Was der neue Cloud Computing Compliance Criteria Catalogue fuer Ihre naechste Pruefung bedeutet, und wie Sie sich vor der Frist im Juni 2027 vorbereiten.
Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) hat den C5:2026 veroeffentlicht, die zweite wesentliche Ueberarbeitung seines Cloud Computing Compliance Criteria Catalogue. Fuer Cloud-Diensteanbieter, die auf dem europaeischen Markt taetig sind, und fuer jede Organisation, die Cloud-Infrastruktur fuer regulierte Workloads nutzt, veraendert dieses Update die Pruefungslandschaft grundlegend.
Dieser Leitfaden erlaeutert die pruefungsrelevanten Anforderungen des C5:2026, erklaert die wesentlichen Unterschiede zum Vorgaenger und bietet eine praxisorientierte Roadmap zur Vorbereitung auf die naechste Pruefung.
Eine C5-Pruefung ist eine unabhaengige Bewertung des internen Kontrollsystems eines Cloud-Diensteanbieters durch einen Dritten. Sie bewertet, ob die Grundsaetze, Verfahren und Massnahmen des Anbieters die im C5-Katalog des BSI definierten Sicherheitskriterien erfuellen.
Das BSI selbst ist an der Pruefung nicht beteiligt. Der Pruefer handelt unabhaengig und wird in der Regel vom Cloud-Diensteanbieter beauftragt, nicht vom Kunden. Der resultierende Bericht wird bestehenden und potenziellen Kunden zur Verfuegung gestellt, damit diese die Informationssicherheit des Cloud-Dienstes fuer ihren jeweiligen Anwendungsfall bewerten koennen.
Gemaess dem C5:2026 muessen Konformitaetsbewertungen nach ISAE 3000 (Revised), dem deutschen Pruefungsstandard PS 860 des IDW oder gleichwertigen nationalen Standards durchgefuehrt werden.
Der C5:2026 unterscheidet zwei Arten von Pruefberichten. Die Wahl haengt davon ab, wo Sie sich auf Ihrem Compliance-Weg befinden.
Ein Typ-1-Bericht bewertet, ob die Kontrollen des Cloud-Diensteanbieters zu einem bestimmten Stichtag angemessen konzipiert sind. Er beantwortet die Frage: "Sind die richtigen Kontrollen vorhanden?" Dieser Berichtstyp ist ausschliesslich fuer Erstpruefungen vorgesehen, beispielsweise bei der Einfuehrung eines neuen Cloud-Dienstes oder bei der ersten C5-Pruefung eines Anbieters. Typ-1-Berichte duerfen nicht wiederholt erstellt werden.
Ein Typ-2-Bericht geht weiter. Er bewertet sowohl die Konzeption als auch die Wirksamkeit der Kontrollen ueber einen bestimmten Zeitraum. Er beantwortet: "Sind die Kontrollen vorhanden, und haben sie ueber den Zeitraum tatsaechlich funktioniert?" Alle Folgepruefungen nach der Erstpruefung muessen Typ-2-Berichte sein. Der Mindestzeitraum betraegt drei Monate; der Hoechstzeitraum sollte in der Regel zwoelf Monate nicht ueberschreiten, wobei Ausnahmen zur Abstimmung mit anderen Pruefungszyklen moeglich sind.
Fuer Organisationen, die ihre erste C5-Pruefung durchlaufen, erlaubt der Katalog ausdruecklich, mit einem Typ-1-Bericht zu beginnen und in den Folgezyklen auf Typ 2 umzusteigen.
Der C5:2026 baut auf dem C5:2020 auf, fuehrt jedoch mehrere strukturelle und inhaltliche Aenderungen ein, die die Pruefungsvorbereitung unmittelbar betreffen.
