← Alle Beiträge
· Claus Lindemann

PQC und C5: Was die Berücksichtigung von Post-Quanten-Kryptographie für die Cloud-Compliance bedeutet

BSI C5Cloud-CompliancePQC-MigrationKryptografieTR-02102

PQC und C5: Was die Berücksichtigung von Post-Quanten-Kryptographie für die Cloud-Compliance bedeutet

Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI ist für viele Unternehmen der maßgebliche Prüfmaßstab, wenn es um die Sicherheit von Cloud-Diensten geht. Mit der zunehmenden Reife der Post-Quanten-Kryptographie (PQC) stellt sich die Frage, wie quantenresistente Verfahren in die C5-Logik einzuordnen sind – und eine aktuelle BSI-Veröffentlichung rückt genau dieses Thema in den Fokus.

C5 und die Kryptografie-Anforderungen

C5 strukturiert seine Anforderungen in thematische Bereiche; für PQC besonders relevant ist der Bereich Kryptografie und Schlüsselmanagement. Dort wird gefordert, dass Verschlüsselung von Daten – bei der Übertragung wie bei der Speicherung – dem Stand der Technik entspricht. Genau über diese Formulierung kommt PQC ins Spiel: Was als “Stand der Technik” gilt, verschiebt sich mit den finalisierten NIST-Standards und den Empfehlungen des BSI in der TR-02102 hin zu quantenresistenten und hybriden Verfahren.

Damit ist PQC kein separates Add-on zur Cloud-Compliance, sondern eine Weiterentwicklung dessen, was bestehende Kriterien ohnehin bereits verlangen.

Was die neue BSI-Veröffentlichung adressiert

Die jüngste Veröffentlichung des BSI macht deutlich, dass die Berücksichtigung von PQC in Cloud-Umgebungen nicht erst mit einer künftigen C5-Revision beginnt, sondern bereits jetzt Teil einer sorgfältigen Risikobetrachtung sein sollte. Im Kern geht es um drei Punkte:

  • Krypto-Inventarisierung in der Cloud: Anbieter müssen wissen, welche kryptografischen Verfahren in ihren Diensten und in den darunterliegenden Bibliotheken tatsächlich eingesetzt werden.
  • Migrationsplanung als nachweisbarer Prozess: Nicht nur der Ist-Zustand, sondern auch ein dokumentierter Fahrplan zur Einführung quantenresistenter Verfahren wird zum prüfrelevanten Gegenstand.
  • Krypto-Agilität als Architekturprinzip: Cloud-Dienste sollten so gebaut sein, dass Algorithmen ausgetauscht werden können, ohne den Dienst neu zu konzipieren.

Geteilte Verantwortung: Anbieter und Kunde

Cloud-Sicherheit folgt dem Modell der geteilten Verantwortung – und das gilt auch für PQC. Der Anbieter verantwortet die quantenresistente Absicherung der Plattform, der Transportverschlüsselung und des Schlüsselmanagements. Der Kunde verantwortet die Verfahren, die er innerhalb seiner Anwendungen und Datenflüsse selbst wählt. Eine C5-konforme PQC-Strategie muss deshalb beide Seiten klar abgrenzen und dokumentieren.

Was Unternehmen jetzt tun sollten

  • C5-Testate von Cloud-Anbietern gezielt darauf prüfen, wie der Kryptografie-Bereich heute erfüllt wird und ob PQC adressiert ist.
  • Den eigenen Verantwortungsanteil im Shared-Responsibility-Modell auf quantenresistente Verfahren hin überprüfen.
  • PQC-Migrationsplanung als dokumentierten Prozess aufsetzen – passend zur Logik, mit der C5 ohnehin Nachweise verlangt.

Fazit

PQC und C5 sind keine getrennten Welten. Die neue BSI-Veröffentlichung zeigt, dass quantenresistente Kryptographie über die bestehenden Kryptografie-Kriterien Einzug in die Cloud-Compliance hält – und dass Anbieter wie Kunden gut beraten sind, dies frühzeitig in ihre Testierungs- und Migrationsplanung aufzunehmen.

Quellen

pqconsult: Ihre Partner bei der PQC-Migration

Wir unterstützen Cloud-Anbieter und -Kunden dabei, Post-Quanten-Kryptographie C5-konform zu verankern – von der Krypto-Inventarisierung über die Abgrenzung im Shared-Responsibility-Modell bis zum prüffähigen Migrationsfahrplan. Kontaktieren Sie uns für eine Standortbestimmung.

Haben Sie Fragen zu diesem Thema?

Kontakt aufnehmen