Mit dem überarbeiteten „Cloud Computing Compliance Criteria Catalogue“ (C5) in der Version 2026 macht das Bundesamt für Sicherheit in der Informationstechnik Cloud-Sicherheitsanforderungen besser vergleichbar, vereinfacht Prüfungen und will neue Technologien wie Post-Quanten-Kryptographie erstmals systematisch abdecken.
C5:2026 bietet nicht nur Unternehmen und Behörden belastbare Informationen für das eigene Risikomanagement, sondern marktübergreifend Transparenz und Orientierung bei der Auswahl von Cloud-Anbietern.
Cloud Computing gilt als Schlüsseltechnologie der Digitalisierung, doch Vertrauen allein reicht laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht aus. Mit C5:2026 legt die Behörde eine neue Generation ihres wichtigsten deutschen Cloud-Standards vor, die Sicherheitsanforderungen in prüfbare Kriterien übersetzt, die Auswahl von Cloud-Anbietern erleichtern und die Auditierbarkeit verbessern soll.
Das BSI ordnet Cloud Computing als essenziell für „die Digitalisierung von Wirtschaft, Verwaltung und Gesellschaft“ ein und macht zugleich deutlich, dass der Nutzen nur dann tragfähig sei, wenn Sicherheitsanforderungen industriegerecht definiert und überprüfbar würden. Genau hier setzt der C5 an, den das BSI seit 2016 als zentralen Maßstab für Cloud-Anbieter und Cloud-Nutzer in Deutschland etabliert hat und nun in einer aktualisierten Fassung vorlegt.
C5:2026 – von Sicherheitsanforderungen zu prüfbaren Kriterien
BSI-Präsidentin Claudia Plattner beschreibt C5:2026 als Generationswechsel des Standards und betont die Rolle des BSI als nationale Cybersicherheitsbehörde. Wörtlich erklärt sie: „Mit dem C5:2026 haben wir die nächste Generation unseres etablierten Kriterienkatalogs für sicheres Cloud Computing veröffentlicht.“ Ziel sei ein „zeitgemäßer, praxistauglicher Maßstab für alle, die Cloud-Dienste nutzen, prüfen, anbieten oder beschaffen“. Plattner hebt zudem den Vergleichsaspekt hervor: Der aktualisierte C5 setze die Wirkung der Vorgänger fort, indem er Sicherheitsversprechen von Cloud-Anbietern künftig noch besser vergleichbar mache und Unternehmen, Behörden und Organisationen helfen, fundierte Entscheidungen zu treffen. Zugleich versteht sie den Katalog als strategisches Element: „Mit dem C5:2026 unterstreichen wir unseren Anspruch, Cybersicherheit und Digitalisierung als Einheit zu denken: Er ist ein wichtiger Baustein für die Cybernation Deutschland, der auch international auf eine breite Resonanz stößt.“
Kern der neuen Version ist der Anspruch, „komplexe Sicherheitsanforderungen an zukunftsfähige Cloud-Dienste in prüfbare Kriterien“ zu übersetzen. Der C5:2026 soll damit nicht nur „belastbare Informationen für das eigene Risikomanagement“ liefern, sondern auch „marktübergreifend Transparenz und Orientierung bei der Auswahl von Cloud-Anbietern“ schaffen.
Zudem wird definiert, wie die Konformität festgestellt wird: Prüfungen nach C5 werden von Wirtschaftsprüferinnen und Wirtschaftsprüfern vorgenommen, die nach erfolgreicher Prüfung testieren, dass ein Anbieter die im Katalog enthaltenen Sicherheitskriterien erfüllt.
Weiterentwicklung hinsichtlich Innovationen und neuer Risiken
Inhaltlich reagiert der C5:2026 laut Text auf „technologische Fortschritte und die aktuelle Bedrohungslage“. Er greift neue Sicherheitsfelder erstmals gezielt auf, darunter Container-Management, Post-Quanten-Kryptographie und Confidential Computing. Gleichzeitig werden etablierte Schwerpunkte weiter nachgeschärft: Mandantentrennung und Supply Chain Management würden „noch gezielter als zuvor adressiert“. Damit positioniert sich der Katalog als Update, das sowohl klassische Cloud-Risiken als auch neue Architektur- und Kryptographiefragen abdecken soll.
