Das BSI hat seinen Cloud Computing Compliance Criteria Catalogue grundlegend überarbeitet und Anfang April 2026 die Version C5:2026 veröffentlicht. Für Unternehmen, die ihre IT zunehmend in die Cloud verlagern, ist das ein guter Anlass, die eigene Cloud-Sicherheit auf den Prüfstand zu stellen.
Was der C5-Katalog ist — und warum er zählt
Der C5-Katalog ist seit 2016 der zentrale Sicherheitsmaßstab für Cloud-Dienste in Deutschland. Cloud-Anbieter lassen sich gegen den Katalog prüfen; das Ergebnis ist ein C5-Testat, mit dem ein unabhängiger Wirtschaftsprüfer die umgesetzten Sicherheitsmaßnahmen bestätigt. Für Cloud-Nutzer ist dieses Testat eines der wenigen belastbaren Instrumente, um die Sicherheit eines Anbieters überhaupt beurteilen zu können — statt sich auf Marketingversprechen verlassen zu müssen.
Was sich mit C5:2026 ändert
Die Überarbeitung ist mehr als ein kosmetisches Update:
- Mehr Kriterien, klarere Struktur: C5:2020 umfasste 121 Kriterien — C5:2026 sind es 168 Kriterien in 17 Themenbereichen. Die Kriterien sind nun in klar abgegrenzte Unterkriterien gegliedert, was die Zuordnung zu Anbieter-Kontrollen und die Bewertung von Prüfberichten erleichtert.
- Neue technische Themen: Aufgenommen wurden aktuelle Entwicklungen wie Container-Management, Lieferkettensicherheit (Supply Chain Management), Post-Quantum-Kryptografie und Confidential Computing.
- Ausrichtung an EUCS: Die Struktur wurde mit dem geplanten europäischen Zertifizierungsschema für Cloud-Dienste (EUCS) abgestimmt — das erleichtert künftig die Übertragbarkeit über Ländergrenzen hinweg.
- Maschinenlesbar: Erstmals liegt der Katalog auch in einem maschinenlesbaren Format vor, was die Integration in eigene GRC- und Audit-Werkzeuge vereinfacht.
Warum das auch Cloud-Nutzer angeht — nicht nur Anbieter
Ein verbreitetes Missverständnis lautet: „C5 ist Sache des Anbieters.” Das stimmt nur zur Hälfte. Cloud-Sicherheit folgt dem Prinzip der geteilten Verantwortung — der Anbieter sichert die Plattform, der Kunde verantwortet Konfiguration, Zugriffsrechte, Datenklassifizierung und vieles mehr. Genau diese Trennlinie macht der C5-Katalog explizit: Er benennt für jedes Kriterium auch die Aufgaben, die beim Kunden verbleiben.
Ein C5-Testat des Anbieters entbindet Sie nicht von Ihrer eigenen Hausaufgabe — es zeigt Ihnen, wo diese Hausaufgabe beginnt.
Für Unternehmen heißt das konkret: C5:2026 ist nicht nur ein Prüfmaßstab für Lieferanten, sondern auch eine Checkliste für die eigene Cloud-Governance. Wer ein ISMS nach ISO 27001 betreibt, kann die C5-Kriterien zudem als Brücke nutzen — viele Anforderungen lassen sich auf bestehende Maßnahmen abbilden.
Was Unternehmen jetzt tun sollten
- Cloud-Inventar erstellen: Welche Cloud-Dienste sind im Einsatz — auch jenseits der offiziell beschafften? Schatten-IT inklusive.
- C5-Testate einfordern: Verlangen Sie von Ihren Anbietern aktuelle C5-Testate — idealerweise bereits nach C5:2026 — und lesen Sie den Prüfbericht, statt nur das Deckblatt zu archivieren.
- Geteilte Verantwortung dokumentieren: Halten Sie pro Dienst fest, welche Sicherheitsaufgaben beim Anbieter liegen und welche bei Ihnen — und schließen Sie die Lücken auf Ihrer Seite.
- Neue Themen aufgreifen: Lieferkettensicherheit und Post-Quantum-Kryptografie sind nicht ohne Grund neu im Katalog. Prüfen Sie, ob Ihre Cloud-Strategie diese Entwicklungen berücksichtigt.
- In das ISMS integrieren: Verankern Sie die C5-Bewertung im regelmäßigen Lieferanten- und Risikomanagement — nicht als Einmalprojekt.
Fazit
C5:2026 ist eine substanzielle Aktualisierung, die der gewachsenen Bedeutung der Cloud Rechnung trägt. Für Unternehmen, die auf die Cloud setzen, ist der Katalog dabei mehr als eine Anbieter-Zertifizierung — er ist ein praktischer Leitfaden für die eigene Verantwortung. Wer Cloud-Sicherheit ernst nimmt, sollte C5:2026 nicht als Pflichtlektüre des Einkaufs verstehen, sondern als Bestandteil der eigenen Sicherheitsarchitektur.
Sie möchten wissen, wie sicher Ihre Cloud-Landschaft aufgestellt ist? Kontaktieren Sie uns für eine unverbindliche Ersteinschätzung.