Das Jahr 2025 neigt sich dem Ende zu – und mit ihm rückt ein Thema zunehmend in den Fokus von Cloud-Anbietern, IT-Verantwortlichen und Compliance-Teams: Der Community Draft des neuen Cloud Computing Compliance Criteria Catalogue (BSI C5:2025). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der Veröffentlichung des Entwurfs am 14. Juli 2025 einen bedeutenden Schritt in Richtung Zukunftssicherheit und EU-weite Anschlussfähigkeit von Cloud-Diensten gemacht.
In diesem Beitrag fassen wir zusammen, was zum Jahresende besonders wichtig ist, welche Änderungen der neue Kriterienkatalog mit sich bringt und wie sich Unternehmen jetzt strategisch auf die finale Version vorbereiten können.
Warum BSI C5 für Cloud-Anbieter und -Nutzer unverzichtbar ist
Seit seiner Einführung im Jahr 2016 hat sich der BSI C5 als De-facto-Standard für Cloud-Sicherheit in Deutschland etabliert. Besonders in regulierten Branchen wie dem Gesundheitswesen, der Finanzindustrie und im öffentlichen Sektor ist ein C5-Testat heute häufig Voraussetzung für die Teilnahme an Ausschreibungen oder die Verarbeitung sensibler Daten.
Mit dem Inkrafttreten von § 393 SGB V zum 1. Juli 2024 wurde die Bedeutung des Standards nochmals unterstrichen: Gesundheits- und Sozialdaten dürfen nur dann in der Cloud verarbeitet werden, wenn ein aktuelles C5-Testat vorliegt und die kundenseitigen Anforderungen aus dem Prüfbericht umgesetzt wurden.
Der BSI C5:2025 Community Draft – Ein Überblick
Der am 14. Juli veröffentlichte Community Draft des C5:2025 stellt die nächste Entwicklungsstufe des Kriterienkatalogs dar. Er baut auf dem C5:2020 auf, erweitert diesen jedoch deutlich – sowohl inhaltlich als auch strukturell. Die finale Version wird für Dezember 2025 erwartet und soll für alle Prüfungszeiträume ab dem 1. Januar 2027 verbindlich gelten. Eine frühere Anwendung ist ausdrücklich zulässig.
Wichtige Frist: Noch bis zum 15. September 2025 konnten Stakeholder den Entwurf kommentieren und aktiv Einfluss auf die finale Fassung nehmen. Wer diese Möglichkeit genutzt hat, kann mit einer passgenauen Vorbereitung auf die endgültige Version rechnen.
Die wichtigsten Neuerungen im C5:2025
Erweiterte Kriterienstruktur
Der neue Katalog umfasst 169 Kriterien – ein deutlicher Anstieg gegenüber den 121 Kriterien des C5:2020. Die Struktur wurde grundlegend überarbeitet:
- Basic Criteria: Mindestanforderungen, die jeder Cloud-Dienst erfüllen muss.
- Additional Sharpening: Verschärfte Anforderungen, z. B. strengere technische Standards oder engere Toleranzen.
- Additional Complementing: Ergänzende Anforderungen, etwa zu neuen Technologien oder Governance-Aspekten.
Diese Differenzierung ermöglicht eine gezieltere Anpassung an unterschiedliche Schutzbedarfe und erleichtert die Prüfung durch Wirtschaftsprüfer.
Integration europäischer Standards
Der C5:2025 wurde umfassend an europäische Compliance-Anforderungen angepasst:
- ENISA EUCS: Harmonisierung mit dem European Cybersecurity Certification Scheme for Cloud Services.
- NIS2-Richtlinie: Einbindung der Anforderungen zur Netz- und Informationssicherheit.
- ISO/IEC 27001:2022: Berücksichtigung der aktualisierten internationalen Normen.
- DSGVO: Verbesserte Verzahnung mit datenschutzrechtlichen Anforderungen.
Diese Integration reduziert den Aufwand für Anbieter, die in mehreren europäischen Ländern tätig sind, und stärkt die EU-weite Anschlussfähigkeit.
Technologische Entwicklungen und neue Bedrohungsszenarien
Der Community Draft berücksichtigt aktuelle technische Herausforderungen:
- Container-Management und Orchestrierung
- Post-Quanten-Kryptographie (PQC)
- Confidential Computing
- Zero-Trust-Architekturen
- Endpoint- und Collaboration-Security
- Lieferkettensicherheit mit Fokus auf Drittanbieter und Code-Integrität
Diese Neuerungen spiegeln die gestiegenen Anforderungen an moderne Cloud-Infrastrukturen wider und adressieren aktuelle Sicherheitsrisiken.
