Zurück zu den Artikeln
BSI C5 im Unternehmen: Praxisleitfaden 2026 (Cloud-Souveränität, KRITIS, KI)
BSI C5 Souveränität Cloud KRITIS

BSI C5 im Unternehmen: Praxisleitfaden 2026 (Cloud-Souveränität, KRITIS, KI)

Hichem AMMAR-BOUDJELAL
Hichem AMMAR-BOUDJELALCEO & Mitgründer von DPLIANCE
· Aktualisiert am 11 Min. Lesezeit

Schnellantwort: Was ist BSI C5 in 2026?

Der C5 (Cloud Computing Compliance Criteria Catalogue) ist der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Anforderungskatalog für Cloud-Anbieter. Er bildet zusammen mit dem IT-Grundschutz und den NIS-2-Umsetzungsanforderungen das Rückgrat der deutschen Cloud-Souveränitätsarchitektur. Anders als das französische SecNumCloud-Modell ist C5 kein Zulassungsregime mit Rechtsimmunitätsanforderung, sondern ein Compliance-Katalog, der die Erfüllung nach ISAE 3000 Type 2 durch einen Wirtschaftsprüfer testieren lässt.

C5 garantiert kumulativ:

  • Hohes Sicherheitsniveau: 121 Basis-Kriterien plus 17 Zusatz-Kriterien in 17 Themenbereichen (Organisation, Asset-Management, kryptographische Maßnahmen, Notfallmanagement, Auftragsverarbeitung).
  • Transparenz und Prüfbarkeit: jährliches Testat durch unabhängigen Wirtschaftsprüfer, veröffentlichte Systembeschreibung, dokumentierte Kontrollen.
  • Anschlussfähigkeit: Mappings zu ISO 27001, ISO 27017, ISO 27018, BSI IT-Grundschutz und sektorspezifischen Standards (B3S für KRITIS).

Für wen ist C5 relevant?

  • Verpflichtend: KRITIS-Betreiber nach BSI-Gesetz (Energie, Wasser, Ernährung, IT/TK, Finanz- und Versicherungswesen, Gesundheit, Transport, Verkehr, Siedlungsabfallentsorgung, staatliche Verwaltung), Bundesverwaltung über die BSI-Mindeststandards, NIS-2-pflichtige Einrichtungen ab Inkrafttreten des NIS2UmsuCG.
  • Stark empfohlen: Krankenhäuser unter § 75c SGB V und KHZG-Projekte, Versicherer unter VAIT, Banken unter BAIT, Versorger.
  • Optional, aber wertschöpfend: andere Organisationen, die ein nachvollziehbares Souveränitätssignal benötigen.

Testierte Anbieter 2026 (Auswahl): STACKIT, IONOS Cloud, Open Telekom Cloud, plusserver, T-Systems Open Sovereign Cloud, OVHcloud Frankfurt, Microsoft Azure Deutschland, AWS Frankfurt, Google Cloud Frankfurt. Delos Cloud (SAP/Arvato/Microsoft) — Status in Aufbau, formale C5-Zertifizierung in Planung.

Kostenaufschlag: souveräne C5-Anbieter (STACKIT, IONOS, OTC) liegen 1,5 bis 3 Mal über vergleichbaren Hyperscaler-Services in der Standard-Region. Hyperscaler mit deutschem C5-Testat (Azure Germany, AWS Frankfurt) liegen im Standardpreis, aber ohne souveränen Rechtsstatus.

Für die Mehrheit der deutschen B2B-Unternehmen ohne KRITIS-Bindung reicht ein Hyperscaler in Frankfurt mit C5-Testat und ISO 27001 und kostet weniger. Souveräne C5-Cloud bleibt für Fälle reserviert, in denen die Souveränitätsanforderung explizit regulatorisch oder vertraglich verankert ist.

