefert seit 2016 der Cloud Computing Compliance Criteria Catalogue des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dieser Kriterienkatalog legt die Mindeststandards für den sicheren Betrieb von Cloud-Anwendungen fest. Nach einer ersten Überarbeitung 2020 erschien im März 2026 nun eine zweite Version – C5:2026. Das BSI richtet die Kriterien damit stärker an internationalen/europäischen Anforderungen aus und präzisiert deren Umsetzung in der Praxis.
Was C5:2026 grundsätzlich verändert
Das BSI beschreibt C5 als Standard, der Transparenz über Sicherheitsmerkmale von Cloud-Systemen schafft, um Risiken, Resilienz sowie Lieferketten und Abhängigkeiten bewerten zu können. Damit adressiert es ein Kernproblem vieler Cloud-Vorhaben: Das Sicherheitsniveau ist nicht nur eine technische Eigenschaft, sondern auch eine Frage der Nachweisbarkeit und Vergleichbarkeit.
Mit der Neugestaltung von C5 will das BSI Cloud-Angebote vergleichbarer machen, Audits präziser gestalten und Kunden in die Lage versetzen, Cloud-Nutzung risikobasiert und souverän zu steuern.
Viele bewährte Kriterien aus 2020 blieben auch in der überarbeiteten Version erhalten und wurden durch Kriterien ergänzt, die aktuelle technologische sowie regulatorische Entwicklungen berücksichtigen.
Hierzu zählen:
- Regulatorik und Gesetzgebung wie das Cloud-Zertifizierungschema EUCS, CSA Cloud Controls Matrix Version 4, ISO/IEC 27001:2022 oder die NIS2-Direktive
- Technische Entwicklungen wie Container Management, Post-Quanten-Kryptografie oder Confidential Computing
Feedback zu C5:2020
Die wichtigsten Neuerungen in C5:2026
Neue Kriterien für die moderne Cloud-Realität: Container, Supply Chain, PQC, Confidential Computing
C5:2026 ergänzt neue Anforderungen, die auf aktuelle Entwicklungen zielen: Container Management, Supply Chain Management, Post-Quanten-Kryptografie und Confidential Computing.
Konsequenz für IT-Security
Container werden vom Implementierungsdetail zum Prüfgegenstand. Wer cloud-native Plattformen betreibt, muss Security als prozess- und kontrollfähiges System nachweisen (Policies, Umsetzung, Nachvollziehbarkeit). Außerdem rückt die Supply Chain stärker in den Vordergrund: Sicherheitsversprechen enden nicht am Perimeter des Cloud-Providers, sondern reichen in Subdienstleister, Toolchains und Betriebsabhängigkeiten. Wichtig für die Schutzbedarfsdiskussion: Wer PQC im Testat nachweisen will, muss dies explizit als Zusatzkriterium einschließen – es reicht nicht, ein C5-Basistestat vorzulegen.
Konsequenz für digitale Souveränität
Souveränität ist ohne transparente Lieferkette schwer: Wer nicht weiß, wer Zugriff hat, wo Abhängigkeiten liegen und wie Subdienstleister eingebunden sind, kann Risiken kaum wirksam steuern. Souveränität bedeutet auch Zukunftsfähigkeit und Schutz vor „harvest now, decrypt later“-Szenarien sowie stärkere technische Garantien für Daten/Workloads – gerade in Multi-Tenant-Umgebungen.
Multi-Tenancy & technische Umsetzung von Souveränität werden detaillierter
Das Dokument nennt eine detailliertere Betrachtung von Multi-Tenancy und der technischen Implementierung von Souveränität als zentralen Fortschritt.
Konsequenz für IT-Security
Multi-Tenancy ist in der Praxis ein Bündel aus Isolationsmechanismen, IAM-Design, Schlüsselmanagement, Logging/Monitoring und Betriebsprozessen. C5:2026 erhöht die Wahrscheinlichkeit, dass implizite Annahmen in Audits nicht mehr durchgehen („macht der Hyperscaler schon“), sondern explizit belegt werden müssen.
Konsequenz für digitale Souveränität
Souveränität heißt hier nicht autark, sondern, dass Kunden nachvollziehen und bewerten können, welche Isolations- und Kontrollmechanismen existieren. So können sie entscheiden, welches Restrisiko sie akzeptieren und daraus Anforderungen ableiten.
Schärferer Datenbezug: Welche Kriterien gelten für welche Datentypen?
