Das BSI hat Ende März seinen C5-Kriterienkatalog in der Version 2026 veröffentlicht. Der C5 ist der zentrale Standard für Cloud-Sicherheit in Deutschland. Was diese Ausgabe bemerkenswert macht: Confidential Computing bekommt zum ersten Mal eigene Kriterien, und Remote Attestation ist als Pflichtbestandteil festgeschrieben.
Dr.-Ing. Felix Schuster
CEO and Co-Founder
Für eine Technologie, die lange als Nischenthema galt, ist das ein deutliches Signal. Mit C5:2026 ist Confidential Computing im Mainstream der Cloud-Sicherheit angekommen.
Der C5:2026 widmet Confidential Computing zwei eigene Kriterien: OPS-32 für Richtlinien und Verfahren, OPS-33 für Remote Attestation. Beide gelten, sobald ein Cloud-Dienst "Confidential Computing" anbietet.
OPS-32 definiert den Begriff Trusted Execution Environment (TEE), der zentral ist für Confidential Computing. Zudem definiert OPS-32 grundlegende Mechanismen und Mindestanforderungen. Ausdrücklich gefordert ist, dass weder der Cloud-Anbieter noch unbefugte Dritte auf Kundendaten oder die zu ihrem Schutz verwendeten Schlüssel zugreifen können.
OPS-33 hebt Remote Attestation auf eine eigene Ebene: Bietet ein Cloud-Dienst Confidential Computing an, muss er auch Remote Attestation bereitstellen. Diese muss in vertrauenswürdiger Hard- und Software verankert sein und dem Kunden zur Verifikation zur Verfügung gestellt werden.
Dass diese Vorgabe existiert, ist fundamental wichtig. Ohne Remote Attestation muss der Kunde dem Anbieter glauben, dass eine Anwendung tatsächlich in einer TEE läuft und welcher Code dort ausgeführt wird. Erst die Attestierung erlaubt es, genau das technisch zu überprüfen. Dass das BSI diesen Zusammenhang explizit macht und Remote Attestation an Confidential Computing koppelt, ist die richtige Entscheidung.
Der Katalog unterscheidet bei OPS-33 vier Szenarien, abhängig davon, wer die Attestierungsevidenz einholt und wer sie verifiziert. Die Bewertung des BSI fällt deutlich aus:
Typ 2 wird auch definiert, ist aber in meiner Einschätzung im Wesentlichen identisch zu Typ 1.
Die Confidential-Computing-Angebote von Hyperscalern und Anderen arbeiten meistens nach Typ 4: Der Anbieter betreibt den Verifizierungsdienst und liefert dem Kunden ein Ergebnis. Eine direkte kundenseitige Überprüfung ist nicht möglich.
Das ist problematisch. Die Sicherheitsaussage fällt damit am Ende auf Vertrauen in den Anbieter zurück, und genau das ist das Problem, das Confidential Computing eigentlich lösen soll.
Bei Edgeless Systems bauen wir Confidential-Computing-Produkte seit Jahren auf einem Modell, das vollständig auf kundenseitiger Verifizierung basiert, also Typ 1.
Contrast, unser Open-Source-Framework für Confidential Computing in Kubernetes, gibt dem Kunden die Werkzeuge an die Hand, die Attestierung selbst durchzuführen. Der Kunde holt die Evidenz von der TEE, verifiziert sie gegen ein Manifest, das er kontrolliert, und entscheidet auf dieser Basis, ob ein Workload als vertrauenswürdig gilt. Das entspricht dem Szenario, das der C5:2026 als Typ 1 beschreibt.
Privatemode AI, unser Confidential-AI-Dienst, baut auf Contrast auf und überträgt dasselbe Prinzip auf KI-Inferenz. Ein clientseitiger Proxy übernimmt Attestierung und Verschlüsselung transparent für den Nutzer. Die Evidenz wird vom Client eingeholt und in einer Umgebung verifiziert, die der Nutzer kontrolliert. Auch hier kann weder Edgeless Systems noch der zugrunde liegende Infrastrukturanbieter Prompts oder Antworten einsehen.
Damit bietet Privatemode bereits jetzt "very strong remote attestation" im Sinne von C5:2026 und darauf aufbauend einen effektiven und überprüfbaren Betreiberausschluss.
Der C5:2026 wird den Markt nicht über Nacht verändern. Verbindlich wird der Katalog erst ab dem 1. Juni 2027, und Anbieter werden Zeit brauchen, ihre Confidential-Computing-Angebote auf die neuen Kriterien auszurichten. Aber die Richtung ist gesetzt.
Für Unternehmen, die heute Confidential-Computing-Lösungen evaluieren, lohnt sich ein konkreter Blick auf zwei Fragen: Welcher Attestierungstyp wird angeboten? Und wer kontrolliert am Ende die Vertrauensentscheidung, der Cloud-Anbieter oder der Kunde? Die Antworten darauf bestimmen, ob ein Angebot dem Anspruch von Confidential Computing technisch gerecht wird oder ob am Ende doch wieder Vertrauen in den Anbieter die Sicherheitsaussage trägt.