Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen wegweisenden Cloud-Computing-Kriterienkatalog aktualisiert. Die neue Version C5:2026 führt erstmals Anforderungen für Post-Quanten-Kryptographie und Confidential Computing ein – und reagiert damit auf wachsende digitale Bedrohungen.
Am 22. April 2026 veröffentlichte das BSI die überarbeiteten Kriterien. Die Neuerungen sind umfassend: Container-Management, quantensichere Verschlüsselung und maschinenlesbare Formate für automatisierte Compliance-Prüfungen stehen im Mittelpunkt. Der Zeitpunkt ist kein Zufall – europäische und internationale Regulierungen verschärfen sich rasant.
Angesichts der neuen BSI-Kriterien und verschärfter EU-Regularien müssen Unternehmen ihre IT-Sicherheit heute proaktiv und ohne horrende Kosten stärken. Dieser Gratis-Ratgeber enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen rechtssicher erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen
Maschinenlesbar und international kompatibel
Die C5:2026 ist mehr als eine technische Aktualisierung. Das BSI hat die Struktur grundlegend reformiert. Künftig sollen Unternehmen die Kriterien automatisiert prüfen können – ein Schritt hin zur Echtzeit-Überwachung statt periodischer Audits.
Die neue Version ist zudem mit internationalen Standards verzahnt: dem europäischen Cloud-Zertifizierungsschema EUCS, der CSA Cloud Controls Matrix Version 4 und ISO/IEC 27001:2022. Das Ziel: weniger Bürokratie für Anbieter, die in mehreren Rechtsräumen operieren.
Quantenresistenz und Confidential Computing
Ein Schwerpunkt liegt auf Zukunftstechnologien. Die Integration von Post-Quanten-Kryptographie trägt der wachsenden Sorge Rechnung, dass Quantencomputer traditionelle Verschlüsselungsverfahren knacken könnten. Das BSI definiert prüfbare Kriterien für diese Protokolle – und zwingt Cloud-Anbieter damit, ihre Datenschutzmechanismen zukunftssicher zu machen.
Erstmals formal verankert ist auch Confidential Computing. Diese Technik nutzt vertrauenswürdige Ausführungsumgebungen (TEEs), um Daten während der Verarbeitung im Arbeitsspeicher zu isolieren und zu verschlüsseln. Bislang wurde dieser „Schutz für Daten in Nutzung“ auf moderner Server-Hardware zwar angeboten, aber selten eingesetzt. Die neuen Kriterien signalisieren einen Paradigmenwechsel: weg vom vertraglichen Vertrauen, hin zur technisch erzwungenen Sicherheit. Selbst bei einer Kompromittierung auf Administratorebene bleiben die Daten verschlüsselt.
Auch die Allgegenwart von Containerisierung in der Softwareentwicklung adressiert das Update. Neue Unterkriterien für das Container-Management verlangen von Anbietern strenge Isolations- und Sicherheitsprotokolle für virtualisierte Anwendungsumgebungen.
IP-Speicherung und KRITIS-Dachgesetz
Die Veröffentlichung der C5:2026 fällt mit mehreren wichtigen Gesetzesvorhaben in Deutschland zusammen. Am 22. April 2026 billigte das Bundeskabinett einen Gesetzesentwurf zur Vorratsdatenspeicherung von IP-Adressen. Internetanbieter müssen künftig IP-Adressen und Portnummern für drei Monate speichern – zur Verfolgung schwerer Straftaten wie Cyberangriffe und Kindesmissbrauch.
Das Justiz- und das Innenministerium bezeichnen den Schritt als „minimalistischen“ Ansatz, der mit den Vorgaben des Europäischen Gerichtshofs vereinbar sei. Der Richterbund begrüßte die Regelung als notwendig für die Strafverfolgung. Kritik kommt dagegen von Verbänden und politischen Gruppen, die eine Verletzung des Grundrechts auf Privatsphäre befürchten.
Hinzu kommt das KRITIS-Dachgesetz, das im März 2026 angekündigt wurde. Betreiber kritischer Infrastruktur müssen umfassende Sicherheitsdokumentationen und Risikomanagement nachweisen. Der Druck wächst: Branchenumfragen zufolge spüren über 80 Prozent der deutschen Unternehmen die Auswirkungen von Infrastrukturdefiziten und Fachkräftemangel. Allein der Energiesektor könnte bis Ende des Jahrzehnts eine halbe Million Fachkräfte zu wenig haben.
Internationale Regulierungswelle
Auch jenseits der deutschen Grenzen wird die Regulierungsdichte höher. Am 22. April 2026 begann die US-Handelsbehörde FTC mit der Durchsetzung aktualisierter Regeln unter dem Children’s Online Privacy Protection Act (COPPA). Biometrische Daten fallen nun unter den erweiterten Begriff personenbezogener Daten, und Unternehmen müssen explizite Aufbewahrungsrichtlinien für Daten Minderjähriger vorlegen.
