Die Sicherheit der Cloud steht nicht nur bei den Anbietern, sondern auch bei der Politik im Fokus. Da es bis heute keine EU-weit einheitliche Regulierung entsprechender Sicherheitsstandards gibt, setzen die einzelnen Mitgliedsstaaten auf eigene Gesetze und Regularien.
Zertifikate sagen viel aus über die Art der Schutzausrüstung, wie Cloud-Anbieter die Daten der Nutzer sichern sowie Datenschutz und Compliance gewährleisten.
(Bild: nipastock - stock.adobe.com)
Das bedeutet: Auch die Compliance der Unternehmen muss sich hier auf die bestehenden Unterschiede einstellen. In Deutschland stehen fünf „C“ für die entsprechenden Anforderungen: Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) spezifiziert die Mindestanforderungen an sicheres Cloud Computing und richtet sich gleichermaßen an Cloud-Anbieter und deren Kunden.
Einige Unternehmen konnten sich die C5-Zertifizierung bereits sichern – unter ihnen auch OVHcloud, einer der führenden Anbieter in diesem Bereich. Dabei steht die Zertifizierung nicht nur für die Bestätigung, dass der jeweilige Provider gut aufgestellt ist. Sie ist auch und vor allem eine Orientierungshilfe für Unternehmen und Organisationen, wenn es um die Wahl eines geeigneten Cloud-Anbieters geht – hochrelevant nicht zuletzt bei öffentlichen Ausschreibungen.
C5: Orientierungshilfe für Anwender
Das C5-Regelwerk des BSI besteht vor allem aus einer Auflistung von Sicherheitskontrollmechanismen, die von der Bundesbehörde entwickelt wurden. Erstmals 2016 veröffentlicht und 2019 überarbeitet, hat sich der Forderungskatalog inzwischen durchgesetzt und erfreut sich einer hohen Akzeptanz – mehr als ein Dutzend Testate wurden bislang ausgestellt und sichern somit die verlässliche Einhaltung sicherheitsrelevanter Standards.
Entwickelt und implementiert wurde C5 als Alternative bzw. Nachfolger einer Vielzahl verschiedener Regelwerke, die zuvor die Sicherheit der Cloud gewährleisten sollten. Dazu gehörten die ISO-Regelungen 27001, 27002 und 27017 sowie die Cloud Control Matrix (CCM) der Cloud Security Alliance (CSA).
Mit C5 liegt nun seit fünf Jahren ein einheitliches Kompendium der maßgeblichen Sicherheitsanforderungen vor – eines, das immer stärker an Relevanz gewinnt. Angesichts der Perspektive, dass 2020 mit über 80 Prozent die überwältigende Mehrheit der Unternehmen die Cloud nutzte und die Hälfte davon jährlich im Schnitt mehr als eine Million Euro für entsprechende Services ausgibt, gehört die Frage nach maximaler Sicherheit und Datenschutz zu den dringendsten.
C5 gibt die Antworten. Jene, die C5-zertifiziert sind, können sich hier guten Gewissens als sichere und datendiskrete Unternehmen präsentieren. Kunden bietet C5 die Möglichkeit eines eigenen, qualifizierten Risikomanagements bei der Auswahl von Cloud-Anbietern.
Europäischer Flickenteppich
Gerade für international aktive Unternehmen stellen sich jedoch die im Detail unterschiedlichen Regelungen in den einzelnen Ländern durchaus als Problem dar. Eine C5-Zertifizierung in Deutschland gilt für Kunden im Ausland nur schwer als Auswahlargument. Wie sieht es etwa in Italien oder Frankreich aus? Oder gar in einem Nicht-EU-Land wie Großbritannien?
Frankreich: SecNumCloud für Behörden, Provider und Systemintegratoren In Frankreich gilt die SecNumCloud-Regelung der Agence nationale de la sécurité des systèmes d’information (ANSSI). Wer diesen Regeln entspricht, demonstriert damit seine Regelkonformität im Hinblick auf IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) sowie SaaS (Software-as-a-Service). Die SecNumCloud-Zertifizierung steht für Sicherheit durch Resilienz und die Fähigkeit, auch anspruchsvolle Cyberangriffe abwehren zu können, sowie für Vertrauen durch langfristige Datenschutz-Compliance. Die Regelung richtet sich an öffentliche Körperschaften, essenzielle Versorger sowie Anbieter digitaler Dienste – und natürlich an die entsprechenden Software-/SaaS-Anbieter und Systemintegratoren.
