Contact
DEEN
Souveränität · Cloud · BSI C3A
Blog · Cloud Compliance

BSI veröffentlicht C3A: Neue Souveränitätskriterien für Cloud-Dienste

Mit den Criteria enabling Cloud Computing Autonomy (C3A) legt das BSI einen Handlungsrahmen für die Bewertung der Souveränitätseigenschaften von Cloud-Diensten vor.

Veröffentlicht: April 2026
·
ca. 3 Minuten Lesezeit
Digital SovereigntyBSIC3ACloudCompliance
Illustration: BSI C3A Cloud Souveränität

Mit den C3A (Criteria enabling Cloud Computing Autonomy) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einen richtungsweisenden Handlungsrahmen vorgelegt, der als neue „Checkliste für Souveränität“ fungiert. Er ermöglicht es Unternehmen, die Souveränitätseigenschaften von Cloud-Diensten objektiv zu bewerten und die digitale Selbstbestimmung zu sichern.

Dies stellt die Frage nach digitaler Souveränität, insbesondere bei Cloud-Diensten. Mit den C3A (Criteria enabling Cloud Computing Autonomy) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einen richtungsweisenden Handlungsrahmen vorgelegt, der als neue „Checkliste für Souveränität“ fungiert.

„Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“ - Claudia Plattner, BSI-Präsidentin

Geteilte Verantwortung und C3A vs. C5

Die Entscheidung für Cloud-Dienste basiert auf dem Modell der geteilten Verantwortung (Shared Responsibility Model). Dies schränkt den Umfang der Entscheidungen ein, die Kunden treffen können.

Während die Sicherheitseigenschaften im Cloud Computing Compliance Criteria Catalogue (C5) adressiert werden, ermöglicht C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann.

  • C5 (Sicherheit): Fokus auf operative Sicherheitseigenschaften und Compliance-Standards.
  • C3A (Autonomie): Fokus auf die Fähigkeit, unabhängig vom Einfluss des Cloud-Anbieters zu handeln und die operative Autonomie zu stärken.

Die sechs Souveränitätsdomänen der C3A

Die C3A unterteilen die Anforderungen in sechs zentrale Domänen (SOV-1 bis SOV-6), die den Grad der Autonomie definieren und messbar machen:

SOV-1: Strategisch

Fokus auf Jurisdiktion (EU/DE), Hauptsitz und effektive Unternehmenskontrolle durch EU-Entitäten, um externe Einflussnahme zu begrenzen.

SOV-2: Rechtlich

Sicherung von Auditrechten für nationale Behörden und Mechanismen zur Übernahme von Betriebsmitteln im staatlichen Verteidigungsfall.

SOV-3: Daten

Kontrolle über Speicherorte (Residenz), Integration externer Key Management Systeme (BYOK), Identity Provider und Client-Side Encryption.

SOV-4: Operativ

EU-Ansässigkeit des Personals, lokales SOC und die technische Fähigkeit zur vollständigen Netzwerktrennung von Nicht-EU-Verbindungen (Disconnect/Reconnect) ohne Betriebsunterbrechung.

SOV-5: Lieferkette

Transparenz über Software- (SBOM) und Hardware-Abhängigkeiten sowie proaktives Management von Exportbeschränkungen.

SOV-6: Technologie

Sicherstellung der Quellcode-Verfügbarkeit in der EU und Fähigkeit zur unabhängigen Wartung und Patch-Erstellung ohne Drittanbieter.

Hinweis: Die Bereiche SOV-7 (Sicherheit & Compliance) sind bereits durch den C5-Katalog abgedeckt, während SOV-8 (Nachhaltigkeit) nicht im primären Fokus des BSI-Frameworks steht.

Was bedeutet das für Unternehmen?

Für Unternehmen bietet der C3A-Katalog eine objektive Grundlage, um die oft abstrakte „Cloud-Souveränität“ in greifbare Business-Entscheidungen zu übersetzen:

  • Fundiertes Risikomanagement: Unternehmen können gezielt bewerten, wie stark sie von der technologischen und operativen Roadmap eines einzelnen Anbieters abhängig sind.
  • Strategische Flexibilität: Durch Kriterien wie SOV-6 (Technologie) wird sichergestellt, dass Ausstiegsstrategien (Exit-Strategien) nicht nur auf dem Papier existieren, sondern technisch möglich bleiben.
  • Zukunftssichere Compliance: In stark regulierten Branchen (z.B. KRITIS oder Healthcare) hilft C3A dabei, regulatorische Anforderungen an die Resilienz und Autonomie proaktiv zu adressieren.
  • Vermeidung von Vendor-Lock-in: Die Transparenz über Abhängigkeiten ermöglicht es, Multi-Cloud-Strategien oder hybride Ansätze auf einer validen Datenbasis zu planen.

To-dos für Unternehmen:

  • Bestandsaufnahme: Identifizieren Sie kritische Cloud-Workloads, bei denen Autonomie ein geschäftskritisches Risiko darstellt.
  • C3A-Checkliste nutzen: Verwenden Sie den Katalog als Vorlage für Ihre nächste Risikoanalyse oder Cloud-Ausschreibung.
  • Vertragsprüfung: Prüfen Sie bestehende Verträge auf Auditrechte (SOV-2) und Kontrollmöglichkeiten über Speicherorte (SOV-3).
  • Architektur-Review: Evaluieren Sie technische Souveränitäts-Features wie External Key Management (BYOK) oder Exit-Szenarien.

Struktur und Anwendung

Die C3A sind in Basis- und Zusatzkriterien unterteilt. Je nach Kritikalität können Cloud-Kunden entscheiden, welche Kriterien herangezogen werden (z.B. Lokalisierung von Rechenzentren oder Herkunft des Betriebspersonals).

Die Kriterien orientieren sich am europäischen Cloud Sovereignty Framework (EU CSF) und setzen voraus, dass der Cloud-Anbieter bereits die C5-Kriterien erfüllt. Zukünftig wird das BSI einen Leitfaden für C3A-Audits veröffentlichen, um die Nachweisbarkeit ähnlich wie bei C5 zu standardisieren.

Was das für die Praxis bedeutet

Obwohl das Framework rechtlich (noch) nicht bindend ist, wird es voraussichtlich zum Standard in künftigen Ausschreibungen und Sicherheitsanforderungen. Cloud-Anbieter können die Einhaltung durch standardisierte Audits nachweisen, während Kunden es als präzises Instrument zur Risikobewertung und Sicherung ihrer strategischen Unabhängigkeit nutzen.

Fazit

Die C3A schaffen die notwendige Transparenz, um Cloud-Dienste nicht nur nach Sicherheitsaspekten (C5), sondern gezielt nach dem Grad der digitalen Souveränität und Autonomie zu bewerten. Sie sind damit ein wesentlicher Baustein für die strategische Unabhängigkeit in einer vernetzten Welt.

Ressourcen

Download C3A - Criteria enabling Cloud Computing Autonomy (PDF)