Neue Kriterienstruktur mit Subkriterien. C5-Kriterien bestehen nun aus inhaltlich klar abgegrenzten Subkriterien. Dies ermoeglicht eine praezisere Zuordnung zu den Kontrollen im internen Kontrollsystem eines Cloud-Anbieters. Fuer Pruefer bedeutet dies mehr Klarheit bei der Pruefung; fuer Anbieter bedeutet es, dass Kontrollen auf einer granulareren Ebene dokumentiert werden muessen.
Neue Klassifizierung zusaetzlicher Kriterien. Zusaetzliche Kriterien werden nun explizit als "schaerfend" (Ersetzung eines Basissubkriteriums durch strengere Anforderungen) oder "ergaenzend" (Einfuehrung voellig neuer Aspekte, die von Basissubkriterien nicht abgedeckt werden) klassifiziert. Anbieter koennen einzelne zusaetzliche Subkriterien auswaehlen, ohne den gesamten Satz einzubeziehen, muessen jedoch die Begruendung fuer ihre Auswahl in der Systembeschreibung darlegen.
Neue Bereiche fuer aktuelle Technologien. Der C5:2026 fuehrt neue Kriterien fuer Container-Management, Post-Quanten-Kryptographie, Confidential Computing und Lieferkettenmanagement ein. Wenn Ihr Cloud-Dienst Container nutzt oder Confidential-Computing-Funktionen bietet, fallen diese Bereiche nun in den Pruefungsumfang.
Abstimmung mit EUCS und NIS2. Der C5:2026 integriert Anforderungen, die fuer das European Cybersecurity Certification Scheme for Cloud Services (EUCS) auf der Stufe "Substantial" entwickelt wurden, sowie die Durchfuehrungsverordnung zur NIS2-Richtlinie. Eine C5-Pruefung kann damit als solide Grundlage dienen, um die Konformitaet mit diesen uebergeordneten europaeischen Rahmenwerken nachzuweisen.
Der C5:2026 fuehrt einen klaren Uebergangszeitplan ein, den Anbieter und Pruefer beruecksichtigen muessen.
Fuer Typ-1-Berichte: Die Kriterien des C5:2026 muessen fuer alle Pruefungsauftraege mit einem Stichtag am oder nach dem 1. Juni 2027 angewendet werden.
Fuer Typ-2-Berichte: Die Kriterien des C5:2026 muessen fuer alle Pruefungsauftraege angewendet werden, deren Pruefungszeitraum am oder nach dem 1. Juni 2027 beginnt.
Mischung ist nicht erlaubt. Wenn der Pruefungszeitraum eines Typ-2-Auftrags vor dem 1. Juni 2027 beginnt und danach endet, sollte der Auftrag ausschliesslich die Kriterien des C5:2020 verwenden. Die Kombination von Kriterien aus beiden Versionen im selben Auftrag ist ausdruecklich untersagt.
Eine fruehere Anwendung des C5:2026 ist zulaessig, sodass Anbieter die Moeglichkeit haben, der Frist voraus zu sein.
Anbieter, die derzeit ein C5:2020-Testat besitzen, muessen jetzt mit der Anpassung ihrer Kontrollen beginnen. Endet der Pruefungszeitraum am oder nach dem 28. Februar 2027, muss der Anbieter in seiner Systembeschreibung Informationen ueber geplante Aenderungen aufnehmen — einschliesslich Umsetzungsstatus und voraussichtlicher Termine.
Der C5:2026 stellt spezifische Anforderungen an die Mitglieder des Pruefungsteams. Diejenigen, die den Auftrag ueberwachen und das Ergebnis ueberpruefen, muessen entweder drei Jahre einschlaegige Berufserfahrung mit IT-Pruefungen in einer Wirtschaftspruefungsgesellschaft vorweisen oder eine der folgenden Zertifizierungen besitzen: CISA, CISM oder CRISC von ISACA; ISO 27001 Lead Auditor oder BSI-zertifizierter ISO 27001 Auditor fuer BSI IT-Grundschutz; CCSK der Cloud Security Alliance; CCSP von (ISC)²; oder CISSP von (ISC)².
