Erstmals sind darin Post-Quanten-Kryptographie (PQC) und Confidential Computing verbindlich vorgeschrieben. Die Neufassung vom 22. April reagiert auf technologische Entwicklungen und die veränderte geopolitische Lage.
Da die Bedrohungslage durch professionelle Cyberangriffe stetig wächst, müssen insbesondere Unternehmen ihre Sicherheitsstrategien jetzt an neue Standards anpassen. Dieser kostenlose Report zeigt auf, wie Sie aktuelle Sicherheitslücken schließen und Ihre IT-Infrastruktur ohne hohe Investitionen langfristig absichern. Gratis E-Book: Cyber Security Bedrohungen abwenden
Quantensicherheit wird Pflicht
Die wichtigste Neuerung: Cloud-Anbieter müssen eine Strategie zur Post-Quanten-Kryptographie vorlegen. Hintergrund sind sogenannte „Store now, decrypt later“-Angriffe. Dabei fangen Angreifer bereits heute verschlüsselte Daten ab, um sie später mit Quantencomputern zu knacken.
Experten rechnen damit, dass herkömmliche Verfahren wie RSA oder ECC in den 2030er Jahren gebrochen werden. Das BSI empfiehlt hybride Lösungen, die klassische mit quantensicheren Algorithmen kombinieren – etwa FrodoKEM, ML-KEM oder Classic McEliece.
Der alleinige Einsatz klassischer Verfahren gilt nur noch bis Ende 2031 als ausreichend. Bei hohem Schutzbedarf endet diese Frist bereits 2030.
BSI-Präsidentin Claudia Plattner bezeichnete den C5:2026 als „zeitgemäßen und praxistauglichen Maßstab“ für alle Cloud-Akteure. Ziel sei die „Cybernation Deutschland“ und bessere Vergleichbarkeit von Sicherheitsversprechen.
Confidential Computing schließt letzte Lücke
Neben Quantenresistenz rückt Confidential Computing in den Fokus. Die Technologie verschlüsselt Daten während der Verarbeitung im Arbeitsspeicher und schützt sie vor unbefugtem Zugriff durch den Cloud-Betreiber. Bisher waren nur ruhende Daten („at rest“) und Daten während der Übertragung („in transit“) geschützt.
Verschärft wurden auch die Anforderungen an Container-Management und Supply-Chain-Sicherheit. Zudem müssen Anbieter künftig transparenter darlegen, wo und unter welchen rechtlichen Bedingungen die Datenverarbeitung stattfindet – ein Thema, das angesichts der Abhängigkeit von US-Hyperscalern an Brisanz gewonnen hat.
Maschinenlesbar und international kompatibel
Erstmals gibt es den Katalog in maschinenlesbarem Format. Vizepräsident Thomas Caspers erklärte, dies erleichtere die Integration in Governance- und Compliance-Prozesse erheblich. Statt manueller Audits rücke eine kontinuierliche Echtzeit-Überwachung in Reichweite.
Strukturell ist der C5:2026 mit ISO/IEC 27001:2022, der CSA Cloud Controls Matrix V4 und der NIS-2-Direktive verzahnt. Besonders wichtig: die Kompatibilität mit dem geplanten EU-Zertifizierungsschema EUCS. Deutsche Unternehmen, die sich am C5 orientieren, sind damit weitgehend konform mit kommenden europäischen Vorgaben.
Was bedeutet das für Smartphone-Nutzer?
Der C5 richtet sich primär an Cloud-Anbieter, hat aber direkte Auswirkungen auf Verbraucher. Smartphones sind die zentrale Schnittstelle zu Cloud-Diensten – von Foto-Backups über Messaging bis zu Gesundheitsdaten und Mobile Banking.
Wenn große Cloud-Plattformen ihre Systeme auf hybride Verschlüsselung umstellen, profitieren Millionen Nutzer. Das Risiko, dass persönliche Daten in zehn Jahren durch Quantencomputer entschlüsselt werden, sinkt deutlich.
Während Cloud-Anbieter ihre Standards erhöhen, bleibt das eigene Endgerät oft die größte Schwachstelle für Datendiebstahl und Viren. Dieser kostenlose Ratgeber liefert fünf sofort umsetzbare Schritte, mit denen Sie Ihr Smartphone effektiv vor Zugriffen durch Hacker schützen können. 5 Schutzmaßnahmen für Ihr Smartphone jetzt kostenlos herunterladen
Branchenexperten erwarten zudem, dass Smartphone-Hersteller und App-Entwickler ihre Sicherheitsarchitekturen anpassen werden. Besonders die Schlüsselverwaltung auf den Geräten selbst muss künftig quantensichere Protokolle unterstützen.
Der Weg zur Umsetzung
Die Veröffentlichung markiert den Beginn einer Übergangsphase. Das BSI räumt Organisationen und Auditoren Zeit zur Umstellung ein, betont aber: Die strategische Auseinandersetzung mit Post-Quanten-Kryptographie duldet keinen Aufschub.
In den kommenden Monaten plant die Behörde ergänzende Souveränitätskriterien für den öffentlichen Sektor und kritische Infrastrukturen.
Für die globale Cloud-Branche sendet Deutschland ein klares Signal: Sicherheit bedeutet nicht nur Schutz vor aktuellen Angriffen, sondern langfristige Vorsorge gegen technologische Paradigmenwechsel. Der C5:2026 festigt Deutschlands Position als Cybersicherheits-Taktgeber in Europa – und setzt einen Standard, an dem sich internationale Anbieter messen lassen müssen.