Italien: AGID-Compliance als Resilienznachweis In Italien fokussieren die Bestimmungen der Agenzia per l’Italia Digitale (AGID), der nationalen IT-Aufsichtsbehörde, im Kern vor allem auf zwei Arten von Anforderungen: unternehmensspezifische und anderweitig spezifizierte. Die unternehmens- bzw. organisationsspezifischen Bedingungen umfassen die nachgewiesene Fähigkeit, kritische Situationen souverän zu bewältigen, ein leistungsfähiges Qualitätsmanagement, einen 24/7-Kundenservice sowie die Adaption definierter Prozesse – unter anderem in den Bereichen Change-, Konfigurations- und Incident-Management – und eine maximale Transparenz bei Vertragsabschlüssen. Die anderweitig spezifizierten Anforderungen der italienischen Regulierung beinhalten Sicherheits- und Datenschutzregeln, Bedingungen für Performance und Skalierbarkeit, eine Service-Qualitätsgarantie über den gesamten Lebenszyklus hinweg sowie Interoperabilität und Portabilität.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Großbritannien: G-Cloud vor allem für öffentliche Einrichtungen In Großbritannien schließlich gibt es die Regierungsinitiative G-Cloud, bei der das „G“ für „Government“ steht. Diese richtet sich vor allem an Behörden und regierungsamtliche Institutionen. Sie gilt für vier Kernbereiche: „Data in Transit Protection“, „Asset Protection and Resilience“, „Separation between Consumers“ sowie „GovernanceFramework“. Durch diese Kernbereiche deckt das Regelwerk die wesentlichen Sicherheitsaspekte bei einer Adaption von Cloud-Lösungen durch öffentliche Einrichtungen ab – mit dem Ziel, ebendiese landesweit zu fördern und das Cloud Computing zum Behördenstandard zu machen. Die Regelungen waren 2014 überarbeitet und angepasst worden – zusammen mit einer vereinfachten Klassifizierung in drei anstelle der vorher bestehenden sechs Kategorien: „Official“, „Secret“ sowie „Top Secret“.
Jedes dieser Regelwerke beinhaltet eigene Charakteristika, Schwerpunkte und Detaillösungen, sodass in der gesamteuropäischen Draufsicht eher ein Flickenteppich als ein grenzübergreifender Minimalstandard existiert. Für Anbieter bedeutet das: Was in einem Land ausschlaggebend ist, muss es nicht zwangsläufig auch in einem anderen sein – sodass es in vielen Fällen komplexer Anpassungsmaßnahmen bedarf, um die entsprechenden Zertifizierungen in den unterschiedlichen Märkten zu erhalten.
Falk Weinreich, OVHcloud Deutschland.
(Bild: OVHcloud)
Von großem Vorteil ist es dabei natürlich, wenn ein Unternehmen bereits selbst hohe Anforderungen an sein Cloud-Angebot stellt. Solange es keinen europäischen Standard gibt, auf den international tätige Kunden setzen können, müssen diese bei der Anbieterwahl darauf achten, dass die genutzten Cloud-Lösungen über Zertifizierungen in allen relevanten Märkten verfügen. Nur so ist sichergestellt, dass Compliance und Sicherheit überall gewährleistet sind.
* Der Autor Falk Weinreich ist General Manager Central Europe bei OVHcloud.
eBook zum Thema
Cloud-Zertifizierung
eBook Cloud-Zertifizierung
(Bildquelle: CloudComputing-Insider)
Noch immer zögern IT-Entscheider, Cloud-Dienste im vollen Umfang oder sogar überhaupt zu nutzen. Ein wesentlicher Grund sind die Bedenken hinsichtlich Compliance und Datenschutz in der Cloud. Cloud-Anbieter müssen deshalb für mehr Vertrauen und Transparenz sorgen. Eine gute Möglichkeit dafür bieten Cloud-Zertifizierungen.
Die Frage nach Datenschutz und Compliance in der Cloud
Welche Unterschiede es bei Cloud-Zertifikaten gibt
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/42/b7/42b7ea71e811df85602f2d82108806b2/0125774365v1.jpeg "Das C5-Zertifikat umfasst über 120 Sicherheitsmaßnahmen, die von externen Prüfern überprüft werden. Es ist besonders wichtig für regulierte Branchen wie das Gesundheitswesen, wo es künftig verpflichtend sein wird. (Bild: © AREE - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/71/a67138069e4b6de5b0977b2b4a7c60b0/0128113978v1.jpeg "Cloud-only Security versus Hybrid Cloud Security - was ist besser? Antworten liefert das neue eBook auf CloudComputing-Insider. (Bild: © Creative Team - stock.adobe.com / Vogel IT-Medien)")