Bei der Auswahl eines Pruefers sollten Sie daher sicherstellen, dass das Pruefungsteam diese Qualifikationsanforderungen erfuellt und dass die Einhaltung im Abschnitt "Unabhaengigkeit und Qualitaetsmanagement" des Pruefberichts bestaetigt wird.
Wenn Ihr Cloud-Dienst auf Infrastruktur Dritter angewiesen ist — Rechenzentren, Plattformen anderer Cloud-Anbieter oder ausgelagerte Komponenten — nimmt der C5:2026 diese Beziehungen ernst.
Eine Dienstleistungsorganisation gilt als "Subdienstleister" im Sinne des Katalogs, wenn zwei Bedingungen erfuellt sind: Erstens sind die erbrachten Dienstleistungen voraussichtlich relevant fuer das Verstaendnis der Cloud-Dienstekunden bezueglich der C5-Kriterien. Zweitens sind ergaenzende Kontrollen der Subdienstleistungsorganisation (CSOC) in Kombination mit den Kontrollen des Anbieters erforderlich, um die anwendbaren C5-Kriterien zu erfuellen.
Der Anbieter muss zwischen der Einbeziehungsmethode (bei der die Kontrollen des Subdienstleisters in den Pruefungsumfang einbezogen werden) und der Carve-Out-Methode (bei der sie ausgeschlossen werden) waehlen. In beiden Faellen muss die Systembeschreibung die Art der erbrachten Dienstleistungen, den Ort der Datenverarbeitung und -speicherung, eine Bewertung der Komplexitaet der Abhaengigkeit sowie die Verfuegbarkeit von Pruefberichten des Subdienstleisters offenlegen.
Der C5:2026 warnt ausdruecklich davor, die Carve-Out-Methode als Mittel zu nutzen, um den Nachweis der Konformitaet zu umgehen. Der Cloud-Diensteanbieter bleibt letztlich dafuer verantwortlich, dass Entwicklung und Betrieb des Cloud-Dienstes die anwendbaren C5-Kriterien erfuellen.
Der C5:2026 gliedert seine Kriterien in 17 Bereiche, jeweils mit einem definierten Sicherheitsziel. Das Verstaendnis dieser Bereiche hilft Anbietern, ihre bestehenden Kontrollen dem Pruefungsumfang zuzuordnen:
| Nr. | Bereich | Ziel |
|---|---|---|
| 1 | Organisation der Informationssicherheit (OIS) | Planung, Umsetzung und Pflege des Informationssicherheits-Frameworks |
| 2 | Sicherheitsrichtlinien und -verfahren (SP) | Bereitstellung von Richtlinien und Verfahren fuer Sicherheitsanforderungen |
| 3 | Personal (HR) | Sicherstellung, dass das Personal seine Sicherheitsverantwortung versteht |
| 4 | Asset Management (AM) | Identifizierung und Schutz von Assets ueber ihren gesamten Lebenszyklus |
| 5 | Physische Sicherheit (PS) | Verhinderung unbefugten physischen Zugangs, Diebstahls und von Ausfaellen |
| 6 | Betrieb (OPS) | Ordnungsgemaesser Betrieb, Malware-Schutz, Backup, Logging und Schwachstellenmanagement |
| 7 | Identitaets- und Zugriffsmanagement (IAM) | Sichere Autorisierung und Authentifizierung zur Verhinderung unbefugten Zugriffs |
| 8 | Kryptographie und Schluesselmanagement (CRY) | Wirksamer Einsatz von Kryptographie fuer Vertraulichkeit, Authentizitaet und Integritaet |
| 9 | Kommunikationssicherheit (COS) | Schutz von Informationen in Netzwerken und Verarbeitungssystemen |
| 10 | Portabilitaet und Interoperabilitaet (PI) | Datenzugang, Portabilitaet und sichere Loeschung ermoeglichen |