Transparenz durch „Boundary Conditions“
Mit den neuen „Boundary Conditions“ (BC-01 bis BC-07) müssen Cloud-Anbieter künftig zentrale Informationen offenlegen, darunter:
- Gerichtsbarkeit und anwendbares Recht
- Standorte der Datenverarbeitung
- Umgang mit behördlichen Anfragen
- Zertifizierungen und KI-Nutzung im internen Kontrollsystem
Diese Transparenz unterstützt Kunden bei der Risikobewertung und erleichtert die Vergleichbarkeit von Cloud-Diensten.
Maschinenlesbare Formate
Erstmals wird der Kriterienkatalog auch in YAML veröffentlicht – zusätzlich zu PDF und XLSX. Dies erleichtert die Integration in digitale Compliance- und Managementsysteme und unterstützt die Automatisierung von Prüfprozessen.
Was Unternehmen jetzt tun sollten
Auch wenn die verbindliche Anwendung des C5:2025 erst ab 2027 vorgesehen ist, empfiehlt sich eine frühzeitige Vorbereitung. Die Komplexität der neuen Anforderungen erfordert ein strukturiertes Vorgehen.
1. Gap-Analyse durchführen
Vergleichen Sie Ihr aktuelles Cloud-Setup mit den Anforderungen des Community Drafts. Identifizieren Sie Lücken und priorisieren Sie Handlungsfelder.
2. Maßnahmenplanung starten
Basierend auf der Gap-Analyse sollten technische, organisatorische und vertragliche Maßnahmen geplant werden. Dazu gehören u. a.:
- Anpassung von Richtlinien und Prozessen
- Schulung von Mitarbeitenden
- Auswahl geeigneter Tools zur Umsetzung
3. Automatisierung nutzen
Moderne Compliance-Plattformen können den manuellen Aufwand reduzieren. Vorteile sind:
- Kontinuierliche Überwachung der Kontrollen
- Revisionssichere Sammlung von Nachweisen
- Effiziente Vorbereitung auf Audits
4. Interne Audits vorbereiten
Testen Sie die Wirksamkeit Ihrer Maßnahmen durch interne Audits. So lassen sich Schwachstellen frühzeitig erkennen und beheben.
5. Zertifizierung planen
Bereiten Sie sich auf die formelle Prüfung durch einen unabhängigen Wirtschaftsprüfer vor. Ein C5-Testat stärkt das Vertrauen von Kunden, Partnern und Behörden.
Branchenspezifische Auswirkungen
Für Anbieter im Gesundheitswesen
Mit dem Inkrafttreten von § 393 SGB V wird ein C5 Typ 2 Testat zur gesetzlichen Pflicht. Die Anforderungen steigen deutlich:
- Patientendatenschutz: Höhere Anforderungen an besonders schützenswerte Daten
- Verfügbarkeitsanforderungen: Strengere SLAs für kritische Anwendungen
- Schnittstellensicherheit: Neue Vorgaben für die Integration mit Gesundheits-IT-Systemen
Eine frühzeitige Umsetzung ist unerlässlich, um Risiken zu minimieren und regulatorische Anforderungen zu erfüllen.
Für Rechenzentren und Cloud-Provider
Infrastrukturanbieter stehen vor neuen Herausforderungen:
- Physische Sicherheit: Erweiterte Zutrittskontrollen und Überwachungssysteme
- Energieeffizienz: Nachhaltigkeitsaspekte gewinnen an Bedeutung
- Mandantentrennung: Verschärfte Anforderungen für Multi-Tenant-Umgebungen
Gleichzeitig bietet der C5:2025 einen klaren Wettbewerbsvorteil – sowohl national als auch EU-weit.
Fazit: Jetzt handeln und Wettbewerbsvorteile sichern
Der Community Draft des BSI C5:2025 markiert einen Wendepunkt in der Cloud-Compliance. Die neuen Anforderungen sind umfangreich, aber sie bieten auch Chancen:
- Vertrauen stärken: gegenüber Kunden, Partnern und Prüfern
- Marktzugang sichern: insbesondere im öffentlichen Sektor
- Risiken minimieren: durch strukturierte Sicherheitsmaßnahmen
- Effizienz steigern: durch Automatisierung und klare Prozesse
Zum Jahresende sollten Unternehmen die verbleibende Zeit nutzen, um sich strategisch auf die finale Version vorzubereiten. Wer jetzt handelt, positioniert sich als vertrauenswürdiger Anbieter und gestaltet aktiv die Zukunft der digitalen Infrastruktur mit.
Sie möchten Ihre Cloud-Dienste fit für C5:2025 machen? Unsere Experten unterstützen Sie gerne bei der GAP-Analyse, Maßnahmenplanung und Umsetzung. Kontaktieren Sie uns – gemeinsam schaffen wir die Grundlage für eine sichere und konforme Cloud-Zukunft.
