Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am heutigen Dienstag seinen Kriterienkatalog für sicheres Cloud-Computing in einer aktualisierten Version veröffentlicht. Damit wird festgeschrieben, wo die Mindeststandards für den sicheren Betrieb liegen sollen.

C5:2026 löst zum einen die 2020er-Version ab und bringt zum anderen auch eine deutsche Interpretation des EU-Cloud-Certification-Schemas. Dabei gelten die BSI-Vorgaben für viele Dienstleister als gesetzlich vorgegebene Voraussetzung – für das digitale deutsche Gesundheitswesen wird etwa eine Typ-2-Zertifizierung vorausgesetzt, aber auch bei digitalen Finanzdienstleistungen und im Bankensektor, bei Passbildern oder bei staatlichen Stellen gilt C5 oft als maßgeblich.

Die Grundidee hinter dem Schema: eine verlässliche Definition aller Begrifflichkeiten und Betriebsabläufe sicherzustellen, damit auch das drin ist, was gemeint ist. Das fängt bei einfach wirkenden Dingen wie der Frage an, was eine gemeinsame Zone im Cloud-Betrieb ist, was eine Partition und was eine Location – gefolgt von den eigentlichen Kernkriterien und darüber hinausgehenden, ergänzenden Kriterien, wie die Dienste zu betreiben sind, um C5-konform zu sein.

Die C5-Kriterien verlangen dabei unter anderem darzulegen, welchem Recht der Anbieter selbst und seine gegebenenfalls vorhandenen Konzernmütter unterliegen, aber auch, wie etwa Zonen eingeteilt sind und wo die Daten der Kunden liegen. Auch umfangreiche Informationen zur Beantwortung von Anfragen offizieller Stellen zu Kunden-Cloud-Daten müssen beigebracht werden.

Neben organisatorischen und rechtlichen Vorgaben enthält auch die neue Version jede Menge klassischer Sicherheitsfragen, von der Absicherung der Kundendaten bis zum Vorfallmanagement. Mit C5:2026 ist längst nicht alles anders geworden, aber an einzelnen Aspekten wie dem Container-Management wurde kräftig geschraubt. Die neue Iteration enthält hierzu wesentlich genauere Vorgaben als bislang.

Post-Quanten-Krypto hält Einzug in C5

Das BSI gibt an, dass es bei der Entwicklung der neuen Version neben der Kompatibilität und Interoperabilität mit anderen Standards insbesondere darauf geachtet habe, was aus der Community seit der 2020er-Version an die Bonner IT-Sicherheitsbehörde herangetragen wurde. Angesichts der immer drängenderen Fragen der Post-Quanten-Kryptografie enthält Kapitel 5.8 auch umfangreiche Angaben zu den Kriterien, die Cloud-Anbieter nach C5 bei der wirksamen Verschlüsselung einhalten sollen. Unter anderem geht es dabei um den Einsatz von Hybridverfahren, um absehbar zu schwache Verfahren zu härten.

Als „zeitgemäßen und praxistauglichen Maßstab für alle, die Cloud-Dienste nutzen, prüfen, anbieten oder beschaffen“, will BSI-Präsidentin Claudia Plattner den aktualisierten Katalog deshalb verstanden wissen. Tatsächlich erinnern viele der Vorgaben an das, was in den vergangenen Monaten in gleich mehreren Cloud-Kooperationen des BSI mit unterschiedlichen Anbietern – darunter europäische genauso wie US-Unternehmen – bereits an Vorgaben für einen sicheren Betrieb benannt wurde.

BSI setzt auf Maschinenlesbarkeit

Für Anwender soll der neue C5-Katalog zudem eine bessere Nutzbarkeit mit sich bringen. „Die überarbeitete Struktur mit Unterkriterien und verschärfenden beziehungsweise ergänzenden Zusatzkriterien sorgt für mehr Klarheit bei Prüfung, Zuordnung und Auswertung“, erklärt BSI-Vizepräsident Thomas Caspers. Dafür werde der Katalog erstmals bald auch in einem maschinenlesbaren Format bereitgestellt. Das dürfte für die Automatisierung entsprechender Prozesse hilfreich sein.

Das Grundproblem, dass die offizielle Testierung umfangreich, somit kostenträchtig und damit vor allem für etabliertere Unternehmen zu stemmen ist, kann auch der neue Katalog nicht ändern. Und auch wer sich mit C5:2026 einrichtet, muss weiterhin die Debatten verfolgen. Ergänzend zu den im C5 beschriebenen Sicherheitskriterien für Cloud-Dienste wolle das BSI in Kürze allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen, heißt es aus der IT-Sicherheitsbehörde des Bundes.

(axk)

Wussten Sie, dass Äthiopien und Eritrea einander derzeit wieder feindlich gegenüberstehen? Wenn Sie das wussten: Kennen Sie auch die Hintergründe? Haben Sie mitbekommen, dass Bangladesh im Februar 2026 seine ersten freien Wahlen hatte? Und dass dabei mit der Nationalist Party eine der zwei großen Parteien den Sieg einheimste? Oder, dass Nepals neuer Premierminister ein 35-jähriger Rapper ist?

Über derlei Neuigkeiten berichteten beispielsweise der Spiegel (Paywall), Deutschlandfunk (Audio) und auch die Tagesschau. Die Chance, dass man solche News hierzulande verpasst oder vergessen hat, ist trotzdem groß.

Sham Jaff ist freiberufliche Journalistin. Seit 2014 gibt sie einen meist wöchentlich erscheinenden Newsletter namens „What happened Last Week“ heraus. Darin fokussiert sie Nachrichten, die in deutschsprachigen Medien oft untergehen. Man könnte auch sagen, Ereignisse, die abseits der Aufmerksamkeit unserer Massenmedien stattfinden: in Asien, Afrika und Amerika.

Das war die Leseprobe unseres heise-Plus-Artikels „Web-Tipp: Gishty veröffentlicht Nachrichten jenseits des Mainstreams“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Eine PV-Anlage auf dem Dach, eine Wärmepumpe im Technikraum, ein E-Auto im Carport: Michael B. aus Norddeutschland zählt zu den Menschen, die die Energiewende im Privaten schon vollzogen haben. Um sein Auto gezielt dann zu laden, wenn der Strom gerade günstig ist, entschied sich der c’t- Leser außerdem für einen dynamischen Stromtarif.

Bevor B. diesen Tarif nutzen konnte, musste erst einmal sein alter Stromvertrag auslaufen, obendrein brauchte er ein Smart Meter. Diese Kombination aus digitalem Stromzähler („moderne Messeinrichtung“) und Kommunikationsmodul („Smart-Meter-Gateway“) ist mittlerweile die Voraussetzung für die Abrechnung zu dynamisch wechselnden Strompreisen.

Das Gateway erfasst viertelstündlich den Stromverbrauch des Haushalts und übermittelt die Daten einmal täglich an den sogenannten Messstellenbetreiber. Dieser gibt sie dann an den örtlichen Stromnetzbetreiber weiter, der sie wiederum an den Stromanbieter leitet. Im Fall von B. ist das Unternehmen EWE Netz mit Hauptsitz in Oldenburg gleichzeitig der zuständige Messstellen- und Stromnetzbetreiber.

Das war die Leseprobe unseres heise-Plus-Artikels „Vorsicht, Kunde: Wie EWE Netz einen Smart-Meter-Nutzer zur Verzweiflung treibt“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.