Warum C5 2026 zentral wird — drei Bewegungen

C5 wurde 2016 vom BSI eingeführt und mit C5:2020 stark erweitert. Drei Entwicklungen machen ihn 2026 zum Dreh- und Angelpunkt der deutschen Cloud-Strategie:

Bewegung 1 — NIS2UmsuCG und Wachstumschancengesetz 2025. Die deutsche Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG, in Kraft 2025) erweitert den Kreis regulierter Einrichtungen massiv. Geschätzt ~30.000 Unternehmen unterliegen neuen Cybersicherheitspflichten — Risikomanagement, 24/72-Stunden-Vorfallmeldung, persönliche Geschäftsleitungshaftung. C5 wird zum De-facto-Standard für die technische Erfüllung.

Bewegung 2 — Digitalstrategie 2025 und Verwaltungs-Cloud. Die Bundesregierung hat 2024-2025 eine Strategie für eine souveräne Verwaltungs-Cloud verabschiedet. Die Bundes-Cloud setzt auf eine Kombination aus STACKIT, T-Systems und Delos Cloud — alle entweder testiert oder im Aufbau zur Testierung. Die Mindeststandards des BSI machen C5-Testat zum Pflichtkriterium für Bundesausschreibungen.

Bewegung 3 — US Cloud Act und FISA Section 702 als Risiko. US-Behörden können von US-Unternehmen (und deren Tochtergesellschaften) weltweit Datenherausgaben verlangen. Auch eine Hyperscaler-Region in Frankfurt schützt nicht vor diesem Risiko. Souveräne C5-Anbieter mit europäischem Mutterkonzern (STACKIT, IONOS, OVHcloud) bieten dokumentierte Immunität — ein Differenzierungsmerkmal, das 2026 vor allem KRITIS-Betreiber und Krankenhäuser ernster nehmen.

Die drei Stufen des C5-Anforderungsspektrums

Der C5-Katalog kennt formal nicht “Levels” wie SecNumCloud, sondern unterscheidet:

C5 Basis-Kriterien (BSI C5:2020 Basic Criteria): 121 Anforderungen, deren Erfüllung das Mindestniveau für eine vertrauenswürdige Cloud-Bereitstellung definiert. Pflicht für jedes Testat.

C5 Zusatz-Kriterien (Additional Criteria): 17 weitere Anforderungen mit erhöhtem Schutzbedarf — z. B. dezidierte Hardware, eingeschränkter Personalzugriff, erweiterte Auditprotokollierung. Zielgruppe: Hochsicherheitsumgebungen, Behörden, kritische KRITIS-Sektoren.

Sektorspezifische Erweiterungen: B3S (Branchenspezifische Sicherheitsstandards) für KRITIS-Sektoren, ergänzende Anforderungen für Gesundheit (§ 75c SGB V), Finanz (BAIT/VAIT/KAIT). Diese werden auf C5 aufgesetzt, nicht ersetzt.

Für eine Standard-Unternehmensanwendung ist C5 Basis-Kriterien das übliche Ziel; KRITIS-Betreiber gehen häufig auf Basis + Zusatz.

Use Cases, in denen C5 2026 unverzichtbar ist

Fünf Fälle, in denen es kaum eine Wahl gibt.

1. KRITIS-Betreiber nach BSI-Gesetz. ~2.000 Betreiber in den Sektoren Energie, Wasser, Ernährung, IT/TK, Finanz- und Versicherungswesen, Gesundheit, Transport, Verkehr, Siedlungsabfallentsorgung und staatliche Verwaltung unterliegen dem BSI-Gesetz. Für ihre kritischen IT-Systeme ist C5-Testat plus IT-Grundschutz-Konformität nahezu zwingend.

2. NIS-2-pflichtige Einrichtungen unter NIS2UmsuCG. Das deutsche NIS-2-Umsetzungsgesetz erweitert den Kreis auf ~30.000 Unternehmen — wesentliche und wichtige Einrichtungen. Geschäftsleitungsverantwortung mit persönlicher Haftung macht den Nachweis testierter Cloud-Bausteine zur Standard-Antwort.

