aekkorn - stock.adobe.com
BSI C5:2026: Kriterienkatalog für sicheres Cloud Computing
Das Bundesamt für Sicherheit in der Informationstechnik hat eine neue Version des Kriterienkatalog für sicheres Cloud Computing mit Anforderungen für Cloud-Dienste veröffentlicht.
Welche Mindeststandards sollten im Hinblick auf die Sicherheit beim Cloud-Betrieb erfüllt sein? Auf diese Fragen gibt der Kriterienkatalog für sicheres Cloud Computing (C5) vom BSI nunmehr seit 2016 Antworten. Der Katalog fasst Mindeststandards zusammen, die Anbieter erfüllen sollten, um ein Mindestmaß der Sicherheit ihrer Cloud-Dienst zu gewährleisten. Zudem ist so eine Basis der gemeinsamen Sprache und Begrifflichkeiten wie Cloud-Sicherheit beschrieben und bewertet werden soll, möglich.
Die letzte Aktualisierung des C5-Katalog erfolgte 2020, nun liegt mit dem C5:2026 (Cloud Computing Compliance Criteria Catalogue) eine neue Version vor. Der Kriterienkatalog bietet eine Orientierungshilfe und richtet sich an Unternehmen, Cloud-Anbieter sowie Prüfer. Der C5:2026 soll Sicherheitsanforderungen an Cloud-Dienste in nachvollziehbare Kriterien übertragen.
Damit dient der Kriterienkatalog als Orientierungshilfe für Unternehmen bei der Auswahl von Cloud-Diensten. Markttransparenz ist eines der Ziele, das damit unterstützt werden soll. Unternehmen erhalten so auch Informationen in Sachen Risikomanagement, die etwa im Hinblick auf die Vorgaben von NIS2 von entscheidender Bedeutung sein können.
Apropos EU, der C5:2026 sei inhaltlich und strukturell an das europäische Zertifizierungsschema EUCS angelehnt. Darüber hinaus habe man praktische Erfahrungen von Cloud-Anbietern, Prüfern und Beratern einfließen lassen. Cloud-Anbieter können ihre Lösungen von Wirtschaftsprüfern im Hinblick auf C5:2026 testieren lassen und ein C5-Testatv erhalten.
„Mit dem C5:2026 haben wir die nächste Generation unseres etablierten Kriterienkatalogs für sicheres Cloud Computing veröffentlicht. Als Cybersicherheitsbehörde Deutschlands schaffen wir damit einen zeitgemäßen, praxistauglichen Maßstab für alle, die Cloud-Dienste nutzen, prüfen, anbieten oder beschaffen. Der aktualisierte C5 setzt die Wirkmacht seiner Vorgänger fort, indem er Sicherheitsversprechen von Cloud-Anbietern künftig noch besser vergleichbar macht und Unternehmen, Behörden und Organisationen hilft, fundierte Entscheidungen zu treffen. Mit dem C5:2026 unterstreichen wir unseren Anspruch, Cybersicherheit und Digitalisierung als Einheit zu denken: Er ist ein wichtiger Baustein für die Cybernation Deutschland, der auch international auf eine breite Resonanz stößt.“, so BSI-Präsidentin Claudia Plattner.
C5-Katalog mit Post-Quanten-Kryptografie und Confidential Computing
Der neue C5-Katalog berücksichtigt aktuelle Entwicklungen in Sachen Technologie und Bedrohungslage. So habe man erstmals Themen wie Post-Quanten-Kryptografie, Confidential Computing und Container-Management aufgegriffen.
Insgesamt besteht der C5:2026 laut BSI nun aus 168 Kriterien, die sich in 17 Themengebiete unterteilen. Die beschäftigen sich beispielsweise mit Verschlüsselung, Personal aber auch physischer Sicherheit. Diese Kriterien sind tabellarisch dargestellt und können Basis- und Zusatzkriterien aufweisen.
Neben Basiskriterien, die ein Cloud-Angebot erfüllen sollte, umfasst der C5-Katalog auch Zusatzkriterien. Letztere sind für jene Unternehmen interessant, deren Informationen einen höheren Schutzbedarf haben. Bei diesen Zusatzkriterien weist der C5:2026 auch Neuerungen auf. So wurden diese Zusatzkriterien jetzt weiter unterteilt in schärfende und ergänzende Zusatzkriterien (additional sharpen und additional complement). Wird ein Zusatzkriterium verschärft meint dies: ein Basiskriterium wird durch ein entsprechendes mit strengeren Anforderungen verschärft und ersetzt dieses. Bei additional complement wird ein bestehendes Basiskriterium um zusätzliche Anforderungen ergänzt.
„Der C5:2026 bringt nicht nur mehr Sicherheit, sondern hebt auch die Nutzerfreundlichkeit auf ein neues Level: Die überarbeitete Struktur mit Unterkriterien und verschärfenden beziehungsweise ergänzenden Zusatzkriterien sorgt für mehr Klarheit bei Prüfung, Zuordnung und Auswertung", so BSI-Vizepräsident Thomas Caspers.
C5-Katalog kommt im maschinenlesbaren Format
Derzeit liegt der C5:2026-Katalog in englischer Sprache zum Download vor. Nach Angaben des BSI soll der Katalog in Kürze auch in deutscher Sprache verfügbar sein. Zudem wolle man erstmals den C5-Katalog in einem maschinenlesbaren Format bereitstellen. Dies soll die Nutzung innerhalb von Prozessen in Sachen Compliance- und Risikomanagement vereinfachen.
Apropos Katalog, analog zu den Sicherheitskriterien will das BSI in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen.