Gleichzeitig brachten US-Abgeordnete den SECURE Data Act ein – ein bundesweites Datenschutzgesetz, das nationale Standards für Datenzugriff, -korrektur und -löschung schaffen soll. Es würde strengere Offenlegungspflichten auf Bundesstaatsebene überschreiben, die ab Juli 2026 in Kraft treten. Connecticut und Minnesota etwa verlangen dann von Unternehmen, offenzulegen, ob Verbraucherdaten zum Training großer Sprachmodelle (LLMs) verwendet werden.
Die Europäische Union befindet sich Ende April 2026 zudem in der Schlussphase der „Digital-Omnibus-Verhandlungen. Ziel ist es, das EU-KI-Gesetz für kleine und mittlere Unternehmen (KMU) zu vereinfachen. Ohne diese Erleichterungen könnten die anfänglichen Compliance-Kosten für ein kleines Unternehmen bis zu 600.000 Euro betragen – existenzbedrohend für viele Firmen. Das KI-Gesetz soll 2026 vollständig in Kraft treten, erste Verpflichtungen gelten ab dem 2. August 2026.
Da die EU-KI-Verordnung bereits unmittelbar gilt, müssen Unternehmen jetzt ihre Risikoklassen und Dokumentationspflichten genau prüfen. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer Rechts- und IT-Abteilung den notwendigen Überblick über alle Fristen und Pflichten des AI Acts. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt
Hohe Bußgelder und neue KI-Bedrohungen
Die finanziellen Risiken bei Nichteinhaltung sind enorm. Seit Inkrafttreten der DSGVO 2018 wurden Unternehmen mit insgesamt 7,1 Milliarden Euro belegt. Zu den prominentesten Fällen zählen die 1,2 Milliarden US-Dollar Strafe gegen Meta 2023 und Bußgelder von über 100 Millionen Euro gegen Clearview AI 2024. Aktuelle Studien zur digitalen Transparenz zeigen zudem, dass 55 Prozent von über 7.000 analysierten Websites weiterhin Werbe-Cookies setzen, selbst wenn Nutzer widersprochen haben – ein erhebliches rechtliches Risiko.
Die Bedrohungslandschaft wird zudem durch Künstliche Intelligenz neu geformt. Am 23. April 2026 warnten das BSI und andere Sicherheitsbehörden vor einer KI-gestützten Phishing-Kampagne gegen Politik und Medien. Die Angreifer nutzen KI-generierte Sprachklone und soziale Manipulation über Messenger-Dienste wie WhatsApp und Signal. Sicherheitsforscher haben festgestellt, dass die notwendige Infrastruktur für solche Angriffe bereits für weniger als 200 US-Dollar pro Monat gemietet werden kann – die Einstiegshürde für Cyberkriminelle sinkt dramatisch.
Ausblick: Fristen und Herausforderungen 2026
Für Cloud-Anbieter beginnt nun die Umsetzungsphase. Die C5:2026 verspricht strengere Audits, die die neuen technischen Vorgaben widerspiegeln. Der Trend zu maschinenlesbaren Compliance-Kriterien deutet darauf hin, dass das BSI eine Integration der Sicherheitsüberwachung in operative Arbeitsabläufe erwartet – statt sie als periodische Verwaltungsaufgabe zu betrachten.
Für Unternehmen wird der Rest des Jahres 2026 von mehreren kritischen Fristen bestimmt. Der EU Cyber Resilience Act (CRA) erreicht am 11. September 2026 seinen ersten großen Meilenstein: Hersteller vernetzter Geräte müssen dann sicherstellen, dass ihre Produkte grundlegende Cybersicherheitsanforderungen erfüllen. Zudem treten im Juli 2026 neue Finanz- und Geldwäschevorschriften in Kraft.
In diesem Umfeld fungiert der BSI-Standard C5:2026 als Maßstab für das, was als „Stand der Technik“ in der Cloud-Sicherheit gilt. Die technischen Anforderungen – insbesondere im Bereich Quantenresistenz und Confidential Computing – sind anspruchsvoll. Doch sie gelten zunehmend als notwendige Basis, um Vertrauen in einer globalen digitalen Wirtschaft zu erhalten, in der Datenschutzverletzungen im Schnitt mehrere Millionen Euro kosten. Unternehmen, die diese Standards proaktiv umsetzen, dürften besser gerüstet sein, um das komplexe Geflecht europäischer und internationaler Datenregulierungen im kommenden Jahr zu navigieren.