3. Krankenhäuser unter § 75c SGB V und KHZG. Das Krankenhauszukunftsgesetz hat Investitionen in IT-Sicherheit und Digitalisierung mit Pflicht zur Erfüllung sektorspezifischer Sicherheitsstandards verbunden. C5 in Kombination mit B3S Gesundheit und IT-Grundschutz ist der Referenzrahmen.

4. Bundesverwaltung über BSI-Mindeststandards. Bundesausschreibungen für Cloud-Leistungen verlangen C5-Testat. Die Verwaltungs-Cloud-Strategie verankert souveräne Angebote (STACKIT, T-Systems, Delos in Aufbau) als Standard.

5. Versicherer und Banken unter BAIT/VAIT/KAIT. Bankaufsichtliche Anforderungen an die IT (BaFin) verlangen für ausgelagerte IT-Dienstleistungen — insbesondere kritische Auslagerungen — testierte Sicherheits- und Verfügbarkeitsstandards. C5 erfüllt einen Großteil der Nachweispflicht.

Testierte Anbieter 2026 — die realen Akteure

STACKIT (Schwarz Gruppe) Souveräner Anbieter der Schwarz Gruppe (Lidl, Kaufland), C5-testiert. Rechenzentren in Deutschland, vollständig deutsches Eigentum, Immunität gegen den US Cloud Act. Wachsendes Service-Portfolio einschließlich GPU für KI. Stark im KRITIS- und KHZG-Markt.

IONOS Cloud (United Internet) Deutscher Hyperscaler, börsennotiert in Deutschland, C5-testiert. Compute, Storage, Datenbank, Kubernetes, GPU. Souveräne Alternative mit gutem Preisniveau.

Open Telekom Cloud (T-Systems) Auf OpenStack basierender souveräner Public Cloud. C5-Testat plus europäische Standorte. Starkes Angebot für Bundesverwaltung und Großkonzerne. T-Systems Open Sovereign Cloud (separate Marke) zielt explizit auf KRITIS und Verwaltung.

plusserver Deutscher Cloud-Operator, C5-testiert, Rechenzentren in Deutschland. Fokus auf Managed Services und VMware-basierte Private Clouds.

OVHcloud Frankfurt Französischer Anbieter, deutsche Region (Frankfurt FRA1, FRA2), C5-testiert. Hosted Private Cloud, Bare Metal, GPU-Verfügbarkeit. Souveräner Status über französische Konzernstruktur.

Microsoft Azure Deutschland und AWS Frankfurt Hyperscaler mit C5-Testat über mehrere Bausteine in den deutschen Regionen. Reichste Service-Kataloge. Aber: rechtliche Souveränität bleibt durch US-Mutterkonzerne unter Cloud Act und FISA Section 702 beeinträchtigt — auch in Frankfurt.

Delos Cloud (Joint Venture SAP / Arvato / Microsoft) Aufbau einer “souveränen Cloud” für die Bundesverwaltung über deutsche Joint-Venture-Struktur mit Microsoft Azure-Stack. Status 2026: in Aufbauphase, formale C5-Zertifizierung in Planung. Der souveräne Status wird von deutschen Anbietern (STACKIT, IONOS, T-Systems) öffentlich angezweifelt — die Microsoft-Beteiligung wirft die Frage auf, ob eine Cloud-Act-Immunität über die Konstruktion tatsächlich gewährleistet werden kann.

C5 + KI: das Thema 2026

Mit dem Durchbruch generativer KI im Unternehmen (2024-2026) entsteht starke Nachfrage nach KI-Stacks auf C5-testierter Infrastruktur. Drei Architekturen setzen sich durch:

Architektur 1 — Managed AI bei einem souveränen C5-Anbieter

Open Telekom Cloud, IONOS und STACKIT bauen 2026 Managed-AI-Angebote auf, häufig in Partnerschaft mit europäischen Modellanbietern (Mistral, Aleph Alpha). Für Organisationen, die keine eigene GPU-Infrastruktur betreiben wollen, der einfachste Weg.