Strukturreform und maschinenlesbares Format sollen Nutzung erleichtern
Neben dem Sicherheitsgewinn sei insbesondere die Bedienbarkeit und damit Nutzerfreundlichkeit ein Vorzug des aktualisierten Kriterienkatalogs, hebt BSI-Vizepräsident Thomas Caspers hervor. Entscheidend sei dabei die Überarbeitung der Systematik: „Die überarbeitete Struktur mit Unterkriterien und verschärfenden bzw. ergänzenden Zusatzkriterien sorgt für mehr Klarheit bei Prüfung, Zuordnung und Auswertung.“
Einen weiteren Schritt sieht Caspers in der Bereitstellung in neuen Formaten und Sprachen: Der Katalog werde „nicht nur in englischer und in Kürze auch in deutscher Sprache, sondern erstmals auch in einem maschinenlesbaren Format bereitgestellt“. Das solle die Integration in Governance-, Risiko- und Compliance-Prozesse erleichtern, weil der C5 dadurch „eine gemeinsame, verlässliche Sprache dafür schafft, wie Cloud-Sicherheit beschrieben, geprüft und bewertet werden kann.“
C5:2026 ist inhaltlich und strukturell eng an den Ergebnissen aus den Arbeiten am europäischen Zertifizierungsschema EUCS angelehnt. Darüber hinaus sind bei der Erstellung aktuelle Versionen weiterer relevanter Anforderungsdokumente berücksichtigt worden, ausdrücklich genannt werden die „CSA Cloud Controls Matrix Version 4“, ISO/IEC 27001:2022 sowie die NIS2-Direktive. Damit positioniert das BSI den C5:2026 als Standard, der nationale Anforderungen mit europäischen und international verbreiteten Rahmenwerken verzahnt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Praxisfeedback aus dem Cloud-Ökosystem
Für die Neuauflage hat das BSI Rückmeldungen aus der Praxis aufgenommen. Über einen „Community Draft“ seien die praktischen Erfahrungen von Cloud-Anbietern, -Prüfern sowie -Beraterinnen und -Beratern in die Entwicklung eingeflossen. Der C5:2026 wird damit als Ergebnis eines iterativen Prozesses dargestellt, der nicht nur regulatorische Entwicklungen, sondern auch Umsetzbarkeit im Markt berücksichtigen soll.
Über die Sicherheitskriterien hinaus kündigt das BSI weitere Leitplanken an. Ergänzend zu den im C5 beschriebenen Sicherheitskriterien für Cloud-Dienste werde das BSI in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen. Damit deutet die Behörde an, dass neben technischer und organisatorischer Sicherheit künftig auch Fragen der digitalen Souveränität systematischer bewertet werden sollen.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/e8/38/e8387251b85fc72e0f56d2fa1915043d/0129328744v2.jpeg "Law as Code bezeichnet die digitaltaugliche Bereitstellung des Rechts als ausführbarer Code und ermöglicht so die systematische Umsetzung von Gesetzen in maschinenlesbare Form. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/d6/95d6c599b3ff7ee542b413a6bf68af69/0129076535v2.jpeg "Der Begriff Supercloud beschreibt im Wesentlichen die nächste Evolutionsstufe des Cloud Computings und der Multicloud. (Bild: © Khela - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/08/a70864697c140742ad03eda65f774709/0129076511v2.jpeg "Nicht eindeutig definierbar: Der Begriff Neocloud beschreibt eine aufstrebende Cloud-Kategorie – wahlweise für KI-Workloads oder Cloud-Angebote mit speziellen Souveränitätsmerkmalen. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/ea/18eaca784f81d860c2aa83fda9826ab6/0130524927v1.jpeg "Die Basis der kSuite von Infomaniak ist der Mail-Dienst. Der Anbieter stellt dazu auch eine App zur Verfügung. (Bild: Infomaniak)")
:quality(80)/p7i.vogel.de/wcms/1b/16/1b16f0920f34b7b05f256dccdeb2d712/0130475964v1.jpeg "Die Lösung ciooffice.cloud ist eine spezialisierte CIO-Software, die IT-Strategie, IT-Management und Governance in einer zentralen Plattform vereint. (Bild: © Mariakray - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/48/99484601dea4e92948f5a4d35c4632e9/0130120519v1.jpeg "Axians Katalog mit SAP-Add-ons umfasst 24 spezialisierte Lösungen. (Bild: Axians)")
:quality(80)/p7i.vogel.de/wcms/29/47/29477f16efc759807b6fdf2a4b637128/0129963146v1.jpeg "Auch wenn zunehmend die Codegenerierenden Eigenschaften von generativer KI im Vordergrund stehen, soll das die Bedeutung von Software-Entwicklern nicht schmälern. Denn diese KI-Tools eignen sich in erster Linie für das Übernehmen von Routineaufgaben. Dies eröffnt den Entiwcklern selbst neuen gestalterischen Spielraum für immer komplexere und anspruchsvollere Aufgaben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/68/92685fa591c726e9de7a2f4e6cb8c914/0130080545v1.jpeg "Vom Hackerangriff bis zu Bränden – die Ursachen für Cloud-Ausfälle sind vielfältig und keineswegs unmöglich. Spezielle Versicherungen minimieren finanzielle Schäden, die Nutzenden durch Cloud-Ausfälle entstehen können. (Bild: © Adin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/d5/45d51ec5c77e8bcd9244b698d23896be/0130249229v1.jpeg "Seit 2018 dient ownCloud.online Unternehmen als Plattform für den Austausch und die Verwaltung von Dateien. (Bild: ownCloud.online)")
:quality(80)/p7i.vogel.de/wcms/9f/73/9f734921aa9def56de7534d60f2ec06e/0130042672v1.jpeg "Banken mit fragmentierten IT-Systemen und fehlender Front-to-Back-Strategie riskieren aus DORA regulatorische Sanktionen. (Bild: © Best_Seller - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/12/6b12c1086536e0c29ce20e479bf1becc/0129742542v1.jpeg "Susanne Arndt von FTI Consulting sieht das Fundament vieler Organisationen angesichts von Veränderungsmüdigkeit und Vertrauensverlust ernsthaft in Gefahr. (Bild: AndiWerner.com)")
:quality(80)/p7i.vogel.de/wcms/5c/83/5c83a097a2d1eaad711a4e82f1637624/0130522984v1.jpeg "C5:2026 bietet nicht nur Unternehmen und Behörden belastbare Informationen für das eigene Risikomanagement, sondern marktübergreifend Transparenz und Orientierung bei der Auswahl von Cloud-Anbietern. (Bild: © ipuwadol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/a7/e2a7c3c091778e9179218a47aba9574a/0130490930v1.jpeg "19. Deutscher Nachhaltigkeitspreis 2026: Der begehrte Award für die Sieger.