| 11 | Beschaffung, Entwicklung und Aenderung (DEV) | Informationssicherheit im Entwicklungszyklus gewaehrleisten |
| 12 | Steuerung von Dienstleistern und Lieferanten (SSO) | Schutz von Informationen bei Dienstleistungsorganisationen |
| 13 | Sicherheitsvorfallmanagement (SIM) | Konsistente Erfassung, Bewertung und Behandlung von Vorfaellen |
| 14 | Business Continuity Management (BCM) | Aufrechterhaltung der Geschaeftskontinuitaet und des Notfallmanagements |
| 15 | Compliance (COM) | Vermeidung von Verstoessen gegen rechtliche und regulatorische Anforderungen |
| 16 | Umgang mit Ermittlungsanfragen (INQ) | Angemessene Behandlung behoerdlicher Ermittlungsanfragen |
| 17 | Produktsicherheit (PSS) | Bereitstellung von Informationen zur sicheren Konfiguration und zu Schwachstellen |
Ein haeufig uebersehener Aspekt: Der C5:2026 stellt klar, dass die Aufrechterhaltung der Informationssicherheit eines Cloud-Dienstes nicht allein in der Verantwortung des Anbieters liegt. Auch die Kunden muessen in ihrem Verantwortungsbereich mitwirken.
Die folgende Grafik veranschaulicht, wie sich diese Verantwortung je nach Servicemodell verschiebt. In einer IaaS-Umgebung verwaltet der Kunde den groessten Teil des Stacks — vom Betriebssystem ueber Anwendungen bis hin zur Datenzugriffskontrolle. Bei PaaS uebernimmt der Anbieter die Runtime- und Betriebssystem-Ebenen. Im SaaS-Modell liegt fast alles beim Anbieter; der Kunde ist nur noch fuer Daten und Zugriffskontrolle verantwortlich. Der C5:2026 formalisiert diese Grenzen durch ergaenzende Kundenkriterien (CUEC) fuer ausgewaehlte C5-Kriterien, bei denen diese Kooperation wesentlich ist.
Je weiter man sich von IaaS in Richtung SaaS bewegt, desto mehr Verantwortung geht auf den Anbieter ueber. Doch selbst in einer vollstaendig verwalteten SaaS-Umgebung bleibt der Kunde fuer Datenklassifizierung und Zugriffskontrolle verantwortlich — ein Punkt, den der C5:2026 durch seine ergaenzenden Kundenkriterien (CUEC) ausdruecklich unterstreicht.
Cloud-Dienstekunden sollten C5-Berichte nicht nur daraufhin bewerten, was der Anbieter nachweist, sondern auch pruefen, was sie selbst auf ihrer Seite umsetzen muessen.
Basierend auf den Anforderungen des C5:2026 ergibt sich folgender strukturierter Ansatz zur Vorbereitung auf die naechste C5-Pruefung:
1. Bewerten Sie Ihren aktuellen Stand gegenueber dem C5:2026. Wenn Sie bereits ein C5:2020-Testat besitzen, nutzen Sie die Cross-Reference-Tabelle des BSI (verfuegbar unter https://www.bsi.bund.de/C5), um Luecken zwischen Ihren bestehenden Kontrollen und den neuen Anforderungen zu identifizieren. Achten Sie besonders auf neu eingefuehrte Kriterien zu Container-Management, Confidential Computing und Lieferkettenmonitoring.
2. Strukturieren Sie Ihre Dokumentation um. Das neue Subkriterien-Format erfordert granularere Kontrollbeschreibungen. Ueberpruefen Sie Ihre Systembeschreibung, um sicherzustellen, dass jedes Subkriterium einzeln adressiert wird und eine klare Zuordnung zu Ihren internen Kontrollen besteht.