Architektur 2 — LLM auf gemieteten GPU-Instanzen einer C5-Cloud

Open Telekom Cloud, IONOS oder STACKIT-GPU-Instanz (H100) mieten und Mistral via vLLM oder TGI deployen. Mehr Kontrolle, mehr Kosten, mehr operativer Aufwand. Siehe unser Leitfaden Lokale LLMs im Unternehmen.

Architektur 3 — Mistral on-premises auf eigener Infrastruktur mit C5-äquivalentem Bauplan

Für hochsensible Organisationen Deployment auf eigenen oder Co-Location-Rechenzentren, die die C5-Anforderungen by design erfüllen. Maximale Kontrolle, maximale Kosten.

Siehe auch unseren Leitfaden Souveräne KI für den strategischen Rahmen.

Kosten und Trade-off: souveräne C5-Cloud vs Hyperscaler in Frankfurt

Klare Sprache: Souveräne C5-Cloud ist deutlich teurer (1,5x bis 3x) als ein vergleichbarer Hyperscaler in der Frankfurt-Region. Für die Mehrheit der deutschen B2B-Organisationen ohne spezifische regulatorische Bindung liefert AWS Frankfurt, Azure Germany oder GCP Frankfurt mit C5-Testat und ISO 27001 bereits:

  • Datenhaltung in Deutschland
  • C5-konforme Bausteine
  • DSGVO-Konformität
  • Reicher Service-Katalog
  • Wettbewerbsfähige Preise

Der Unterschied zur souveränen C5-Cloud: rechtliche Immunität gegen den US Cloud Act / FISA Section 702 (nur bei europäischer Konzernstruktur), Personal mit Sicherheitsüberprüfung, vertragliche Garantien zur Datenlokation und Reversibilität.

Einfache Entscheidungsregel:

  • KRITIS / Bundesverwaltung / hochsensibles Gesundheitswesen: souveräner C5-Anbieter Pflicht
  • KHZG-Projekt mit erhöhtem Schutzbedarf: souveräner Anbieter empfohlen
  • Standard-B2B mit Souveränitätsanspruch: Hyperscaler Frankfurt mit C5-Testat genügt
  • Sensible, aber nicht regulierte Daten: Risikoabwägung intern

Wie wählt man einen C5-Anbieter 2026?

Fünf Bewertungskriterien.

1. Funktionale Abdeckung: Compute, Storage, Datenbank, GPU, KI, Container, Serverless. Open Telekom Cloud und IONOS am breitesten unter den souveränen Anbietern; STACKIT wächst schnell; Microsoft Azure Germany und AWS Frankfurt unschlagbar im Service-Katalog, aber ohne Souveränitätsstatus.

2. GPU- und KI-Verfügbarkeit: für KI-Anwendungen H100 oder MI300X-Verfügbarkeit prüfen, ebenso Software-Ökosystem (Mistral Inference, vLLM, Frameworks).

3. Preisgestaltung: Angebot anfragen für repräsentative Nutzung (keine standardisierte öffentliche Preisliste vergleichbar mit Hyperscalern bei souveränen Anbietern).

4. Vertragliche Verpflichtungen: Klausel zur Immunität gegen extraterritoriale Rechtszugriffe prüfen, Notifizierungsfristen bei behördlichen Anfragen, Datenlokationsgarantien, Reversibilitätsklauseln.

5. Anbieter-Resilienz: Eigentümerstruktur, Sicherheitsüberprüfung des Personals, Kundenreferenzen, veröffentlichte Vorfallhistorie.

Was wir nicht versprechen

Drei wiederkehrende AntiPatterns, die wir bei DPLIANCE bei der Konzeption eines C5-Cloud-Projekts vermeiden.

“Alles muss aus Prinzip in die souveräne C5-Cloud.” Falsch. Souveräne C5-Cloud kostet das 1,5- bis 3-Fache eines Standard-Hyperscalers. Für 80 % der deutschen B2B-Organisationen ohne KRITIS-/NIS-2-Bindung liefert ein Hyperscaler in Frankfurt mit C5-Testat bereits Datenhaltung in Deutschland zu wettbewerbsfähigen Kosten. Übermäßige Investition in souveräne Cloud, wo die Anforderung es nicht rechtfertigt, verschlechtert den ROI.

