Cloud Computing ist die Basis der modernen industrialisierten IT und damit essenziell für die Digitalisierung von Wirtschaft, Verwaltung und Gesellschaft. Um die Potenziale dieser Entwicklung sicher nutzen zu können und die Vision der Cybernation Deutschland umzusetzen, bedarf es jedoch industrietauglicher Sicherheitsstandards: Sie machen Cloud-Dienste vergleichbar, schaffen Vertrauen und unterstützen somit den Einklang von Cybersicherheit und Digitalisierung. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem Cloud Computing Compliance Criteria Catalogue (C5) seit 2016 einen etablierten Pfeiler für die Sicherheit von Cloud Computing bereit, der regelmäßig aktualisiert wird. Aus diesem Grund veröffentlicht das BSI die nächste Weiterentwicklung des C5, den C5:2025 (vorläufiger Titel, die Veröffentlichung ist für Dezember 2025 vorgesehen), im Status eines Community Drafts. Dieser kann bis zum 15. September 2025 kommentiert werden.

Inhaltlich baut der C5:2025 auf dem Fundament des C5:2020 auf. Viele der bewährten Kriterien bleiben in der neuen Version des C5 erhalten und werden durch neue Kriterien ergänzt, um den vielfältigen Entwicklungen der letzten sechs Jahre gerecht zu werden. 

C5:2020 als Basis für EUCS, EUCS als Basis für C5:2025

Eine bedeutsame Entwicklung stellt dabei die Arbeit der ENISA am europäischen Cloud-Zertifizierungsschema EUCS dar. Der C5:2020, als am weitesten verbreiteter europäischer Standard für Cloud-Sicherheit, diente als Basis für die Entwicklung der Sicherheitsanforderungen des geplanten EUCS-Levels Substantial. Die darin erarbeiteten Anforderungen wurden an das Europäische Komitee für Normung und das Europäische Komitee für elektrotechnische Normung (CEN/CENELEC) übergeben, um eine Technical Specification zu erstellen, was zu weiteren wertvollen Aspekten geführt hat. Diese Inhalte sind die Basis für den C5:2025. Das BSI trägt damit der technologischen Dynamik Rechnung und ergänzt weitere Inhalte. So konnten gleichzeitig Erkenntnisse aus den europäischen Diskussionen integriert und die Kompatibilität mit EUCS Substantial bei dessen Inkrafttreten gewährleistet werden.

Neue Entwicklungen, neue Kriterien

Neben dem EUCS wurden bei der Erstellung des C5:2025 die aktuellen Versionen weiterer relevanter Anforderungsdokumente, wie Version 4 der CSA Cloud Controls Matrix, die 2022-Edition der ISO/IEC-Norm 27001 oder die NIS2-Direktive berücksichtigt.

Um C5-Stakeholdern die aktive Mitgestaltung des C5:2025 zu ermöglichen, wurden darüber hinaus die praktischen Erfahrungen von Cloud-Anbietern, -Prüfern sowie -Beraterinnen und -Beratern im Rahmen von Feedback-Gesprächen erhoben und in neue Kriterien oder die Anpassung bestehender Kriterien überführt. Zuletzt wurden thematische Schwerpunkte identifiziert und im C5:2025 eingearbeitet. Hierbei wurden berücksichtigt:

• neue technische Entwicklungen und Fortschritte (z. B. hinsichtlich Container-Management, Supply Chain-Management, Post-Quanten-Kryptographie und Confidential Computing);
• aktuelle Herausforderungen (z. B. durch eine ausführlichere Betrachtung von Mandantentrennung und der technischen Umsetzung von Souveränität); und
• häufig genanntes Feedbacks zum C5:2020 (z. B. die Schärfung der Anwendbarkeit der einzelnen Kriterien auf unterschiedliche Datentypen).

Strukturelle Überarbeitung

Nicht nur inhaltlich, auch strukturell wurde der C5 in Anlehnung an EUCS überarbeitet: C5-Kriterien bestehen nun aus inhaltlich voneinander abgegrenzten Unterkriterien. Diese Gliederung erleichtert es, C5-Kriterien im internen Kontrollsystem von Cloud-Anbietern Kontrollen zuzuordnen, C5-Kriterien zu prüfen und schafft größere Klarheit sowie Transparenz bei der Auswertung der C5-Berichte. Weiterhin werden Zusatzkriterien im C5:2025 danach klassifiziert, ob sie ein bestehendes Basiskriterien durch strengere Anforderungen verschärfen ("additional sharpen") oder durch neue Anforderungen ergänzen ("additional complement"). Hierdurch wird die bisher bereits implizit vorhandene Unterscheidung nun explizit verdeutlicht.

Die Community Draft-Version des C5:2025 wird im XLSX- und PDF-Format in englischer Sprache bereitgestellt. Die finale Version des C5:2025 wird im YAML-, XLSX- und PDF-Format auf Deutsch und Englisch veröffentlicht. Somit wird sie erstmals in einem maschinenlesbaren Format zur Verfügung stehen.

Für Anmerkungen und Anregungen füllen Sie bitte den Kommentierungsbogen aus und senden ihn per E-Mail an cloudsecurity@bsi.bund.de. Bitte beachten Sie, dass nur Rückmeldungen, die in den Kommentierungsbogen eingetragen werden, gelesen und bei der Erstellung der finalen Version des C5:2025 berücksichtigt werden.

Wir freuen uns über konstruktives Feedback und danken Ihnen für Ihr Interesse am C5:2025. Gestalten Sie den Cloud-Anteil der Cybernation Deutschland mit!