28. Juni 2026 | Artikel drucken | |

Post-Quantum wird Pflicht in der Cloud-Zertifizierung

6 Min. Lesezeit

Der neue BSI-Kriterienkatalog C5:2026 zählt 168 Kriterien, 47 mehr als die Vorgängerversion. Eine Neuerung sticht heraus: Zum ersten Mal verlangt das BSI einen prüfbaren Umgang mit der Quantenbedrohung. Gefordert ist zunächst eine nachweisbare Roadmap, nicht die sofortige Komplett-Umstellung. Wer eine C5-Testierung trägt oder anstrebt, hat damit ein Datum auf dem Tisch.

Das Wichtigste in Kürze

  • C5 wächst auf 168 Kriterien: Der Katalog von 2020 hatte 121. Neu hinzugekommen sind Post-Quanten-Kryptografie, Confidential Computing und Container-Sicherheit.
  • Der Stichtag ist konkret: Typ-2-Testierungen, die am oder nach dem 1. Juni 2027 beginnen, laufen nach C5:2026. Das klingt fern, ist es für einen Krypto-Umbau aber nicht.
  • Post-Quantum wirkt schon heute: Verschlüsselte Daten, die heute abfließen, lassen sich später mit einem Quantenrechner entschlüsseln. Das Risiko entsteht lange vor dem ersten praxistauglichen Quantenrechner.

Verwandt:Confidential Computing: Warum verschlüsselte Daten auch während der Verarbeitung geschützt sein müssen  /  Cloud-Fehlkonfigurationen: Die häufigste Breach-Ursache, die niemand behebt

Was C5:2026 am Prüfkatalog ändert

Der C5 ist in der DACH-Cloud-Welt kein Nice-to-have. Viele Ausschreibungen verlangen eine Testierung. Wer im öffentlichen Sektor oder im Finanzumfeld Cloud-Dienste anbietet, kommt an ihm nicht vorbei. Die im April 2026 veröffentlichte Version ist der erste große Schnitt seit 2020. Sie wächst von 121 auf 168 Kriterien und ordnet sie in 17 Themengebiete neu.

Der Zuwachs ist keine Bürokratie um ihrer selbst willen. Er bildet ab, was sich an der Bedrohungslage und an der Technik verschoben hat. Container laufen heute in fast jedem Stack, Confidential Computing ist aus der Nische heraus, die Quantenfrage hat den Sprung von der Forschung in die Compliance geschafft. Erstmals erscheint der Katalog zusätzlich als maschinenlesbare YAML-Datei, was die Lücken-Analyse gegen das eigene Kontrollsystem deutlich erleichtert.

Was ist der BSI C5?

Der Cloud Computing Compliance Criteria Catalogue, kurz C5, ist ein Prüfkatalog des BSI für die Sicherheit von Cloud-Diensten. Ein Wirtschaftsprüfer testiert anhand des Katalogs, ob ein Anbieter die definierten Kontrollen erfüllt. Das Testat ist im DACH-Raum ein etablierter Nachweis für die Cloud-Beschaffung.

Warum Post-Quantum jetzt auf die Roadmap gehört

Das häufigste Missverständnis bei Post-Quantum ist der Zeithorizont. Ein ausreichend großer Quantenrechner, der heutige Verfahren bricht, existiert noch nicht. Das Risiko ist trotzdem aktuell. Schuld ist ein Angriffsmuster mit einem unspektakulären Namen: harvest now, decrypt later. Ein Angreifer sammelt heute verschlüsselten Datenverkehr und wartet, bis die passende Rechenleistung verfügbar ist.

Konkret bedeutet Post-Quantum, klassische Verfahren wie RSA und Verfahren auf elliptischen Kurven durch quantenresistente Algorithmen zu ergänzen. Das NIST hat 2024 die ersten Standards finalisiert, darunter ML-KEM für den Schlüsselaustausch und ML-DSA für Signaturen. Die Verfahren sind verfügbar. Der Aufwand liegt in der Integration in bestehende Systeme, nicht in der Verfügbarkeit der Algorithmen.

Für Daten mit langer Schutzdauer ist das ein reales Problem. Patientenakten, Verträge oder Konstruktionsdaten müssen auch in zehn Jahren noch vertraulich sein. Wer sie heute nur mit klassischer Public-Key-Kryptografie schützt, verlässt sich darauf, dass die Quantenentwicklung langsam genug bleibt. Das C5:2026 macht aus dieser stillen Annahme eine prüfbare Anforderung. Wie weit der Schutz reichen muss, hängt am Verarbeitungsmodell, das der Beitrag zu Confidential Computing beschreibt.