“Delos Cloud, Microsoft Azure Sovereign oder AWS European Sovereign sind souveräne deutsche Clouds.” Nicht im gleichen Sinne. Die Hyperscaler-”Souverän”-Konstruktionen — Delos Cloud (SAP/Arvato/Microsoft), Microsoft Azure Sovereign, AWS European Sovereign Cloud, Google Sovereign Solutions — versuchen Souveränität über deutsche oder europäische Joint Ventures und juristische Trennung. Der Status wird von deutschen souveränen Anbietern (STACKIT, IONOS, T-Systems) bestritten, weil die Mutterkonzerne weiterhin der US-Jurisdiktion unterliegen. Für eine bestätigte Souveränitätsanforderung 2026 sind die verifizierten Optionen STACKIT, IONOS, Open Telekom Cloud, plusserver und OVHcloud Frankfurt.

“KI auf C5-Cloud lässt sich wie KI auf AWS deployen.” Nicht ganz. Das KI-Ökosystem auf souveräner C5-Cloud ist enger als auf Hyperscalern. Kein Bedrock, kein Cosmos DB, häufig keine managed Vektordatenbank. Es muss oft ein eigener Stack zusammengestellt werden (Mistral via vLLM + Qdrant self-hosted) auf souveränen GPU-Instanzen — eher DevOps als Cloud-as-a-Service. In-house-Expertise oder ein erfahrener Integrator erforderlich.

DPLIANCE ist ein Software-Hersteller. Wenn wir eine maßgeschneiderte KI-Lösung konzipieren, die auf C5-Cloud laufen muss, übernehmen wir den gesamten Stack: Anbieterauswahl (STACKIT, IONOS, Open Telekom Cloud), Mistral-Deployment auf souveränen GPU-Instanzen, RAG-Integration, auditfähige Protokollierung, Dokumentation für C5-Testat-Erweiterungen und KRITIS-Nachweise.

FAQ

Was ist der BSI C5-Kriterienkatalog?

C5 (Cloud Computing Compliance Criteria Catalogue) ist der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Anforderungskatalog für Cloud-Anbieter. Er umfasst 121 Basis-Kriterien plus 17 Zusatz-Kriterien in 17 Themenbereichen — von Organisation der Informationssicherheit über Asset-Management bis zu Notfallvorsorge. Ein Anbieter weist die Erfüllung über ein C5-Testat eines Wirtschaftsprüfers nach (ISAE 3000).

Wer muss eine C5-zertifizierte Cloud nutzen?

Verpflichtend für: KRITIS-Betreiber im Sinne des BSI-Gesetzes (Energie, Wasser, Ernährung, IT/TK, Finanz- und Versicherungswesen, Gesundheit, Transport und Verkehr, Siedlungsabfallentsorgung, staatliche Verwaltung), Bundesverwaltung gemäß Mindeststandards des BSI, einrichtungsbezogene NIS-2-Pflichten ab Inkrafttreten des NIS2UmsuCG. Stark empfohlen für: Krankenhäuser unter § 75c SGB V und KHZG-finanzierte Projekte, Versicherer unter VAIT, Banken unter BAIT, Versorger und Stadtwerke.

Welche Anbieter sind 2026 C5-testiert?

STACKIT (Schwarz Gruppe), IONOS Cloud, Open Telekom Cloud (T-Systems), plusserver, T-Systems Open Sovereign Cloud, OVHcloud Frankfurt, Microsoft Azure Deutschland (testiert über mehrere Bausteine), AWS Frankfurt (Testat seit 2023), Google Cloud Frankfurt. Delos Cloud (Joint Venture SAP/Arvato/Microsoft) — Status 2026 in Aufbauphase, formale C5-Zertifizierung in Planung. Die offizielle Liste wird durch das BSI auf bsi.bund.de veröffentlicht.

