Neue Mindestanforderungen für die Sicherheit von Cloud-Diensten

Mit der kommenden Version C5:2025 des Kriterienkatalogs, die aktuell als sogenannter Community Draft vorliegt, setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Maßstäbe für die Bewertung von Cloud-Sicherheit. Gegenüber der Version von 2020 wird der Katalog deutlich erweitert – sowohl inhaltlich, als auch strukturell.

Die neuen Anforderungen treten für Prüfungsperioden ab dem 1. Januar 2027 verbindlich in Kraft. Eine frühzeitige Umsetzung ist dringend zu empfehlen, insbesondere für Cloud-Provider, die ihre Dienste in regulierten oder sicherheitskritischen Märkten anbieten.

Der Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Mindestanforderungen an die Sicherheit von Cloud-Diensten. Der Katalog dient als Orientierungshilfe für die Auswahl von Cloudservices und richtet sich an professionelle Cloud-Anbieter sowie an deren Prüfer und Kunden.

Der neue Katalog unterscheidet bei den zusätzlichen Kriterien (Additional Criteria) zwei Gruppen:

• Additional Sharpening: Diese Kriterien verschärfen bestehende Anforderungen, beispielsweise durch höhere technische Standards, engere Toleranzen oder strengere Nachweispflichten.

• Additional Complementing: Diese Punkte ergänzen bestehende Kriterien um neue Inhalte, etwa zu Technologien oder Governance-Aspekten, die zuvor nicht abgedeckt waren.

Diese Unterscheidung erlaubt gezieltere Anpassungen an unterschiedliche Schutzbedarfe und branchenspezifische Anforderungen. Die Basic Criteria beschreiben weiterhin das Mindestmaß der Anforderungen, das durch den Cloud-Dienstleister zu erfüllen ist.

Der Kriterienkatalog des Community Draft C5:2025 ist mit 169 Kriterien deutlich umfangreicher als sein Vorgänger mit 121 Kriterien. Bei einer genaueren Auswertung lässt sich folgendes feststellen:

• Der Community Draft C5:2025 weist weiterhin die bereits unter dem BSI C5:2020 bekannten 17 Kategorien auf. Einzig die Kategorie Identity und Access Management (vormals als IDM abgekürzt) wird nun auch in abgekürzter Form in englischer Schreibweise als „IAM“ ausgewiesen.

• Insgesamt wurden 37 der Kriterien-IDs aus dem BSI C5:2020 Kriterienkatalog im aktuellen Community Draft neue oder abgeänderte Titel zugewiesen, hierbei handelt es sich aber in vielen Fällen um Umformulierungen und / oder Konkretisierungen des aus dem BSI C5:2020 bekannten Sachverhalten.

• Ein besonderer Fokus wurde auf die Erweiterung der Kategorien Procurement, Development and Modification of Information Systems (DEV), Cryptography and Key Management (CRY), Operations (OPS) und Asset Management (AM) gesetzt, wie die nachfolgende grafische Auswertung zeigt.

Auch die Struktur der Kriterien wurde verfeinert. Durch die Einführung von Subkriterien und das systematische Trennen von Basis- und Zusatzanforderungen wird die Umsetzung besser prüfbar. Der Prüfbericht muss infolgedessen zukünftig detailliert belegen, welche Anforderungen wie erfüllt wurden, wie mit Abweichungen umgegangen wurde und wie Subunternehmen (beispielsweise Rechenzentren) eingebunden sind.

C5:2025 entwickelt sich künftig zu einem noch deutlich umfassenderen Standard. Für Cloud-Anbieter bedeutet das mehr Dokumentation sowie einen erhöhten Zeit- und Personalaufwand. Kunden profitieren von mehr Transparenz und besserer Vergleichbarkeit.

Angesichts der verbindlichen Einführung ab 2027 sollten Anbieter und Kunden jetzt mit der Umsetzung beginnen. Der Übergang erfordert Anpassungen auf technischer, organisatorischer und vertraglicher Ebene – und wird in künftigen Ausschreibungen und Zertifizierungen eine zentrale Rolle spielen. Wer früh handelt, positioniert sich als vertrauenswürdiger Partner im Markt.

Unsere Experten beraten Sie bei Fragen und unterstützen bei der Vorbereitung auf die neuen BSI-C5-Bestimmungen. Nehmen Sie gerne Kontakt zu uns auf.