C5:2026 schärft, auf welche Datentypen einzelne Kriterien anzuwenden sind – basierend auf häufigem Feedback zu C5:2020. Die Definitionssektion unterscheidet u. a. Customer Data, Provider Data, Derived Data (z. B. Logdaten) und Account Data.
Konsequenz für IT-Security
Diese Schärfung reduziert Grauzonen: Logging, Monitoring, Zugriffskontrollen und Verschlüsselung lassen sich besser an konkreten Datentypen festmachen. Gerade bei Logdaten („derived data“) war in der Praxis oft unklar, was wie geschützt werden muss.
Konsequenz für digitale Souveränität
Datenklassifizierung ist Souveränitätsgrundlage: Wer nicht sauber unterscheiden kann, welche Daten wo entstehen und wer sie kontrolliert, kann weder Exit-Strategien noch Zugriffsbeschränkungen sauber definieren.
Struktur-Update: Subkriterien und EUCS-Nähe
C5:2026 überarbeitet die Struktur im Sinne des EU Cloud Certification Scheme (EUCS): Kriterien bestehen nun aus klar abgegrenzten Subkriterien, was präziseres Mapping zu Provider-Kontrollen und mehr Audit-Klarheit ermöglichen soll. Zusätzlich wird die Aufteilung in Basiskriterien und Zusatzkriterien beibehalten und explizit weiter differenziert.
Konsequenz für IT-Security
Mehr Granularität heißt in der Praxis mehr Evidenz pro Teilaspekt. Außerdem steigt für Cloud-Provider der Aufwand für saubere Kontrollbeschreibungen. Für Kunden steigt auf der anderen Seite der Nutzen, weil Berichte besser vergleichbar werden.
Konsequenz für digitale Souveränität
Vergleichbarkeit ist ein Souveränitätshebel: Wenn man Anbieter nicht vergleichen kann, ist Wahlfreiheit theoretisch. Auch schafft Vergleichbarkeit europäische Handlungsfähigkeit: Die EUCS-Kompatibilität von C5:2026 ist ein erster Schritt hin zu einem gemeinsamen europäischen Vertrauensrahmen für Cloud-Sicherheit.
Zusatzkriterien werden explizit: sharpen vs. complement
Neu ist die klare Klassifizierung zusätzlicher Kriterien:
- Sharpen = strengere Anforderungen als Ersatz für ein Basic-Subkriterium
- Complement = ergänzt neue Anforderungen zusätzlich
Technisch wichtig: Ein Sharpening-Kriterium ersetzt im Audit das zugehörige Basiskriterium – wer es erfüllt, muss das Basiskriterium nicht separat nachweisen. Ein Complement-Kriterium kommt dagegen obendrauf. Das vereinfacht die Auditplanung erheblich, weil Überschneidungen und Doppelnachweise vermieden werden.
Konsequenz für IT-Security
Das hilft bei der Schutzbedarfsdiskussion: „Wir brauchen mehr als Basic“ heißt künftig nicht mehr nur „mehr Controls“, sondern entweder höhere Strenge oder mehr Umfang – und das lässt sich sauber steuern.
Konsequenz für digitale Souveränität
Souveräne Entscheidungen brauchen Abstufungen. Das Modell unterstützt, Anforderungen entlang Schutzbedarf und Kritikalität nachvollziehbar zu skalieren.
Sicher und souverän in die Cloud mit Accso
Wir bei Accso begeistern uns für die vielfältigen Möglichkeiten, die die Cloud unseren Kunden bietet. Wie so häufig, gibt es dabei nicht die eine Lösung für alle Herausforderungen. Auch persönliche Präferenzen, bestehende Infrastruktur und Regularien wie Datenschutzbestimmungen oder Digitale Souveränität beeinflussen die Wahl der Plattform. Daher beschäftigen wir uns intensiv mit verschiedenen Anbietern und verfügen über technologische Expertise zu allen gängigen Cloud-Plattformen wie Amazon Web Service, Google Cloud Plattform, Microsoft Azure, IONOS SE oder STACKIT.
Unsere zertifizierten Expert:innen bieten umfassende Erfahrung im Entwurf und der Umsetzung großer unternehmenskritischer IT-Systeme. Dabei entwickeln wir speziell auf die Bedürfnisse unserer Kunden abgestimmte, solide, langlebige und zukunftssichere Software-Architekturen.
Wir beraten Sie gerne, sprechen Sie uns an!