3. Bewerten Sie Ihre Subdienstleister. Stellen Sie fest, ob Ihre Drittanbieter-Beziehungen als Subdienstleistungsorganisationen im Sinne des C5:2026 gelten. Entscheiden Sie sich fuer die Einbeziehungs- oder Carve-Out-Methode und stellen Sie sicher, dass die erforderlichen Angaben in Ihrer Systembeschreibung enthalten sind.
4. Bereiten Sie Ihre Angaben zu den Rahmenbedingungen (GC) vor. Abschnitt 4 des C5:2026 verlangt von Anbietern die Offenlegung von Informationen zu Rechtsordnung und Gerichtsstand, Verfuegbarkeitszusagen (einschliesslich SLAs), Wiederherstellungsparametern (RTO, RPO, MTPD, MBCO), vorhandenen Zertifizierungen und dem Umgang mit behoerdlichen Ermittlungsanfragen. Diese Informationen muessen transparent und verstaendlich sein.
5. Planen Sie Ihren Uebergangszeitplan. Arbeiten Sie vom 1. Juni 2027 rueckwaerts, um sicherzustellen, dass Ihre Kontrollen vor diesem Datum angepasst, dokumentiert und operativ sind. Endet Ihr aktueller Pruefungszeitraum am oder nach dem 28. Februar 2027, beginnen Sie jetzt damit, Informationen ueber geplante Aenderungen in Ihre Systembeschreibung aufzunehmen.
6. Binden Sie Ihren Pruefer fruehzeitig ein. Besprechen Sie den Uebergangsplan mit Ihrem Pruefer, ueberpruefen Sie, ob das Pruefungsteam die Qualifikationsanforderungen des C5:2026 erfuellt, und klaeren Sie, ob ein Attestation Engagement oder ein Direct Engagement fuer Ihre Situation geeigneter ist.
Der C5:2026 bietet zwei Pruefungsansaetze.
Bei einem Attestation Engagement erstellt der Cloud-Diensteanbieter eine formelle Beschreibung seines internen Kontrollsystems sowie eine Managementerklärung (Written Statement). Der Pruefer bewertet dann, ob diese Beschreibung sachgerecht dargestellt ist und ob die Kontrollen die anwendbaren C5-Kriterien erfuellen.
Bei einem Direct Engagement erstellt der Anbieter keine formelle Beschreibung. Stattdessen identifiziert der Pruefer die relevanten Aspekte des internen Kontrollsystems durch Befragung von Fachexperten und direkte Pruefung der Dokumentation. Dieser Ansatz eignet sich besonders fuer Anbieter, die ihr internes Kontrollsystem noch nicht ausreichend dokumentiert haben.
Beide Ansaetze erfordern hinreichende Sicherheit (reasonable assurance) und koennen zu Typ-1- oder Typ-2-Berichten fuehren.
Der C5:2026 spiegelt das Engagement des BSI wider, Cloud-Sicherheitsstandards mit dem Tempo des technologischen Wandels in Einklang zu halten — von Containerisierung und Post-Quanten-Kryptographie bis hin zur sich weiterentwickelnden europaeischen Regulierungslandschaft rund um EUCS und NIS2. Fuer Cloud-Diensteanbieter ist die Botschaft eindeutig: Beginnen Sie jetzt mit der Vorbereitung, und betrachten Sie die Frist im Juni 2027 nicht als Klippe, sondern als Meilenstein auf einem kontinuierlichen Compliance-Weg.
Der vollstaendige C5:2026-Katalog ist verfuegbar unter https://www.bsi.bund.de/C5.
Quelle: BSI, "Cloud Computing Compliance Criteria Catalogue (C5:2026)," Bundesamt fuer Sicherheit in der Informationstechnik.
CertHub bietet Software für digitales Qualitätsmanagementsystem (QMS) und Technische Dokumentation, damit Hersteller von Medizinprodukten ihre Produkte deutlich schneller auf den Markt bringen können.
© CertHub 2025
