|
19.05.2026
17:30 Uhr
|
Wir fassen zusammen, was sich mit der Aktualisierung des Cloud Computing Compliance Criteria Catalogue (C5) ändert und was das für Anbieter und Nutzer bedeutet.
Mit dem Cloud Computing Compliance Criteria Catalogue (C5) will das BSI die Informationssicherheit von Cloud-Diensten transparent und vergleichbar machen. Nach der ersten Version von 2016 und einer Aktualisierung im Jahr 2020 ist jetzt mit C5:2026 eine weitere Neuauflage erschienen. Lag der Schwerpunkt beim Vorgänger C5:2020 auf der Umsetzung des EU Cybersecurity Acts (EUCA) und damit auf mehr Produktsicherheit, so spielen bei der jüngsten Aktualisierung vor allem neue Themen eine Rolle, etwa Herausforderungen bei der Verschlüsselung, sichere Verarbeitung und das Mapping.
Für einige Bereiche wie den öffentlichen Sektor, Behörden und das Gesundheitswesen (bei Patientendaten in der Cloud) ist ein C5-Testat (Prüfbericht) verpflichtend. Für Bundesbehörden und die Betreiber kritischer Infrastrukturen (KRITIS) wird die Einhaltung des Kriterienkatalogs im Rahmen der Anwendung des Mindeststandards (MST) zur Nutzung externer Cloud-Dienste eingefordert, wenn diese Cloud-Dienste dienstliche Daten verarbeiten sollen.
Zulieferern für den öffentlichen Sektor dient C5 als gute Orientierung. Für Cloud-Anbieter, die an öffentlichen Ausschreibungen teilnehmen, kann eine C5-Prüfung verpflichtend sein. Insofern wird ein C5-Testat für sie zu einem Wettbewerbsvorteil und zu einem wichtigen Auswahlkriterium.