Was bis zum Stichtag auf die Liste gehört

Ein Krypto-Umbau ist kein Patch, den man am Stichtag einspielt. Er braucht Vorlauf. Der beginnt mit unspektakulärer Inventur. Vier Schritte entscheiden, ob die Testierung 2027 ruhig verläuft.

  1. Krypto-Inventar erstellen. Wer nicht weiß, wo welche Verfahren im Einsatz sind, kann nichts migrieren. Bibliotheken, Zertifikate, Protokolle und Hardware-Module gehören auf eine Liste. Diese Arbeit ist langweilig und der wichtigste Schritt.
  2. Krypto-Agilität herstellen. Systeme, in denen das Verschlüsselungsverfahren fest verdrahtet ist, lassen sich nur mit Aufwand umstellen. Wo der Algorithmus austauschbar ist, wird die Migration zur Konfigurationsfrage statt zum Projekt.
  3. Daten nach Schutzdauer priorisieren. Nicht alles muss zuerst quantensicher werden. Daten mit langer Vertraulichkeit kommen vor kurzlebigen Session-Daten. Diese Priorisierung spart Migrationsbudget.
  4. Anbieter-Roadmaps einfordern. Wer Cloud-Dienste einkauft, sollte jetzt nach dem Post-Quantum-Fahrplan des Anbieters fragen. Ein Testat ist nur so gut wie die Substanz dahinter.
1. Juni 2027
Ab diesem Tag laufen neu beginnende Typ-2-Testierungen nach C5:2026. Für einen Krypto-Umbau ist das ein knapper Vorlauf.
Quelle: BSI, C5:2026

Der ehrliche Blick auf den Aufwand

Niemand stellt seine Kryptografie an einem Wochenende um. In großen Umgebungen zieht sich ein Inventar über Monate, weil Verschlüsselung an Stellen sitzt, an die seit Jahren niemand geschaut hat. Genau deshalb lohnt der frühe Start. Wer 2027 erst anfängt, testiert unter Druck und übersieht im Zweifel das eine Altsystem, das am Ende im Audit auffällt. Der C5:2026 setzt dafür einen Termin. Erfahrungsgemäß ist das der Punkt, an dem solche Umbauten tatsächlich anlaufen.

Häufige Fragen

Was ist neu am BSI C5:2026 gegenüber der Vorgängerversion?

Der Katalog wächst von 121 auf 168 Kriterien und führt erstmals Anforderungen zu Post-Quanten-Kryptografie, Confidential Computing und Container-Sicherheit ein. Zusätzlich erscheint er maschinenlesbar als YAML.

Ab wann gilt C5:2026 verbindlich?

Typ-2-Testierungen, die am oder nach dem 1. Juni 2027 beginnen, müssen nach dem neuen Katalog durchgeführt werden. Laufende Testate bleiben davon zunächst unberührt.

Warum ist Post-Quantum schon jetzt relevant, wenn es noch keine Quantenrechner gibt?

Wegen des Musters harvest now, decrypt later. Angreifer speichern heute verschlüsselte Daten und entschlüsseln sie später. Daten mit langer Schutzdauer sind damit schon heute gefährdet.

Was ist der erste praktische Schritt zur Vorbereitung?

Ein vollständiges Krypto-Inventar. Ohne den Überblick über eingesetzte Verfahren, Zertifikate und Bibliotheken lässt sich keine Migration planen und kein Aufwand schätzen.

Betrifft C5:2026 nur Cloud-Anbieter oder auch Kunden?

Beide. Anbieter müssen die Kriterien erfüllen, Kunden sollten den Post-Quantum-Fahrplan ihrer Anbieter einfordern und ihre eigene Datenpriorisierung darauf abstimmen.

Lesetipps der Redaktion

SecurityTodaySecurity Operations Center: Made in GermanySecurityTodayDas NIS2-Audit: So bereiten sich Unternehmen auf die erste Prüfung vorSecurityTodayInsider Threats: Wenn die Gefahr aus dem eigenen Unternehmen kommt

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Welche Provider bieten eine Datenverschlüsselung an

mybusinessfuture

Wenn das Update selbst zum Einfallstor wird

digital-chiefs

Managed Security Services: CISO haftet nicht allein

Bildquelle: KI-generiert (Juni 2026)

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Auch verfügbar in

EspañolEnglish
Ein Magazin der Evernine Media GmbH