Reicht C5 für KRITIS unter NIS-2 aus?

C5 ist ein zentraler Baustein, aber nicht ausreichend allein. KRITIS-Betreiber müssen zusätzlich IT-Grundschutz-Konformität nach BSI-Standard 200-2 oder ISO 27001 auf Basis von IT-Grundschutz nachweisen, die NIS2UmsuCG-spezifischen Pflichten (Risikomanagement, Vorfallmeldungen innerhalb von 24/72 Stunden, Geschäftsleitungsverantwortung) erfüllen, sowie sektorspezifische Auflagen (z. B. Branchenstandards B3S für Energie/Wasser, ergänzende Maßnahmen nach § 75c SGB V im Gesundheitswesen).

Ist C5-Cloud KI-tauglich?

Ja — und die Nachfrage steigt 2026 stark. Open Telekom Cloud, IONOS und STACKIT bieten GPU-Instanzen (H100, MI300X) für Mistral, Llama 3 oder andere Open-Source-LLMs auf testierter Infrastruktur. Zwei Architekturen: (1) Self-Hosting via vLLM oder TGI auf gemieteten GPU-Instanzen; (2) Managed AI-Angebote, sofern verfügbar. Das Ökosystem ist enger als AWS Bedrock, aber für die meisten Unternehmens-Use-Cases ausreichend.

Wie teuer ist eine C5-Cloud im Vergleich zur Standard-Hyperscaler-Cloud?

C5-testierte souveräne Angebote (STACKIT, IONOS, Open Telekom Cloud) sind typischerweise 1,5 bis 3 Mal teurer als äquivalente AWS-, Azure- oder GCP-Services. Hyperscaler mit C5-Testat in deutschen Regionen liegen im Standard-Preisniveau, aber ohne souveränen rechtlichen Status. Der Aufpreis souveräner Anbieter deckt höhere Sicherheitsstandards, deutsches Personal mit Sicherheitsüberprüfung, vertragliche Immunität gegen den US Cloud Act und ein engeres Ökosystem.

Wie wähle ich zwischen souveräner C5-Cloud und Hyperscaler in deutscher Region?

KRITIS-Betreiber und Bundesverwaltung: souveräner C5-Anbieter Pflicht. KHZG-Projekte mit erhöhtem Schutzbedarf: deutsche souveräne Cloud empfohlen. Standard-B2B mit Daten-Souveränitätsbedarf: Azure Germany oder AWS Frankfurt mit ISO 27001 und C5-Testat decken 80% der Fälle bei niedrigeren Kosten. Die souveräne Cloud liefert das formale Schutzniveau und die Immunität gegen extraterritoriale Rechtszugriffe — nicht automatisch mehr operative Sicherheit als ein gut konfigurierter Hyperscaler in Frankfurt.

Quellen: Bundesamt für Sicherheit in der Informationstechnik (BSI), C5:2020 Cloud Computing Compliance Criteria Catalogue (bsi.bund.de); BSI-Standard 200-2 IT-Grundschutz-Methodik; BSI-Gesetz und KRITIS-Verordnung; NIS2UmsuCG (Stand 2025-2026); Wachstumschancengesetz 2025; Krankenhauszukunftsgesetz (KHZG) und § 75c SGB V; BaFin-Rundschreiben zu BAIT/VAIT/KAIT; öffentliche Dokumentation STACKIT, IONOS, Open Telekom Cloud, plusserver, OVHcloud, Delos Cloud; deutsche Digitalstrategie 2025.

Zur Konzeption eines souveränen C5-Cloud-Projekts (oder einer souveränen Alternative) — Anbieterauswahl, KI-Integration, Konformitätsnachweise — siehe unseren Leitfaden Souveräne KI, unseren Leitfaden Lokale LLMs im Unternehmen, unseren Leitfaden Souveräne Cloud im Unternehmen, oder kontaktieren Sie uns über unsere maßgeschneiderten KI-Lösungen.

Schreiben Sie uns

contact@dpliance.com
Kontaktieren Sie uns