(Bild: Frank Fendler)")
:quality(80)/p7i.vogel.de/wcms/2d/6c/2d6c632ff91a87877c5daddfb30f8ad1/0130507132v1.jpeg "Backups spielen auch in kleinen und mittleren Unternehmen eine zentrale Rolle für Betriebskontinuität – nicht nur als reine Datensicherung, sondern als Voraussetzung für Stabilität im operativen Geschäft. (Bild: © BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/64/7064c468f3506f6471e548ca33213d68/0130497958v1.jpeg "Der Branchenverband CISPE befürchtet eine Monopolbildung bei Virtualisierungssoftware und hat deswegen eine Wettbewerbsbeschwerde bei der EU gegen Broadcom eingereicht. (Bild: © noah9000 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/74/0774cd35e7a04503265da6af644dab36/0129964794v1.jpeg "Die Cohesity Data Cloud bietet neben den Möglichkeiten für Backup und Restore auch Funktionen für modernes Datenmanagement und Cyber-Resilienz. (Bild: © Thanadon88 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/97/d697130c8b1f306dc26ea6b0314015e1/0130497029v1.jpeg "Neue Integrationen für Google Drive: Backup-Option für Android-Downloads und direkter PDF-Upload aus Chrome. (Bild: © idambeer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/da/82da1b1d0cfe1325f7caeaf6c66aedb5/0130578270v1.jpeg "Mit der Übernahme von Lyve Cloud will Wasabi Backup- und Recovery-Szenarien im Enterprise-Umfeld stärken mit planbarer, kosteneffizienter Nutzung von Cloud-Storage außerhalb der großen Hyperscaler. (Bild: © mh.desing - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/9a/f59ab03f2bb75f067ee0947bfd9899b9/0130120547v1.jpeg "Startseite des neuen Entwicklerportals Obwyse.dev. (Bild: Oxseed)")
:quality(80)/p7i.vogel.de/wcms/6f/e2/6fe252d5a13f98b6d06e002e27905339/0130146769v1.jpeg "SEO ist die technische Eintrittskarte dafür, dass die eigenen Informationen und Produkte von KI-Systemen überhaupt erst als qualitativ hochwertig eingestuft und verarbeitet werden. (Bild: © Sebelas Studio - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cd/81/cd818511a315c793e54b9c8aa7b1b1c3/0130078997v1.jpeg "KI-Initiativen in hybriden Cloud-Szenarien, insbesondere SAP S/4HANA Cloud & Datasphere, scheitern oft an der Architektur. (Bild: © Justlight - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/e8/38/e8387251b85fc72e0f56d2fa1915043d/0129328744v2.jpeg "Law as Code bezeichnet die digitaltaugliche Bereitstellung des Rechts als ausführbarer Code und ermöglicht so die systematische Umsetzung von Gesetzen in maschinenlesbare Form. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/3c/fc3c5f87958f2a3383e439868b2b9a69/0129675357v2.jpeg "Das BSI sorgt mit einem neuen Verfahren dafür, dass die Zertifizierung auch nach Software-Updates belastbar bleibt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/41/89/4189ebd6fe6805eb57b0ea9c911397fb/0125817817v1.jpeg "Claroty sichert sich das C5-Testat für höchste Cloud-Sicherheitsstandards in Deutschland. Der Cloud-Anbieter will seinen Kunden so eine verlässliche Orientierung in Sachen Compliance geben. (Bild: © AREE - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/7c/ec7c3216bada78af4c3f2cb8847500d4/0129520873v1.jpeg "Rolf Schumann (Co-CEO Schwarz Digits), BSI-Präsidentin Claudia Plattner und Christian Müller (Co-CEO Schwarz Digits) vereinbaren eine strategische Partnerschaft (v.li.n.re.). (Bild: Schwarz Digits)")